Politechnika Gdańska wydział elektroniki telekomunikacji I informatyki


Znacznikowanie - rozwiązanie Cisco 802.1019



Pobieranie 0.53 Mb.
Strona17/26
Data04.05.2016
Rozmiar0.53 Mb.
1   ...   13   14   15   16   17   18   19   20   ...   26

7.4Znacznikowanie - rozwiązanie Cisco 802.1019


W roku 1995 [28] firma Cisco Systems zaproponowała realizację znacznikowania w oparciu o istniejący standard IEEE 802.10. Jest to o tyle nietypowe zastosowanie tego standardu, że w oryginale dotyczy on bezpiecznego przesyłania danych oraz autentyfikacji. Komitet IEEE wyraźnie negatywnie wyraził swoją opinię na temat stosowania mechanizmów standardu do celu znacznikowania. Jednak istnieje cały szereg urządzeń20, w których zastosowano to rozwiązanie.

Poniżej przedstawiony został krótki opis oryginalnego standardu IEEE 802.10, zaadaptowanego przez firmę Cisco na potrzeby znacznikowania. Kolejne akapity dotyczą rozwiązania Cisco 802.10.


Standard IEEE 802.10

Pełny tytuł standardu to: „Uniwersalny Standard Bezpieczeństwa Sieci LAN/MAN” (ang. Standard for Interoperable LAN/MAN Security (SILS)). Standard został zatwierdzony w roku 1998. Powstało do niego kilka rozszerzeń.

W standardzie IEEE 802.10 opisane są specyfikacje uniwersalnego zabezpieczania transmisji w warstwie łącza danych oraz związanych z tym usług. Protokół SDE (ang. Secure Data Exchange) jest obsługiwany przez działający w warstwie aplikacji protokół zarządzania kluczami (ang. Key Management Protocol – KMP), umożliwiający integrację protokołu SDE z innymi protokołami bezpieczeństwa. Standard określa etykietę w ramce, pozwalającą na sprecyzowanie reguł dostępu do informacji przenoszonej zgodnie z protokołem SDE. Sprecyzowano także sposób obsługi klientów posługujących się ramkami zawierającymi pole określające typ przenoszonego protokołu. Określono także klasy obiektów, którymi można operować w celu zarządzania podwarstwą SDE oraz wymiany informacji pomiędzy warstwami.
Format znacznika w standardzie Cisco 802.10.

Aby zachować szybkość przetwarzania danych w warstwie drugiej modelu OSI, identyfikator sieci wirtualnej jest drugim polem nagłówka protokołu 802.10. Pole to należy do tzw. nagłówka przejrzystego (ang. Clear Header). Ma on długość siedmiu bajtów i jest podzielony na dwie części (patrz Rysunek 7 .39).



Rysunek 7.39 - Nagłówek protokołu 802.10 przenoszący znacznik sieci wirtualnej



  • desygnator SDE (ang. Secure Data Exchange), 3 bajty. Ma on na stałe przypisaną wartość 0x0A0A03. Odpowiada ona zarezerwowanej wartości dwubajtowego adresu LSAP i pierwszego bajtu pola UI (ang. Unnumbered Information) podwarstwy LLC. Urządzenia nie wspierające standardu 802.10 nie interpretują dalszej zawartości ramki jako nagłówka LLC.

  • pole SAID (ang. Security Association IDentifier), 4 bajty. To pole przenosi identyfikator wirtualnej sieci lokalnej (ang. Vlan IDentifier).

Za nagłówkiem przejrzystym występuje jeszcze nagłówek chroniony (ang. Protected Header). Zależnie od realizacji warstwy łącza danych wydłuża on ramkę o kolejne bajty:



  1. dla standardu IEEE 802.3 o 9 bajtów (razem z Clear Header 16 bajtów),

  2. dla standardu Ethernet II o 15 bajtów (razem z Clear Header 22 bajty).

Szczegóły można znaleźć w bibliografii [32].
Znacznik wstawiany jest do ramki ethernetowej zaraz po nagłówku podwarstwy MAC warstwy łącza danych OSI, czyli po polu przenoszącym długość ramki lub typ protokołu warstwy sieciowej, zależnie od warstwy fizycznej.



Rysunek 7.40 - Ramka 802.3 ze znacznikiem standardu 802.10

Za znacznikiem następują dalsze pola ramki z niezmienioną wartością w stosunku do ramki bez znacznika. Inaczej niż ma to miejsce w standardzie IEEE 802.1Q rozwiązano problem znacznikowania ramki o maksymalnej, dla sieci Ethernet, długości. Standard 802.10 proponuje dwa rozwiązania:



  1. ograniczenie, przez użytkowników warstwy łącza danych maksymalnej długości pola danych do 1448 bajtów,

  2. fragmentację przezroczystą dla użytkownika warstwy łącza danych.

Mechanizmy fragmentacji ramek nie należą do opisu standardu.

Firma Cisco nie stosuje jednak fragmentacji ramek. W dokumentacji dostępnej na stronach Web nie jest wyjaśniona kwestia wydłużenia ramki ethernetowej o 16 lub 22 bajty. Prawdopodobnie, analogicznie do rozwiązania ISL, ramki są dłuższe wbrew zaleceniom.

Rozwiązanie Cisco, wykorzystujące standard 802.10, nie przewiduje dodawania znaczników zawierających informacje o sieciach wirtualnych do ramek Token Ring.

7.5Znacznikowanie - standard IEEE 802.1Q


Pełny tytuł standardu IEEE 802.1Q brzmi Virtual Bridged Local Area Networks, czyli „wirtualne sieci lokalne oparte na mostach”. Jest on standardem Komitetu Sieci Lokalnych i Metropolitalnych (ang. LAN MAN Standards Committee) organizacji IEEE. Prace nad standardem rozpoczęto w roku 1996 [28]. Standard IEEE 802.1Q, zatwierdzony w 1998 r., definiuje architekturę wirtualnych sieci lokalnych, opisuje usługi przez nie realizowane oraz podaje protokoły i algorytmy potrzebne do ich zapewnienia. Standard 802.1Q jest jednym z grupy standardów dotyczących sieci lokalnych i metropolitalnych.

Definicja wirtualnej sieci lokalnej podana została w Rozdziale 5.4. Z każdą wirtualną siecią lokalną jest związany identyfikator VID (Virtual LAN IDentifier). Jest nim dwunastobitowa liczba bez znaku, czyli wszystkich wirtualnych sieci może być 4096. Według standardu urządzenia realizujące wirtualizację sieci wirtualnych to mosty.

Architektura sieci wirtualnych według standardu opiera się na trzech warstwach, tworzących ogólny model wirtualnych sieci lokalnych, pokazany na Rysunku 7.8.

Rysunek 7.41 - Model koncepcyjny wirtualnych sieci lokalnych według standardu IEEE 802.1Q

Warstwa najwyższa określa środki, dzięki którym definiowana jest konfiguracja sieci lokalnych. Mogą to być lokalne lub zdalne metody konfiguracji urządzenia, mechanizmy serwerowe czy protokoły dystrybucyjne21. Informacje te są składowane w specjalnych bazach MIB (ang. Managment Information Base) zawierających informacje służące do zarządzania.

Drugą warstwą jest dystrybucja konfiguracji wirtualnych sieci lokalnych. W standardzie zdefiniowano mechanizmy rozsyłania informacji do mostów w celu umożliwienia im określania, do której sieci wirtualnej należy nadawca ramki o danej zawartości.

Warstwa trzecia to warstwa przekazywania. Podane są w niej reguły postępowania przez mosty na różnym etapie przekazywania ramek:


  1. Reguły wejścia (ang. ingress rules) – definiują sposoby określenia jednej i tylko jednej sieci wirtualnej, do której należy ramka,

  2. Reguły przekazywania (ang. forwarding rules) – pozwalają określić miejsce, do którego powinna zostać przesłana ramka,

  3. Reguły wyjścia (ang. egress rules) – określają format, w jakim ramka powinna opuścić most na odpowiednich portach.

Najbardziej interesujące z punktu widzenia pracy dyplomowej są szczegóły dotyczące samego znacznika, czyli zagadnienia warstwy przekazywania. Standard IEEE 802.1Q oprócz umożliwienia przenoszenia w ramkach informacji dotyczących sieci wirtualnych, umożliwia także dodanie informacji o priorytecie danej ramki. Rozważania zostaną zawężone do informacji o sieciach wirtualnych.

Standard przewiduje wsparcie dla wielu protokołów warstwy łącza danych modelu OSI. Znacznik 802.1Q składa się zawsze z dwóch części. Zawartość pierwszej części może mieć różne postacie, zależnie od standardu warstwy łącza danych. Zawartość części drugiej – informacyjnej, jest taka sama dla wszystkich protokołów warstwy łącza danych. Pole identyfikujące sieć wirtualną zawsze może przybierać maksymalnie 4096 wartości, informacja o priorytecie – maksymalnie 8 wartości oraz flaga CFI może przybierać dwie wartości.

Znacznikowanie 802.1Q umożliwia komunikację pomiędzy różnymi typami sieci lokalnych, co pozwala na stworzenie sieci wirtualnej „rozciągającej się” przez różne technologie.

Rysunek 7.42 - Postać znacznika 802.1Q

Wprowadzenie znacznika pozwoliło na przenoszenie informacji o priorytecie ramki, a także na zawarcie w ramce identyfikatora sieci wirtualnej. Taka zawartość znacznika powoduje, że ramka może występować w jednym z trzech następujących formatów:


  • Ramka bez znacznika - jest to ramka o pierwotnej strukturze, do której nie dodano żadnej dodatkowej informacji. Ramka taka nie przenosi ani bezpośredniej informacji o przynależności do sieci wirtualnej, ani o priorytecie (poza standardowymi mechanizmami priorytetyzacji dla danego protokołu warstwy łącza danych).

  • Ramka z priorytetem - ramka rozszerzona jest o omawiany znacznik, ale znacznik ten nie przenosi informacji na temat przynależności do sieci wirtualnej (pole VID ma zerową wartość), a jedynie poziom priorytetu.

  • Ramka z informacją o przynależności do sieci wirtualnej - jest to ramka z dodanym znacznikiem, który zawiera zarówno informacje o priorytecie, jak i identyfikator sieci wirtualnej. Pole priorytetu może zawierać w tym wypadku także wartość zerową.

Znacznik ma długość czterech lub dziesięciu bajtów w zależności od typu sieci (Rysunek 7 .42). Podzielony jest on na dwa pola - TPID i TCI. Dodatkowo w pewnych sytuacjach może pojawić się pole E-RIF, które zawiera informacje dotyczące routingu. Pole to może wydłużyć ramkę o 2 do 30 bajtów.
TPID (ang. Tag Protocol IDentifier)

Pole ma długość dwóch lub ośmiu bajtów. Jest to pole niosące informację, że ramka zawiera znacznik. Dla sieci Token Ring i FDDI pole to składa się z trzech części o stałych wartościach:



  • SNAP header (wartość 0xAAAA03),

  • SNAP PID (wartość 0x000000),

  • 802.1QTagType (wartość 0x8100).

Dla sieci Ethernet pole to ma długość dwóch bajtów i na stałe przypisaną wartość 0x8100. Pole nie przenosi żadnych informacji o konfiguracji sieci wirtualnych. Pełni funkcję informacyjną o zmienionym formacie ramki. Jeśli urządzenie sieciowe nie obsługuje znaczników, ramka zostanie zinterpretowana jako przenosząca nieznany protokół o identyfikatorze 8100.
TCI (ang. Tag Control Information)

Pole o długości dwóch bajtów. Przenosi ono następujące informacje:



    1. Priorytet ramki (3 bity)

Pole udostępnia 8 poziomów priorytetów.

    1. Flaga CFI (ang. Canonical Format Identificator) (1 bit)

Dla ramek Token Ring bit określa w jakim formacie dane adresowe MAC, zawarte w polu danych MAC, są transmitowane przez medium. Dla wartości b'1' dane adresowe transmitowane są w formacie niekanonicznym, w przeciwnym wypadku - w formacie kanonicznym22. Dla ramek ethernetowych bit sygnalizuje obecność pola E-RIF (dla wartości b'1') lub jego brak (b'0'). W pierwszym przypadku bit NCFI w polu E-RIF określa format danych adresowych w MAC. W przypadku drugim, przy braku pola E-RIF dane adresowe MAC przedstawiane są w formacie niekanonicznym. Zastosowanie tego pola w odniesieniu do formatu informacji adresowej oszczędza konieczność translacji formatu tej informacji w przełączniku.

    1. Identyfikator docelowej sieci wirtualnej – VID (ang. VLAN IDentifier) (12 bitów)

Długość tego pola pozwala przedstawić 4096 wartości. Trzy z nich mają znaczenie specjalne:

  • wartość 0x000: oznacza, że ramka nie zawiera identyfikatora sieci lokalnej, a jedynie informację o priorytecie (pole pierwsze TCI),

  • wartość 0x001: oznacza, że ramka należy do sieci wirtualnej, do której domyślnie należy każdy port mostu,

  • wartość 0xFFF jest identyfikatorem zarezerwowanym i nie powinna być stosowana.

Pozostałe wartości z podanego zakresu określają identyfikator sieci wirtualnej, do której należy zaklasyfikować odebraną ramkę z odpowiednią zawartością znacznika.

Większość urządzeń sieciowych nie wspiera całego zakresu identyfikatorów sieci wirtualnych. Ponadto najczęściej producenci przełączników ograniczają liczbę możliwych do stworzenia jednocześnie w urządzeniu wirtualnych sieci lokalnych.


E-RIF (ang. Embeded Routing Information Field)

Pole to może mieć długość od zera do 30 bajtów. Pozwala ono na przenoszenie w ramkach środowiska przezroczystego informacji routingu źródłowego (np. przenoszenie informacji z ramek Token Ring przez segment sieci Ethernet).


Zgodnie ze standardem, znacznik w ramce ethernetowej występuje zaraz po adresie MAC nadawcy. Dla sieci Token Ring i FDDI umieszczany jest on po polu informacji routingowej. W przypadku, gdy pole to nie występuje, znacznik umieszczany jest po adresie MAC nadawcy.


Rysunek 7.43 - Umiejscowienie znacznika w ramce Token Ring



Rysunek 7.44 - Umiejscowienie znacznika w ramce FDDI



Rysunek 7.45 - Umiejscowienie znacznika w ramce Ethernet

Za znacznikiem znajdują się pozostałe pola ramki w niezmienionej kolejności. W ramce bez znacznika następują one zaraz po adresie MAC nadawcy lub informacji routingowej (jeśli to pole występuje). Suma kontrolna umiejscowiona na końcu ramki jest obliczana ponownie, jeśli znacznik jest dodawany lub usuwany z ramki.




Pobieranie 0.53 Mb.

1   ...   13   14   15   16   17   18   19   20   ...   26




©absta.pl 2020
wyślij wiadomość

    Strona główna