Сети для самых маленьких. часть пятая. acl и nat

3 ответа

Решение

Неуправляемый коммутатор даже не знает, что такое IP. Он будет пересылать IP-пакеты, а также многие другие протоколы, даже не понимая, в чем разница.

Все, что нужно знать коммутатору, чтобы решить, куда отправляется пакет, — это MAC-адрес.

MAC-адрес назначения и источника являются двумя из трех полей заголовка Ethernet, которые должен всегда предоставлять более высокий уровень, третье — это EtherType, который представляет собой 16-битное число, указывающее, что представляет собой протокол более высокого уровня. Некоторые примеры

В целом эти числа непрозрачны для коммутаторов и рассматриваются как просто данные. Существуют исключения, такие как 0x8874 и 0x8899, которые некоторые коммутаторы (обычно управляемые) будут использовать для обнаружения петель.

Большинство инструментов сетевого анализа не смогут определить разницу между парой машин, напрямую подключенных с помощью кабеля Ethernet, и парой машин, подключенных через 1, 2 или более коммутаторов.

Исследуя коммутируемую сеть из 4 или более компьютеров с тщательно созданными MAC-адресами источника и назначения, можно вывести некоторую информацию о структуре сети, наблюдая, используют ли два сетевых пути одну и ту же таблицу CAM или нет. Это также может быть в состоянии приблизительно измерить размер таблицы CAM и как быстро тайм-аут записей.

Основываясь на таких показателях, сложные инструменты анализа сети могут сказать, сколько коммутаторов в вашей сети, и, возможно, даже догадаться о чипах, используемых в этих коммутаторах.

54

2018-02-24 20:22

Нет, они вообще не должны появляться, и у них нет IP. Они просто сетевые коммутаторы.

29

2018-02-24 13:34

IP-адрес используется для доступа к устройству. Таким образом, коммутатору, имеющему программное обеспечение для настройки параметров, может потребоваться IP-адрес, чтобы пользователь мог получить доступ к своей системе управления или веб-интерфейсу.

Но по определению пользователь не может получить доступ к тупому переключателю таким образом.

Это предварительно запрограммировано с простой прошивкой «перенаправить все» или ASIC (чип). Ему не нужен собственный IP-адрес, чтобы иметь возможность перемещать кадры Ethernet (содержащие пакеты данных) между входящими и исходящими физическими портами, и у него нет системы управления, к которой пользователь может получить доступ.

Таким образом, он не имеет (или не нуждается, или не использует) IP-адрес для себя… и поэтому у него его нет.

7

2018-02-25 05:24

3 ответа

9

Переключатель уровня 2 узнает большую часть своей информации о местоположении других конечных точек посредством «прослушивания» входящих кадров, а когда он не знает о местоположении, он использует и узнаете из ответа. Допустим, что топология:

(хост A) -> (Переключатель A) <-> (Переключатель B) — (хост B).

Также важно отметить, что L2 Switch переадресован, он не маршрутизируется. Под этим я подразумеваю, что когда он получает инкапсулированный фрейм, он пересылает интерфейсы

• Хост A хочет добраться до хоста B. Хост A знает MAC-адрес хоста B. Таким образом, хост A отправляет фрейм для переключения A.
• У коммутатора A нет хоста B в его таблице MAC-адресов. Переключатель A затем выдает кадр на всех его портах, за исключением одного узла A. Среди всех портов есть порты, к которым подключен коммутатор B, поэтому коммутатор B получает кадр.
• Переключатель B затем нагнетает этот кадр из всех его портов (учитывая, что коммутатор B не имеет хоста B в его таблице MAC-адресов).
• Host B ответит на фрейм, коммутатор B будет записывать MAC-адрес MAC-адреса и отправить ответ на коммутатор A. Затем коммутатор A записывает MAC-адрес хоста B в свою таблицу и отправляет ответ хосту A

Вот связанный с этим вопрос: Как коммутатор узнает таблица переключателей?

3

Коммутатор может отображать несколько MAC-адресов в порт.

Таким образом, все устройства Mac на втором коммутаторе воспринимаются первым коммутатором как принадлежащим одному порту.

Он обновляет свою таблицу, когда получает какой-либо пакет, так как все они содержат исходный mac. Если у него был mac на другом порту, прежде чем он изменил его таблицу адресов mac (mac to port map).

Когда положение макроса изменяется между портами часто, оно сообщается как макрос.

1

Когда топология соответствует описанию:
Host A — Switch A — Переключатель B — Host B

В идеале, Host A будет знать IP-адрес хоста B (пункт назначения, к которому он хочет связаться). Предполагая, что IP-адреса двух хостов находятся в одной сети, Host A использует ARP для получения адреса mac адресата. Это широковещательный кадр, который перенаправляет порты Switch A — и Switch B — на Host B, который видит, что он является предполагаемым получателем и отвечает своим собственным MAC-адресом.

Host Далее использует этот MAC-адрес и отправляет пакет Switch A.

Коммутатор A видит MAC-адрес и пересылает этот пакет из интерфейса, подходящего, ссылаясь на свою собственную таблицу MAC.
Аналогичная операция выполняется на коммутаторе B, который позже достиг целевого хоста B.

9 ответов

Лучший ответ

Идея может заключаться в использовании такой программы, как пробная версия 3com network Director (или The Dude). Используйте его, чтобы обнаружить все свои рабочие станции и все остальное с IP-адресом.

Подождите некоторое время и отключите каждый концентратор / коммутатор … тогда вы, по крайней мере, начнете составлять карту, остальные будут ползать по следующим кабелям. Сетевое администрирование означает испачкаться.

4

Tubs
20 Сен 2008 в 13:01

Вы можете попытаться получить информацию о протоколе связующего дерева от интеллектуальных коммутаторов; даже неуправляемые коммутаторы должны участвовать в этом протоколе (однако это не относится к концентраторам).

3

Alex Dupuy
19 Сен 2008 в 17:32

Я не думаю, что неуправляемые коммутаторы / концентраторы будут иметь записи arp — прозрачность на уровне Mac является причиной их существования.

И я не думаю, что есть способ получить их таблицы пересылки MAC, кроме как разобрать их и найти JTAG или другой порт, с которым можно поговорить с ними, что маловероятно.

Лучшая идея, которую я могу придумать, — это выполнить pingflood для каждого внутреннего IP-адреса по очереди, а затем, пока это происходит, попробовать выполнить ping-запрос для всех остальных IP-адресов. Это поможет, потому что вы будете получать приличные ответы только от машин, которые не разделяют (теперь уже преданных забвению) ссылку с той, которую вы отправляете pingflooding. В основном вы используете тот факт, что объединительная плата на коммутаторах намного быстрее, чем межсоединения между ними, чтобы определить, какие соединения осуществляются через межсоединения, а какие — через объединительные платы. Это также позволяет вам смотреть, как мигают индикаторы, и выяснять, какие порты используются для подключения к каким IP-адресам.

К сожалению, я не знаю ни одного программного обеспечения, которое сделало бы это за вас.

2

pjz
17 Сен 2008 в 08:26

Вы, вероятно, не можете явно обнаружить неуправляемые устройства … но у вас есть MAC -> сопоставление портов коммутатора на ваших управляемых, верно? Если это так, вы должны иметь возможность сделать вывод о наличии неуправляемых коммутаторов / концентраторов с более чем одним подключенным клиентом — я не знаю, как вы найдете порт только с одним.

1. Запишите MAC-адреса всех интеллектуальных коммутаторов и клиентских устройств.
2. Начните с одного из ваших известных умных переключателей
3. Для каждого порта коммутатора укажите MAC-адреса, которые он пересылает. Если в нем указан один клиент, это прямо. Если их больше одного и ни один из адресов не находится в известных MAC-адресах коммутатора, у вас есть тупой коммутатор. Если их больше одного и один адрес находится в вашем наборе известных переключателей, выполните рекурсию на этом переключателе.

У вас, вероятно, нет случайных петель в топологии вашей сети (или ваша сеть, вероятно, не будет работать), поэтому вы, вероятно, можете предположить древовидную структуру за пределами вашего ядра.

3

Nate
17 Сен 2008 в 17:24

У меня лично была такая же проблема. Веселье. Я частично решил проблему, установив новые коммутаторы Cisco Catalyst в главном хранилище данных и настроив профиль Smart Ports для каждого порта на «Рабочий стол». Это ограничивает порт 1 MAC-адресом.

Любой порт с подключенным неуправляемым концентратором / коммутатором будет автоматически отключен при первой активации более одного устройства на неуправляемом устройстве.

Когда я обнаружил неуправляемые концентраторы / коммутаторы, я заменил их управляемыми коммутаторами, настроенными на ограничение каждого порта до 1 MAC.

Если ваш бюджет не позволяет этого, альтернативой является визуальное отслеживание каждого провода и проверка вручную наличия неуправляемого сетевого оборудования.

2

paxos1977
29 Дек 2008 в 23:50

2

parsley72
25 Авг 2015 в 13:29

Если вы еще этого не сделали, попробуйте пробную версию HP Openview, и помимо использования SNMP, она также использует таблицы ARP для определения вашей топологии.

1

Jay
19 Сен 2008 в 23:08

Вы можете ожидать эти функции в выпуске AdventNet opmanager8.0 в следующем месяце.

1

user57792
22 Янв 2009 в 09:05

Вы можете попробовать NetskateKoban, который предоставит вам карту с количеством терминалов, подключенных к каждому порту управляемого коммутатора. Оттуда вы можете узнать о наличии неподключенного устройства по имени поставщика.

Мы видели подобную проблему, когда администратор сети должен был выяснить, сколько коммутаторов (управляемых / неуправляемых) присутствует. Это даст вам расположение таких мест. Попробуйте … всего наилучшего

1

mahesh
11 Сен 2009 в 05:48

основные черты

Hping3 — это терминальное приложение для Linux это позволит нам легко анализировать и собирать пакеты TCP / IP. В отличие от обычного эхо-запроса, который используется для отправки пакетов ICMP, это приложение позволяет отправлять пакеты TCP, UDP и RAW-IP. Наряду с анализом пакетов это приложение также может использоваться для других целей безопасности, например, для проверки эффективности брандмауэр с помощью различных протоколов, обнаружение подозрительных или измененных пакетов и даже защита от атак. DoS-атака системы или брандмауэра.

В прошлом этот инструмент использовался для решения проблем кибербезопасности, но мы также можем использовать его для тестирования сетей и хостов. Вот некоторые из основных приложений, которые мы можем сделать с помощью этого инструмента:

• Проверьте безопасность и работу межсетевых экранов.
• Используйте его как расширенное сканирование портов, хотя для этой задачи лучше использовать Nmap.
• Сетевые тесты с использованием разных протоколов, ToS, фрагментации и т. Д.
• Узнать MTU на маршруте вручную.
• Расширенная трассировка с использованием всех поддерживаемых протоколов
• Удаленный отпечаток пальца из операционной системы
• Проверить время далеко
• Аудит стека TCP / IP

Из-за большого количества возможностей этого инструмента в этой статье мы покажем вам основные способы использования и способы его использования.

Лучший универсальный сетевой коммутатор: Zyxel XGS1010-12 (неуправляемый)

• Порты: 10 (восемь гигабитные, два 2,5 Гбит), два SFP +.
• Размеры: 250 × 104 × 27 мм.
• Индикаторы состояния: Гигабитные порты: соединение / активность (зелёный Гбит/с, жёлтый Fast Ethernet). Порты 2,5 Гбит/с: Небесно-голубой: 2,5 Гбит/с 10 Гбит/с SFP +: Синий: 10 Гбит/с.
• Источник питания: внешний.
• Охлаждение: пассивное.
• Гарантия: 5 лет.

Плюсы

• Подключение 2.5 Gb и 10 Gb.
• Пассивное охлаждение.
• Отличная производительность.

Минусы

Нагревается.

Среди коммутаторов с числом портов восемь и шестнадцать есть несколько интересных моделей, вроде ZyXel XGS1010-12. Тут предлагается восемь гигабитных портов, два исходящих 2,5 GbE и два 10 GbE SFT+. Обладатели оптоволоконного интернета узнают как порт данных на оптоволоконном ONT (терминатор оптической сети).

Коммутатор обладает прочным металлическим корпусом, работает без вентиляторов, у него внешний источник питания и все порты располагаются с одной стороны, а источник питания включается сзади. Каждый порт обладает двумя светодиодами для показа состояния и питания. Цвет этих индикаторов демонстрирует скорость подключения. На всех портах есть QoS, Auto MDI/MDIX и контроль потока.

Коммутатор хорошо проявил себя в тестах, показав результаты лучше по сравнению с QNAP на портах 2,5 Гбит/с. Гигабитные порты тоже показали отличные значения. При интенсивном трафике потери производительности не наблюдается, как и должно быть при совокупной пропускной способности 66 Гбит/с. ZyXel занял второе место по производительности среди протестированных моделей, выдавая максимальную температуру около 38°C при нагрузке.

Наличие двух портов 2,5 GbE и двух портов исходящего канала 10 GbE SFP+ делает его выгодной покупкой по сравнению с похожими коммутаторами без подобной универсальности. Если у вас имеется высокоскоростной NAS или нужно очень быстрое подключение между двумя компьютерами, данный коммутатор позволит недорого осуществить это и станет отличным концентратором для остальных устройств.

Zyxel XGS1010-12

Общая конфигурация локальной сети

Когда мы говорим о продвинутой домашней сети или профессиональной сети, очень важно иметь правильная сегментация с помощью VLAN. Обязательно наличие роутера / брандмауэр который поддерживает VLAN со стандартом 802.1Q, который используется в настоящее время, благодаря этой поддержке VLAN мы можем настроить выделенную подсеть для каждой из VLAN, а также разрешить или запретить доступ между различными VLAN, которые у нас есть

Настоятельно рекомендуемая практика для обеспечения максимально возможной безопасности в сети — это: иметь определенную подсеть и VLAN для управления различными устройствами локальной сети, то есть коммутаторов, точек доступа WiFi, которые у нас есть, и контроллера WiFi программно или аппаратно. Все, что касается управления, администрирования и мониторинга различного сетевого оборудования, должно содержаться в этой VLAN.

Благодаря маршрутизаторам / брандмауэрам с поддержкой VLAN его можно настроить для предотвращения доступа из других VLAN к этой VLAN управления, с тем чтобы никто не мог получить доступ к меню веб-конфигурации различных устройств, доступ также не будет разрешен. через SSH или выполните обычный пинг. То есть все коммуникации из остальных подсетей, таких как «маркетинг», «гости», «рабочие», не будут иметь доступа к этой конкретной VLAN.

По умолчанию на всех компьютерах (маршрутизаторах, коммутаторах и точках доступа) VLAN ID 1 является VLAN управления и администрирования, этот идентификатор VLAN рекомендуется изменить в целях безопасности и применить соответствующие списки управления доступом для разрешения или запрета доступа. Например, если мы используем профессиональный маршрутизатор, такой как DSR-1000AC, мы можем настроить идентификатор VLAN, который нам нужен, и использовать определенную подсеть, остальные коммутаторы должны находиться в этой конкретной подсети.

Представим, что мы создаем VLAN ID 10 на маршрутизаторе / межсетевом экране, а также на коммутаторах, которые будут управляющими. В маршрутизаторе или брандмауэре мы должны создать этот идентификатор VLAN и пропустить все VLAN через интерфейс в «магистральном» режиме, то есть с тегами VLAN, чтобы коммутатор «понимал» различные VLAN, которые мы ему передаем.

Конфигурация управляющей VLAN в коммутаторах, также известной как «Management VLAN», настраивается несколькими способами:

• У нас есть специальное меню «Management VLAN», в котором мы выбираем VLAN, в которой мы хотим, чтобы управление происходило. Частный IP-адрес, который мы вводим в коммутатор, должен находиться в диапазоне управляющей VLAN 10, в противном случае используйте DHCP-клиент для автоматического получения IP-адреса.
• Если у нас есть коммутатор с функциями L3, мы должны создать «интерфейс IPv4» с VLAN ID 10 и предоставить частный IP-адрес в пределах диапазона управления VLAN 10 или использовать DHCP-клиент для автоматического получения IP-адреса.

Например, на этот раз мы использовали коммутатор D-Link DGS-3130-30TS, как видите, у нас настроены различные сети VLAN, а порты 25 и 26 помечены как «Tagged»:

В разделе «Интерфейс IPv4» мы создаем новый интерфейс с идентификатором VLAN, который нам нужен, мы помещаем IP-адрес для администрирования, и в это время мы сможем администрировать это устройство только через эту VLAN и с этим конкретным IP-адресом. .

В более простых переключателях, которые являются «умными», например, в линейке DGS-1210 от D-Link, у нас также есть эта функциональность с доступными аналогичными опциями. В этом случае это не позволяет нам удалить VLAN интерфейса по умолчанию, но мы можем отключить администрирование, поэтому мы будем в том же сценарии. Как видите, в этом случае мы также можем зарегистрировать VLAN, которую хотим для администрирования, фактически, это позволяет нам зарегистрировать до 4 IP-интерфейсов в этом интеллектуальном коммутаторе.

Это первый шаг к правильной настройке сетевой безопасности, правильному разделению сети на подсети с различными разрешениями благодаря спискам управления доступом или правилам в брандмауэре. Теперь посмотрим, какие меры безопасности мы можем предпринять для управляемых коммутаторов.

Примеры использования Hping3

Простой тест ping

Мы можем использовать этот инструмент как обычную команду ping, получая практически те же результаты. Для этого нам просто нужно набрать:

И мы увидим, как выполняется этот простой тест подключения. (Мы можем изменить домен Google на любой другой или напрямую использовать IP-адрес для проверки связи).

Путь подключения участка

Аналогично опции «tracert» в Windows или «traceroute» в Linux, с помощью этого инструмента мы также можем отслеживать все переходы между сетями пакета, начиная с момента, когда он покидает наш компьютер, до тех пор, пока он не достигнет пункта назначения, имея возможность в любой момент узнать, есть ли какие-то проблемы подключение.

Для этого нам просто нужно набрать:

Сканирование портов с использованием флага TCP SYN

Этот инструмент также позволяет нам отправлять пакеты по протоколу TCP в чистом виде. Nmap стиль. Чтобы выполнить сканирование этим методом, мы введем в терминал «hping3 –S –p », и результат будет примерно таким:

Результат этого теста вернет SA флаг, что означает, что он соответствует SYN / ACK , то есть сообщение принято или, что то же самое, порт открыт . В противном случае, если значение равно РА это соответствует RST / ACK или что то же самое, что сообщение было выполнено неправильно, потому что порт закрыт или фильтрованный.

Таким образом, мы сможем узнать, например, разрешено ли соединение с определенным портом или фильтрует ли его брандмауэр.

Подписывать пакеты с помощью настраиваемого текстового файла

Этот инструмент можно использовать для изменения отправляемых нами пакетов и вставки в них персонализированного сообщения, похожего на подпись. Для этого нам просто нужно набрать:

Эта команда введет в пакеты Ping содержимое указанного текстового файла. Если мы проанализируем эти пакеты с помощью подходящего программного обеспечения, такого как WireShark, мы увидим, что внутри них находится содержимое рассматриваемого файла.

Введенные параметры означают:

• -d: длина сообщения, которое мы собираемся ввести, в данном случае 50.
• -E: файл, из которого мы собираемся взять подпись сообщения, которую мы хотим представить пакетам.

Мы также можем использовать другие параметры, например, -p, чтобы указать порт, на который мы хотим отправлять эти пакеты, или -2, чтобы отправлять пакеты через протокол UDP.

Сгенерируйте несколько запросов для тестирования защиты от DoS и DDoS

Этот инструмент также позволит нам проверить стабильность нашей системы против сетевых атак, таких как DoS и DDoS, генерируя реальные тесты либо в отношении localhost, либо в отношении другого сервера внутри (или вне) сети.

Мы можем сделать серию уникальных эхо-запросов, изменив исходный IP-адрес того же самого в пакетах TCP / IP, просто набрав:

Точно так же мы можем добавить параметр –flood, чтобы пакеты отправлялись в режиме реального времени большими партиями. Таким образом, мы сможем проверить, во-первых, работает ли наш брандмауэр и, во-вторых, насколько хорошо наша система реагирует на угрозу DDoS-атаки.

Для этого мы наберем:

Всего за пару секунд мы сгенерировали более 25,000 XNUMX пакетов, поэтому мы должны быть осторожны, поскольку наша сеть может быть заблокирована и непригодна для использования.

При этом начнет генерироваться большое количество пакетов с «ложным происхождением» (благодаря параметру rand-source), которые будут непрерывно отправляться на сервер назначения (в данном случае 192.168.1.1). Таким образом, мы можем проверить устойчивость нашей системы к DDoS-атакам, поскольку, если система перестает работать или выходит из строя, может произойти сбой конфигурации, и мы должны принять соответствующие меры, чтобы этого не произошло в реальной среде.

Этот инструмент очень полезен, хотя его всегда следует использовать в закрытых и контролируемых средах, поскольку, выходя за пределы, мы можем в конечном итоге провести атаку отказа в обслуживании на команду, чего мы не должны, это незаконно и может в конечном итоге подвергнуться санкциям для этого.

Мы рекомендуем вам получить доступ к официальной странице человека hping чтобы узнать все возможные варианты.

Лучший 5-портовый сетевой коммутатор: TP-Link TL-SG105-M2

• Порты: 5.
• Размеры: 209 × 126 × 26 мм.
• Индикаторы состояния: 2 светодиода на порт (скорость / соединение / активность).
• Источник питания: внешний.
• Охлаждение: пассивное.

Плюсы

• Цена.
• Очень высокая скорость.

Минусы

• Отсутствует обнаружение петель.
• Порт питания и порты Ethernet находятся на разных сторонах.

Ждать пришлось долго, но наконец сетевые устройства получили скорость более гигабита. От маршрутизаторов до модемов, от компьютеров до NAS, сети больших данных начинают широко распространяться. Это можно считать положительным явлением, поскольку сейчас данных используется много как никогда прежде. Пользователи могут уже рассчитывать на скорость подключения 2 Гбит/с.

Необязательно обладать таким быстрым соединением, чтобы пользоваться одним из современных сетевых коммутаторов 2,5 GbE. Передача файлов, домашний медиа-сервер, NAS с высокой ёмкостью и пропускной способностью выигрывают от подобных коммутаторов. Чем больше их появляется, тем лучше для покупателей. В данном случае мы рассматриваем сверхбыструю неуправляемую модель TP-Link TL-SG105-M2 с пятью портами. Хотя размер этого устройства крупнее по сравнению со среднестатистическими гигабитными коммутаторами с пятью портами, он должен подойти под любое окружение и бюджет.

Вместе с 8-портовой моделью TL-SG108-M2 этот коммутатор представляет собой низкопрофильный и простой в настройке вариант с пассивным охлаждением и корпусом из металла. Это делает его быстрым и тихим. Поскольку это коммутатор 2,5 GbE, есть возможность обойтись без приобретения новых кабелей. Если в вашей сети уже применяются кабели Cat 5e, можно воспользоваться сетевым протоколом 802.3bz с возможностью подключения 2,5 GbE или 5 GbE через 100 м кабеля. В тестах это показало хороший результат и очень быструю передачу файлов даже при высочайшей нагрузке на сеть. При этом коммутатор немного нагрелся, примерно до 46°.

Этот коммутатор приходит на смену предыдущему лидеру, 5-портовому QNAP QSW 1105-5T. На это есть несколько причин. TP-Link предлагает более широкий канал для передачи данных, стабильно выдавая 2,34 Гбит/с против 2 Гбит/с у QNAP. Корпус у него более компактный. Кроме того, это коммутатор бизнес-класса, что означает пожизненную гарантию вместо 2-летней у QNAP. Поддерживается QoS, что является привычной возможностью большинства неуправляемых коммутаторов, но отсутствует в QSW 1105-5T.

Если искать недостатки, можно назвать отсутствие обнаружения петель и подключение источника питания к стороне, противоположной стороне с портами. В некоторых случаях это может оказаться неудобным решением.

TP-Link TL-SG105-M2

3 ответа

54

Неуправляемый коммутатор даже не знает, что такое IP. Он будет передавать IP-пакеты, а также многие другие протоколы, не понимая в чем разница.

Все, что должен знать коммутатор, чтобы определить, куда идет пакет, — это MAC-адрес.

MAC-адрес назначения и источника — это два из трех полей заголовка Ethernet, которые должен всегда предоставлять более высокий уровень, третий — это EtherType, который представляет собой 16-разрядное число, указывающее, что такое протокол более высокого уровня. Некоторые примеры:

В общем, эти цифры непрозрачны для коммутаторов и рассматриваются как просто данные. Существуют исключения, такие как 0x8874 и 0x8899, которые некоторые переключатели (обычно управляемые) будут использовать для обнаружения циклов.

Большинство инструментов анализа сети не смогут отличить пару машин, напрямую связанных с кабелем Ethernet, и пару машин, подключенных через 1, 2 и более коммутаторы.

Проверяя коммутируемую сеть с 4 или более машин с тщательно продуманными MAC-адресами источника и назначения, можно вывести некоторую информацию о структуре сети, наблюдая, используют ли два сетевых пути одну и ту же таблицу САМ или нет. Он также может быть способен приблизительно измерять размер таблицы CAM и как быстро заканчиваются записи.

Основываясь на таких показателях, может быть возможно, чтобы сложные инструменты сетевого анализа могли сказать, сколько коммутаторов включено в вашу сеть, и, возможно, даже сделать некоторые догадки об чипах, используемых в этих коммутаторах.

29

Нет, они не должны появляться вообще, и у них нет IP. Это просто сетевые коммутаторы.

7

Для доступа к устройству используется IP-адрес. Таким образом, для коммутатора с программным обеспечением, позволяющим устанавливать параметры, может потребоваться IP-адрес, чтобы пользователь мог получить доступ к своей системе управления или веб-интерфейсу.

Но по определению, тупому переключателю никогда не обращается таким образом пользователь.

Он предварительно запрограммирован простым прокси-сервером «перенаправить все» или ASIC (чип). Он не нуждается в собственном IP-адресе, чтобы иметь возможность перемещать Ethernet-фреймы (содержащие пакеты данных) между входящими и исходящими физическими портами и не иметь систему управления, к которой пользователь может получить доступ.

Таким образом, он не имеет (или не нуждается или не использует) IP-адрес для себя … и поэтому он не имеет его.

Как выбрать сетевой коммутатор

При выборе сетевых коммутаторов обращайте внимание на следующие аспекты:

Количество портов Ethernet. Их может быть от 4 до 48 или даже больше. Бывают и порты USB.

Управляемый или неуправляемый коммутатор. Если вам нужен всего лишь проводной доступ в интернет для нескольких устройств, хватит неуправляемого сетевого коммутатора. Именно такой и рекомендуется для большинства пользователей домашних сетей. Это не значит, что здесь нет каких-то функциональных возможностей. Часто подобные коммутаторы способны на многое, от установки приоритета трафика QoS до обнаружения петель.

Управляемые сетевые коммутаторы более защищённые и способны вести мониторинг трафика для устранения неполадок или разбивать фрагменты сети на отдельные виртуальные локальные сети (VLAN). Если вы выбираете подобный вариант, нужно проверить, что маршрутизатор совместим с виртуальными локальными сетями.

Необходимая мощность

В большинстве случаев это неважно, но определённые устройства способны получать энергию через порты Ethernet, если коммутатор поддерживает такую возможность

Скорость сети. Gigabit Ethernet является минимальной скоростью, а также можно перейти на 2,5 GbE или выше, даже если прямо сейчас вам это кажется ненужным. В будущем потребности устройств могут вырасти.

2 ответа

7

Предотвращение неуправляемых переключателей и циклов:

Лучшим решением было бы полное блокирование неуправляемых коммутаторов, за исключением тех, которые вы явно разрешаете. Это можно сделать, включив bpduguard в портах доступа, которые будут отключать любой порт, который получает пакет bpdu.

Пример:

Если в вашей сети есть неуправляемые коммутаторы, которые вы хотите сохранить, но защитите STP и запретите циклы, вы можете включить функцию под названием root guard. Это позволит этому порту по-прежнему получать пакеты bpdu, но не будет перенаправлять те, которые пытаются изменить STP.

Пример:

Ограничьте количество MAC-адресов или MAC-адресов белых списков на портах коммутатора.

Пример:

Обнаружение неуправляемых коммутаторов:

Способ 1. Просмотрите таблицу MAC-адресов, если вы видите несколько компьютеров, подключенных к одному порту, что является хорошим показателем того, что они являются коммутатором, подключенным к этому порту.

Способ 2. Посмотрите на порты с STP

Пример:

Способ 3: использование Cisco Debug для просмотра того, какие порты получают bpdu

Пример:

3

Как правило, неуправляемый коммутатор не отправляет BPDU, так как он не поддерживает связующее дерево. Таким образом, вы можете видеть, что ваш собственный BPDU возвращается к вам на другом порту. Если вы используете spanning-tree, вы можете использовать защитную панель BPDU для Cisco, чтобы остановить цикл, отключив интерфейс:

В Juniper:

Другим способом мониторинга и предотвращения их является внедрение штормового контроля, который может помочь вам обнаружить и остановить широковещательные, многоадресные и неизвестные потоки одноадресной рассылки.

Оба Cisco и Juniper поддерживают это. В Cisco вы можете использовать:

Здесь указывается процент общей ширины полосы интерфейса, которая может использоваться для широковещательного /многоадресного /неизвестного одноадресного трафика. Затем вы можете установить действие на то, что происходит, когда этот уровень превышен:

Чтобы закрыть порт. Или,

Чтобы отправить ловушку SNMP (подробнее об этом см. ниже).

В Juniper вы можете использовать:

В Juniper команда:

Скорость в Kbps.

Если вы хотите быть более активным, вы можете подумать о настройке ловушек SNMP для событий spanning-tree и storm control. Затем ваши коммутаторы могут отправлять сообщения об улавливании на центральный сервер ловушки SNMP при возникновении цикла. Этот сервер ловушки SNMP может затем отправить вам предупреждение (через почту, SMS, IRC или что-то еще, что у вас есть).

В Cisco вы можете настроить ловушки SNMP следующим образом:

В Juniper:

Лучший универсальный бюджетный сетевой коммутатор: TP-Link TL-SG108 (неуправляемый)

• Порты: 8.
• Размеры: 158 × 101 × 25 мм.
• Индикаторы состояния: 2 на порт (скорость / связь / активность).
• Источник питания: внешний.
• Охлаждение: пассивное.
• Гарантия: ограниченная пожизненная.

Плюсы

• Цена.
• Качество сборки.
• Неяркие светодиоды.
• Пожизненная гарантия.

Минусы

Отсутствует обнаружение петель.

Если вам нужен сетевой коммутатор для домашней или небольшой офисной сети с восемью портами, одним из лучших вариантов является TP-Link TL-SG108. Это компактное устройство с металлическим корпусом и пассивным охлаждением без вентилятора. Неяркие светодиоды не будут раздражать. На каждый порт предлагается два светодиода, которые показывают информацию в зависимости от цвета или шаблона мигания. Поддерживается QoS с приоритетом трафика, полнодуплексное управление потоком, порты с автосогласованием для выбора скорости передачи до гигабита и простая настройка plug-and-play. Данный сетевой коммутатор работал примерно на уровне других 8-портовых аналогов.

Единственным заметным недостатком является отсутствие обнаружения петель. Такая возможность предназначается для борьбы с замедлением сети или полным отключением зацикленного сетевого трафика. Это может быть очень удобный инструмент устранения неполадок в сложных сетях. Визуальные индикаторы на коммутаторе покажут, какой порт Ethernet виновен в неисправностях.

Если обнаружение петель вам необходимо, можно приобрести модели ProSAFE Netgear GS108 или Cisco CBS110-8T-D. Но большинство пользователей вполне обойдётся без обнаружения петель.

TP-Link TL-SG108

Как настроить и использовать роутер в качестве коммутатора?

Сделать коммутатор (свитч) можно практически из любого роутера. Для этого нужно сменить некоторые настройки роутера (который мы будем использовать как свитч) и правильно соединить его с основным роутером. Настройки, о которых я расскажу дальше в статье есть на каждом роутере. Их название и расположение может отличаться. Я буду показывать на примере роутера TP-Link.

1. Я настоятельно рекомендую сделать сброс настроек (Reset) на роутере, который мы будет настраивать в качестве коммутатора.
2. Подключаемся к роутеру и открываем его настройки. Чаще всего доступ к настройкам можно получить через браузер по адресу 192.168.1.1 (инструкция здесь) или 192.168.0.1 (инструкция здесь).
3. Отключите межсетевой экран (брандмауэр).
4. Отключите Wi-Fi сеть. Чтобы роутер, который будет работать как свитч не раздавал Wi-Fi. Если вы хотите, чтобы второй роутер раздавал беспроводную сеть, то можете ее не отключать. LAN порты при этом будут работать и раздавать интернет.
5. Смените IP-адрес роутера. Нужно сменить LAN IP-адрес, чтобы не было конфликта адресов. Просто смените последнюю цифру и сохраните настройки. Роутер будет перезагружен.После перезагрузки нужно снова зайти в настройки по установленному IP-адресу.
6. Последний шаг – отключение DHCP-сервера. Отключаем его и сохраняем настройки.
7. Перезагрузите роутер. Лучше всего сделать это через веб-интерфейс. В настройках есть отдельный раздел или кнопка для перезагрузки роутера.

После настройки нужно выполнить подключение. Сетевым кабелем подключаем роутер к другому роутеру или к Wi-Fi Mesh системе. На роутере, который будет работать как коммутатор кабель подключаем в один из LAN портов. Схема соединения – LAN-LAN.

Я все проверил, все отлично работает. В случае с использованием коммутатора все намного проще, подключили и готово. Если же вы решите настроить старый роутер как свитч, то придется повозиться с настройками. Но в процессе работы особой разницы нет. С помощью обычного роутера так же можно увеличить количество портов как на другом роутере, так и на модуле Mesh системы.

15

Сергей

Полезное и интересное