Функции сетевых коммутаторов

  • ACL (Access Control List) — пакетная фильтрация на основе IP-адреса, MAC-адреса или членства в VLANe.
  • DHCP (Dynamic Host Configuration Protocol) — сетевой протокол динамической настройки узла, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров.
  • DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику. DHCP snooping регулирует только сообщения DHCP и не может повлиять напрямую на трафик пользователей или другие протоколы.
  • ERPS (Ethernet Ring Protection Switching) — сетевой протокол, использующийся для исключения образования колец в топологии. Может быть заменой семейству протоколов STP. На всех коммутаторах, включённых в физическое кольцо, назначается специальная R-APS VLAN, по которой будет передаваться служебная информация. Остальные VLAN, проходящие по кольцу, преобразуются в Protected VLANs. Также указываются West- и East-порты, причём West должен смотреть на East и, соответственно, наоборот. Один из коммутаторов (как правило, самый дальний от входа в сеть, чтобы получились две примерно равные ветви) выбирается владельцем RPL и один из его кольцевых портов назначается RPL-портом, на котором трафик будет блокироваться. Таким образом, если на одном из коммутаторов на кольцевом порту пропадает связь, этот коммутатор шлёт служебное сообщение об обрыве через работающий порт и таким образом извещает владельца RPL, который, в свою очередь, включает неработающий порт. При восстановлении же сигнала на упавшем порту коммутатор блокирует его на время, указанное в параметре WTR Time, чтобы при нестабильном сигнале с этого порта не приходилось постоянно перестраивать топологию.
  • Flow Control — функция управления потоком используется для регулирования передачи сигналов в зависимости от пропускной способности принимающего порта. Избыточная концентрация трафика на порту вызывает падение пропускной способности и перегружает буферную память, из-за чего происходит отбрасывание пакетов и потеря кадров. Ethernet-коммутатор использует управление потоком по стандарту IEEE802.3x в дуплексном режиме (full duplex) и управление потоком методом обратного давления (противодавления) в полудуплексном режиме (half duplex). Управление потоком по стандарту IEEE802.3x в дуплексном режиме подразумевает отправку сигнала паузы на передающий порт, что позволяет приостановить передачу при переполнении буфера принимающего порта. Управление потоком методом обратного давления (Back pressure) обычно применяется в полудуплексном режиме и предполагает отправку на передающий порт сигнала коллизии (имитацию состояния коллизии), из-за чего передающий порт на некоторое время приостанавливает передачу. Стандарты управления потоком IEEE 802.3, IEEE 802.3u, IEEE 802.3ab/z, IEEE 802.3x.
  • IEEE 802.1X — стандарт, определяющий протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (extensible authentication protocol over LAN) и только после успешной аутентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X. Состояние порта в этом случае остается помеченным как неавторизованное (unauthorized). Если клиент успешно проходит проверку, то порт переходит в авторизованное состояние (authorized).
  • IGMP snooping — функция отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (свитчерам) отслеживать IGMP-обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика, формально происходящий на более высоком (сетевом) уровне. IGMP snooping разработан для предотвращения широковещательной (broadcast) ретрансляции multicast трафика компьютерам-потребителям, которые явно не заявили о своей заинтересованности в нём. Это позволяет коммутаторам исключать такой трафик из потоков, направляемых через порты, к которым не подключены его потребители, тем самым существенно снижая нагрузку на сеть. Однако при этом нагрузка на сам коммутатор не снижается, а повышается, поскольку такая фильтрация требует затрат памяти, NPU и CPU, в то время как простая ретрансляция по всем портам — операция «дешёвая». По умолчанию, без функции IGMP snooping коммутатор ретранслирует multicast трафик по всем своим портам, принадлежащим к тому же широковещательному домену или VLAN, что не только бесполезно, но и способно вызвать проблемы на некоторых конечных сетевых устройствах, вынужденных обрабатывать неожиданный для них поток данных. Использование такого «поведения по умолчанию» злоумышленником может привести к успешной DoS-атаке на всю сеть или некоторые устройства в ней. IGMP snooping способен существенно улучшить работу сети, в которой активно используются приложения, основанные на multicast вещании.
  • IP+MAC binding — функция позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор блокирует данный MAC-адрес с занесением его в блок-лист.
  • IP Source Guard — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня, фильтруя трафик на основании таблицы привязок DHCP snooping и статических соответствий. Функция используется для борьбы с IP-spoofingом.
  • Port Mirroring — дублирования трафика от одного или нескольких портов на отдельно взятый порт. В основном это применяется для мониторинга всего трафика в целях безопасности, либо оценки производительности и загрузки сетевого оборудования с применением аппаратных средств.
  • Spanning Tree Protocols (STP/RSTP/MSTP) — протоколы, позволяющие устранить петли в топологии сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. Если в сегменте сети из коммутаторов имеется несколько путей, могут образоваться циклические маршруты, и следование простым правилам пересылки данных через мост (коммутатор) приведёт к тому, что один и тот же пакет будет бесконечно передаваться с одного моста на другой (передаваться по кольцу из коммутаторов). Протокол STP позволяет по мере необходимости автоматически отключать передачу через мост в отдельных портах (блокировать порты коммутатора), чтобы предотвратить зацикливание в топологии маршрутов пересылки пакетов. Для использования STP в сетевом мосте никакой дополнительной настройки не требуется.
  • Link Aggregation — технологии агрегирования (объединения) нескольких параллельных каналов передачи данных в сетях Ethernet в один логический, позволяющие увеличить пропускную способность и повысить надёжность.
  • LACP (Link Aggregation Control Protocol) — открытый протокол агрегирования каналов, описанный в документах IEEE 802.3ad и IEEE 802.1aq.
  • VLAN — поддержка виртуальных локальных сетей.
  • VLAN MAC-based — членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
  • VLAN Port-Based — группировка портов в пределах одного коммутатора, без тегирования кадров.
  • VLAN Protocol-based — данные 3-4 уровня в заголовке инкапсулированного в кадр пакета используются чтобы определить членство в VLANe.
  • VLAN 802.1Q Standard — группировка портов по стандарту 802.1Q. Для идентификации кадров, относящихся к разным VLAN, используется дополнительный тег в Ethernet кадре.