Хорошо

Port security и сетевые петли

Последний ответ Sep 16, 2020 13:15:34 324 7 1 0 3

На написание этого поста меня сподвигла неожиданно возникшая ситуация в одном из кабинетов у нас в офисе. После ряда перестановок техники и мебели, маленький коммутатор в этом кабинете оказался соединён одновременно с двумя сетевыми розетками на стене, то есть образовалась "петля".

Петли в сети опасны тем, что приводят к широковещательым штормам, когда один и тот же сетевой пакет попадает на разные интерфейсы коммутатора, последний рассылает его в сети несколько раз (в том числе и снова шлёт самому себе, заставляя рассылать его ещё раз). Довольно быстро таких "паразитных" пакетов становится так много, что сеть уже не может передавать другую информацию и перестаёт работать.

В нашем случае не смотря на наличие физичского соединения, то есть "петли", сеть продолжила работать в нормальном режиме (кроме компьютера, подключённого сразу к двум портам коммутатора). Обычно такие петли должен убирать протокол Spaning tree protocol (STP) или его вариации, но в данному случае, скорее всего произошло другое действие. Если вернуться к причине широковещательного шторма, то мы увидим, что для его начала нужен первый пакет (снежок, из которого потом скатывается огромный снежный ком). У этого сетевого пакета есть MAC-адрес отправителя (например, компьютера). Коммутатор, получив входящий пакет, читает MAC-адрес его отправителя и получателя. Если не настроено защитных действий, то он отправляет его дальше в сеть (на все остальные свои порты или на какой-то отдельный, если "знает" к какому порту подключён получатель). В случае с включённой port security, коммутатор производит дополнительную проверку MAC-адреса отправителя. И пакет обрабатывается только в том случае, если проверка пройдена успешно.

Возможны немного разные параметры port security, но суть останется примерно такая: у каждого порта будет список MAC-адресов, которым разрешено работать на этом порту. Остальным будет запрещено. При этом, один и тот же MAC-адрес не может быть приписан к нескольким интерфейсам. Если защиты нет, то MAC-адрес, пришедший на "неправильный порт" приведёт к тому, что коммутато "запомнит" его на новом порту и пустит в дальнейшую обработку. Если же защита включена, то коммутатор запретит обработку этого пакета на "неправильном порту". Таким образом, он предотвратит петлю - один из портов просто не будет принимать пакеты.

  • x

user_2909167
Модератор Опубликовано 2020-8-26 14:35:21
Интересная статья, спасибо!
Развернуть
  • x

artemrus38
MVE Опубликовано 2020-8-27 19:37:08
Как я знаю, port-security слабо справится с задачей защита от петли на L2 или L3 коммутации. Лучше конечно использовать протокол из семейства STP, а так же loopback-detect. Я в частности, еще защиту от петель по vlan настраиваю.
Развернуть
  • x

Peterhof
MVE Опубликовано 2020-8-27 21:55:50
Опубликовано пользователем artemrus38 в 2020-08-27 14:37 Как я знаю, port-security слабо справится с задачей защита от ...
Если петля образовалась на одном коммутаторе, то есть между двумя его плитами, к которым подключены конечные устройства (и на обоих из которых настроена защита) она сработает. Но это скорее приятная дополнительная "плюшка".
Я просто её не ожидал получить.
Развернуть
  • x

MenshikovAV
Опубликовано 2020-9-16 13:15:34
Добрый день. У меня такой вопрос: а коммутатор, когда срабатывает защита по порт секьюрити, кладет порт или просто не пускает трафик? Просто столкнулся с тем, что у разных вендоров по разному отрабатывает этот момент.
Развернуть
  • x

klincman
klincman Опубликовано 2020-9-16 22:56 (0) (0)
У коммутаторов Huawei реализованы три возможных варианта действия:
- Restrict: отбросить фрейм, сообщить об этом
- Protect: отбросить фрейм, не сообщать об этом
- Shutdown: выключить интерфейс, сообщить об этом.  
MenshikovAV
MenshikovAV Ответить klincman  Опубликовано 2020-9-17 08:59 (0) (0)
Понятно. Спасибо за ответ.  
Peterhof
Peterhof Опубликовано 2020-9-17 09:11 (0) (0)
По-умолчанию, выполняется "Restrict: отбросить фрейм, сообщить об этом".  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.