У концентратора есть многочисленные функции, включая автосегментацию — способность отключать некорректно работающие порты, изолируя тем самым остальную часть сети от возникших в узле проблем1. Основной причиной отключения порта в стандартах Ethernet и Fast Ethernet является отсутствие ответа на
последовательность импульсов теста связности, посылаемых во все порты каждые 16 мс. В этом случае неисправный порт отключается, но импульсы теста связности будут продолжать посылаться в порт с тем, чтобы при восстановлении устройства работа с ним была продолжена автоматически.
Рассмотрим ситуации, в которых концентраторы Ethernet и Fast Ethernet выполняют отключение порта.
□ Ошибки на уровне кадра. Если интенсивность прохождения через порт кадров, имеющих ошибки, превышает заданный порог, то порт отключается, а затем, при отсутствии ошибок в течение заданного времени, включается снова. Такими ошибками могут быть: неверная контрольная сумма, неверная длина кадра (больше 1518 байт или меньше 64 байт), неоформленный заголовок кадра.
|
|
□ Множественные коллизии. Если концентратор фиксирует, что источником коллизии был один и тот же порт 60 раз подряд, то порт отключается. Через некоторое время порт снова будет включен.
□ Затянувшаяся передача. Как и сетевой адаптер, концентратор контролирует время прохождения одного кадра через порт. Если это время превышает время передачи кадра максимальной длины в 3 раза, то порт отключается.
Поддержка резервных связей. Так как использование резервных связей в концентраторах определено только в стандарте FDDI, то для остальных стандартов разработчики концентраторов поддерживают такую функцию с помощью своих частных решений. Например, концентраторы Ethernet могут образовывать только иерархические связи без петель. Поэтому резервные связи всегда должны соединять отключенные порты, чтобы не нарушать логику работы сети. Обычно при конфигурировании концентратора администратор должен определить, какие порты являются основными, а какие по отношению к ним — резервными (рис. 14.20). Если по какой-либо причине порт отключается (срабатывает механизм автосегментации), концентратор делает активным его резервный порт.
Рис. 14.20. Резервные связи между концентраторами Ethernet |
В некоторых моделях концентраторов разрешается использовать механизм назначения резервных портов только для оптоволоконных портов. Это делается из предположения, что нужно резервировать только наиболее важные связи, обычно выполняемые на оптическом кабеле. В других же моделях резервным можно сделать любой порт.
Защита от несанкционированного доступа. Разделяемая среда предоставляет очень удобную возможность для несанкционированного прослушивания сети и получения доступа к передаваемым данным. Для этого достаточно подключить компьютер с программным анализатором протоколов к свободному разъему концентратора, записать на диск весь проходящий по сети трафик, а затем выделить из него нужную информацию.
|
|
Разработчики концентраторов предоставляют определенные средства защиты данных в разделяемых средах.
Наиболее простое средство — назначение разрешенных МАС-адресов портам концентратора. В стандартном концентраторе Ethernet порты МАС-адресов не имеют. Защита заключается в том, что администратор вручную связывает с каждым портом концентратора некоторый МАС-адрес. Этот МАС-адрес является адресом станции, которой разрешается подключаться к данному порту. Например, на рис. 14.21 первому порту концентратора назначен МАС-адрес 123 (условная запись), и компьютер с МАС-адресом 123 нормально работает с сетью через данный порт. Если злоумышленник отсоединяет этот компьютер и присоединяет вместо него свой, концентратор заметит, что при старте нового компьютера в сеть начали поступать кадры с адресом источника 789. Так как этот адрес является недопустимым для первого порта, то эти кадры фильтруются, порт отключается, а факт нарушения прав доступа может быть зафиксирован.
Повторитель
00:00:А2:00:01:23
00:00:А2:00:02:14 00:00:А2:00:01:АВ |
00:00:А2:00:00:16 |
о |
о |
Разрешенные МАС-адреса
Рис. 14.21. Изоляция портов: передача кадров только от станций с фиксированными адресами |
Заметим, что для реализации описанного метода защиты данных концентратор нужно предварительно сконфигурировать. Для этого концентратор должен иметь блок управления. Такие концентраторы обычно называют интеллектуальными. Блок управления представляет собой компактный вычислительный блок со встроенным программным обеспечением. Для взаимодействия администратора с блоком управления концентратор имеет консольный порт (чаще всего RS-232), к которому подключается терминал или персональный компьютер с программой эмуляции терминала. При присоединении терминала блок управления организует на его экране диалог, с помощью которого администратор вводит значения МАС-адресов. Блок управления может поддерживать и другие операции конфигурирования, например ручное отключение или включение портов и т. д. Для этого при подключении терминала блок управления выдает на экран некоторое меню, с помощью которого администратор выбирает нужное действие.
А |
Другим средством защиты данных от несанкционированного доступа является их шифрование. Однако процесс реального шифрования требует большой вычислительной мощности, и для повторителя, не буферизующего кадр, выполнить шифрование «на лету» весьма сложно. Вместо этого в концентраторах применяется метод случайного искажения ноля данных в пакетах, передаваемых портам с адресом, отличным от адреса назначения пакета. Этот метод сохраняет логику случайного доступа к среде, так как все станции видят занятость среды кадром данных, но только станция, которой послан этот кадр, может понять содержание поля данных кадра (рис. 14.22). Для реализации этого метода концентратор также нужно снабдить информацией о том, какие МАС-адреса имеют станции, подключенные к его портам. Обычно поле данных в кадрах, направляемых станциям, отличным от адресата, заполняется нулями.
Повторитель
00:00:А2:00:01:23
00:00:А2:00:02:14
00:00:А2:00:01:АВ
00:00: А2:00:00:16
Рис. 14.22. |
гЧ
Искажение поля данных в кадрах, не предназначенных для приема станциями