Молчание не всегда доказывает присутствие ума, зато всегда доказывает отсутствие глупости

остроили новый полностью роботизированный завод. Идет экскурсия по цехам. Экскурсовод: ...

Релиз десктоп-окружения Trinity R14.0.5, продолжающего развитие KDE 3.5
Sat, 18 Aug 2018 19:59:09 +0300

Microsoft Research открыл код быстрого хранилища в формате ключ/значение
Sat, 18 Aug 2018 12:04:32 +0300

Выпуск Wine 3.14
Sat, 18 Aug 2018 11:11:42 +0300

Lubuntu переходит на Wayland
Fri, 17 Aug 2018 13:17:30 +0300

Компания Mozilla заблокировала 23 дополнения, отсылающих данные о посещениях
Fri, 17 Aug 2018 12:36:21 +0300

Выпуск KDE Applications 18.08
Thu, 16 Aug 2018 20:48:39 +0300

Выпуск браузера Pale Moon 28.0
Thu, 16 Aug 2018 18:57:52 +0300

Дополнение из состава 3D-фреймворка Verge3D опубликовано под свободной лицензией
Thu, 16 Aug 2018 11:56:06 +0300

В Firefox-дополнении Web Security выявлена отправка информации о посещениях
Thu, 16 Aug 2018 08:41:01 +0300

Уязвимость в OpenSSH, позволяющая определить наличие пользователей
Thu, 16 Aug 2018 08:04:45 +0300

Debian GNU/Linux исполнилось 25 лет
Thu, 16 Aug 2018 07:51:55 +0300

Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux
Thu, 16 Aug 2018 07:42:23 +0300

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD
Wed, 15 Aug 2018 13:26:03 +0300

Релиз системы виртуализации VirtualBox 5.2.18
Wed, 15 Aug 2018 12:45:58 +0300

Релиз эмулятора QEMU 3.0
Wed, 15 Aug 2018 09:55:14 +0300

L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel
Tue, 14 Aug 2018 23:07:47 +0300

47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk
Tue, 14 Aug 2018 20:44:09 +0300

Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей
Tue, 14 Aug 2018 20:22:28 +0300

Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1
Tue, 14 Aug 2018 14:36:18 +0300

Релиз профессионального видеоредактора DaVinci Resolve 15
Mon, 13 Aug 2018 23:46:51 +0300

Выпуск Launchpad Daemon 1.5, программного аналога MIDI-контроллера
Mon, 13 Aug 2018 23:16:18 +0300

Опубликован RFC для TLS 1.3
Mon, 13 Aug 2018 20:41:22 +0300

Релиз ядра Linux 4.18
Mon, 13 Aug 2018 07:20:37 +0300

Компания Tesla намерена открыть код систем обеспечения безопасности
Mon, 13 Aug 2018 07:13:08 +0300

Представлен порт Qt 1 для современных систем
Mon, 13 Aug 2018 07:06:50 +0300

Новая техника атаки на беспроводные сети с WPA2
Sun, 12 Aug 2018 12:05:04 +0300

Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4
Sun, 12 Aug 2018 08:45:31 +0300

Заявлено об обнаружении бэкдора в процессорах VIA C3
Sat, 11 Aug 2018 10:52:44 +0300

Инициатива по развитию открытого ПО для киноиндустрии
Fri, 10 Aug 2018 23:12:43 +0300

Выпуск децентрализованного коммуникационного клиента Ring-KDE 3.0.0
Fri, 10 Aug 2018 15:08:54 +0300

Разработчики bzip2 потеряли контроль над доменом bzip.org
Fri, 10 Aug 2018 10:00:02 +0300

Увидел свет язык программирования Julia 1.0
Thu, 09 Aug 2018 20:38:20 +0300

Выпуск PostgreSQL 10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24
Thu, 09 Aug 2018 19:00:46 +0300

Поддержка openSUSE Leap 42.3 продлена до июля 2019 года
Thu, 09 Aug 2018 18:45:29 +0300

Обновление DNS-сервера BIND 9.9.13-P1, 9.10.8-P1, 9.11.4-P1, 9.12.2-P1 с устранением уязвимости
Thu, 09 Aug 2018 18:29:48 +0300

Выпуск LibreSSL 2.8.0
Thu, 09 Aug 2018 18:18:35 +0300

Сформированы сборки KDE Neon на базе Ubuntu 18.04
Wed, 08 Aug 2018 23:52:22 +0300

Обновление Firefox 61.0.2
Wed, 08 Aug 2018 23:43:45 +0300

Google назвал нового руководителя Android Open Source Project
Wed, 08 Aug 2018 23:28:27 +0300

Доступен Whonix 14, дистрибутив для обеспечения анонимных коммуникаций
Wed, 08 Aug 2018 18:43:04 +0300

ВЛС Регуляторы трафика Поддержка IP TV
ВЛС и приоритизация трафика

Современный подход к построению сетей имеет девиз «коммутаторы — по возможности, маршрутизаторы — по необходимости». При этом на коммутаторы возлагаются задачи не только уменьшения размеров доменов коллизий (сегментация), но и локализации широковещательного и группового трафика, а также ограничения распространения кадров с неизвестными адресами назначения. Интеллектуальные коммутаторы служат средством построения виртуальных локальных сетей (ВЛС). Виртуальная локальная сеть (VLAN — Virtual LAN) — это, по сути, домен широковещательных кадров. Основные цели введения виртуальных сетей в коммутируемую среду — повышение полезной пропускной способности за счет локализации широковещательного трафика, формирование виртуальных рабочих групп из некомпактно (в плане подключения) расположенных узлов, обеспечение безопасности, улучшение соотношения цены/производительности по сравнению с применением маршрутизаторов.

Различия в реализациях ВЛС заключаются в критериях, по которым тот пли иной узел или даже конкретный кадр от него попадает в ту или иную виртуальную сеть:

Сеть по портам (port-based VLAN) — назначение каждому порту коммутатора принадлежности к конкретной ВЛС, самая простая организация, работающая на 1-м уровне (Layer I VLAN). При этом статическое конфигурирование выполняется вручную, и все перемещения узла (пользователя со своим компьютером) должны сопровождаться работой администратора. Для подключения общедоступного узла (например, сервера) нужна возможность назначения одному порту принадлежности нескольким ВЛС, что позволяют не все коммутаторы.

Сеть по спискам МАС-адресов членов, используется информация 2-го уровня (Layer 2 VLAN). Такой вариант обеспечивает большую гибкость, но сложен в первоначальной установке: администратору приходится оперировать со списками 12-разрядных шестнадцатиричных чисел. Правда, хорошее административное ПО позволяет поставить в соответствие этим «шифровкам» более понятные символьные имена, которыми оперировать проще. Перемещение компьютера (точнее, его сетевой карты) по сети будет отслеживаться коммутатором автоматически. Однако в случае использования блокнотных ПК, подключаемых к док-станциям, возникают проблемы: у ПК свой адрес, а у каждой док-станции — свой. При непосредственном подключении и подключении через док-станцию (пли разным док-станциям) у одного и того же пользователя будут разные МАС-адреса. При подключении разных ПК к док-станции все они будут входить в сеть по одному адресу.

ВЛС по типу протокола (protocol based VLAN), который определяется одним из полей кадра 2-го уровня (Layer 2 VLAN).

ВЛС, работающие на основе информации третьего уровня (Layer 3 VLAN) --номере сети IPX или подсети IP, — в точности повторяют критерии, используемые в архитектурах с маршрутизаторами. В ряде реализаций такие ВЛС могут распространяться на несколько соединенных между собой коммутаторов. Однако из-за сложности задач маршрутизации далеко не все коммутаторы способны обеспечить высокую производительность в данном режиме.

ВЛС для кадров группового трафика, создаваемые на основе анализа сообщений протокола IGMP. Для этих целей ВЛС должны организовываться динамически при открытии пользователями соответствующих приложений.

ВЛС «по правилам» (policy based VLAN) позволяют комбинировать вышеперечисленные критерии организации — самые мощные реализации ВЛС.

Кроме того, возможно использование аутентификации пользователя: при входе в сеть он принадлежит некой дежурной ВЛС, обеспечивающей связь с сервером аутентификации для ввода имени и пароля. Для каждого пользователя сервер хранит информацию о разрешенных ВЛС, и эту информацию загружает в коммутаторы, конфигурируя разрешенные пути передачи кадров. Такая система, конечно, сложна и дорога, и ее применяют, когда предъявляются особо высокие требования к защите.

Когда виртуальные сети распространяются на несколько связанных между собой коммутаторов, возникает довольно сложная задача передачи информации о принадлежности передаваемых кадров к той пли иной ВЛС. В ВЛС на основе номеров портов относительно простые коммутаторы должны быть соединены столькими линиями связи, сколько определено распределенных ВЛС. Это приводит к дополнительным расходам портов коммутаторов на межкоммутаторные связи, и виртуальные сети практически перестают отличаться от реальных. Сети без излишних линий связи с передачей информации о ВЛС строятся либо на основе фирменных решений (при этом объединяться могут лишь коммутаторы одной фирмы или даже одного семейства), либо на основе стандарта 802.1Q.

Задача идентификации принадлежности кадров Ethernet к конкретной виртуальной сети совместно с обеспечением приоритизации обслуживания кадров коммутаторами решается с помощью применения маркировки кадров. Недавно принятая пара связанных стандартов IEEE 802.1Q и 802.1р закладывает основу для взаимодействия оборудования различных производителей. Стандарт IEEE 802.1Q определяет структуру заголовка для маркированных кадров (tagged frames) Ethernet. Тег вставляется в обычный кадр Ethernet после адреса источника (SA). В тег входит 3-битное поле приоритета кадра Prt, 12-битное поле идентификатора ВЛС VID (YLAN ID) и бит-индикатор канонического формата заголовка CFI (Canonical Format Identifier). Поле VID позволяет определить принадлежность кадра к конкретной ВЛС (до 4096 штук) в пределах коммутируемой сети, поддерживающей маркированные кадры. Поле приоритета кадра позволяет различать 8 уровней приоритета. Маркировку кадра выполняет либо сетевой адаптер конечного узла, «понимающий» ВЛС по 802.1Q, либо коммутатор, который первым принимает данный кадр (он вставляет идентификатор и приоритет но заданным правилам, например, по номеру порта). Маркированный кадр путешествует по коммутаторам сети, где его обслуживают (или не обслуживают) в соответствии с идентификатором ВЛС и полем приоритета. Маркировочное

поле удаляется из кадра пограничным коммутатором (тем, к которому подключен традиционный узел назначения или его разделяемый сегмент), пли же оно достигает сетевого адаптера узла назначения, поддерживающего маркированные кадры. Устройство, вставляющее тег в кадр или удаляющее тег, должно пересчитать контрольную последовательность кадра (поле FCS), по которой определяется его целостность. Поддержка маркированных кадров конечными узлами позволяет наиболее гибко формировать виртуальные сети (один узел может входить и в несколько виртуальных сетей) в коммутируемой среде.

Стандарт IEEE 802 .1Q определяет поведение коммутаторов при обработке маркированных кадров с использованием приоритизации Коммутатор, поддерживающий приоритизацию, должен иметь для каждого порта несколько выходных очередей, в которые помещаются кадры в зависимости от их приоритета.

Дисциплина обслуживания этих очередей определяется при конфигурировании коммутатора. Необходимость приоритизации трафика появляется с введением мультимедийных приложений, чувствительных к задержкам. Протокол IP позволяет управлять приоритетом обработки пакетов устройствами 3-го уровня (маршрутизаторами). Маркировка кадров распространяет управление приоритетом и на уровень коммутаторов технологии Ethernet, изначально не имевшей этих средств (в отличие от Token Ring и FDDI). Для того чтобы обеспечивать гарантированное качество сервиса (регламентированную скорость и задержки), необходимо взаимодействие нескольких составляющих. Маркировка кадров обеспечивает систему сигнализации приоритета, 802.1р обеспечивает приоритизацию обработки. Необходимы еще средства распределения ресурсов сети, которые сообщают конечным узлам разрешенные параметры трафика. Кроме того, необходимы и «полицейские» средства, следящие за трафиком узлов и пресекающие попытки его генерации сверх согласованных лимитов.

Коммутаторы для ВЛС требуют предварительного конфигурирования (поставляются они обычно в состоянии, в котором ведут себя как обычные коммутаторы). Для конфигурирования удобно использовать внеполосное управление, поскольку при внутриполосном по неосторожности или неопытности можно попасть в «капкан» — в какой-то момент из-за ошибки конфигурирования консоль может потерять связь с коммутатором.

Портам коммутаторов, поддерживающих 802.1Q и участвующим в формировании ВЛС, назначаются специфические атрибуты. Каждому порту назначается PVID (Port VLAN Identifier) — идентификатор ВЛС для всех приходящих на него немаркированных кадров. Портам коммутаторов, поддерживающих 802.1Q. и участвующим в формировании ВЛС, назначаются специфические атрибуты. Коммутатор маркирует каждый приходящий к нему немаркированный кадр (вставляет номер VLAN и приоритет, пересчитывает FCS), а маркированные оставляет без изменений. В результате внутри коммутатора все кадры будут маркированными. Порты могут конфигурироваться как маркированные или немаркированные члены ВЛС. Немаркированный член ВЛС (untagged member) выходящие через него кадры выпускает без тега (удаляя его и снова пересчитывая FCS). Маркированный член ВЛС (tagged member) выпускает все кадры маркированными. Теги берутся либо исходные (когда в коммутатор кадр входил уже маркированным), либо (для приходящих немаркированных кадров) устанавливаются в соответствии PVID и приоритетом порта, откуда этот кадр пришел в коммутатор. Для каждой ВЛС определяется список портов, являющихся ее членами. Порт может быть членом одной или более ВЛС. Маркированный кадр, пришедший на порт с «чужим» для него идентификатором ВЛС, называется незарегистрированным (unregistered) и коммутатором игнорируется.

При конфигурировании для каждой ВЛС каждый порт должен быть объявлен как немаркированный (U), маркированный (Т) или не являющийся членом данной VLAN (-). Каждому порту назначается приоритет (P_Prt) и идентификатор ВЛС (PVID). Если используется запараллеливание портов (port trunking) или резервирование линий (LinkSafe), то с точки зрения ВЛС заиараллеленные порты представляют единое целое.

На последней схеме приведена структура сети с ВЛС, распространяющимися на несколько коммутаторов. Коммутаторы SW2 и SW3 поддерживают 802.1Q, SW1 поддерживает только ВЛС по портам, SW4 — коммутатор без поддержки ВЛС. Для того чтобы в обе ВЛС VI и V2 попали узлы, подключенные к коммутаторам SW1 и SW2, между этими коммутаторами приходится прокладывать отдельные линии и занимать по порту на каждую ВЛС. Порты 1 и 2 коммутатора SW2 конфигурируются как немаркированные (U), один для ВЛС VI (PVID=1), другой для V2 (PVID=2). Порт 8 у SW2 и 1 у SW3 объявляются маркированным (Т) для ВЛС V2 и V3. Порты SW2 и SW3, к которым подключаются компьютеры, объявляются немаркированными членами соответствующих ВЛС, у этих портов PVID принимает значения 1, 2 и 4 (в соответствии с номером ВЛС). Членам ВЛС V2 и V3 разрешаем доступ в Интернет через маршрутизатор, подключенный к порту 7 коммутатора SW3. Для этого порт 7 конфигурируется как немаркированный член V2 и V3, это обеспечит прохождение всех кадров от пользователей Интернет к маршрутизатору. Для того чтобы ответные кадры могли дойти до пользователей, назначим порту 7 коммутатора SW3 PVID=9 — это будет дополнительная ВЛС для доступа к Интернет. Эта ВЛС должна быть «прописана» и во всех портах SW2 и SW3, к которым подключаются пользователи Интернета (включая и порт SW2.2, через который подключаются члены V2, подключенные к SW1). Порты SW2.8 и SW3.1 будут маркированными членами ВЛС 9, остальные — немаркированными. Заметим, что пользователи ВЛС 2, 3 и 4 друг друга смогут увидеть только через маршрутизатор (если позволит установленная на нем политика фильтрации). Если использовать узлы, поддерживающие маркировку кадров (эта возможность имеется в современных серверных картах), то их можно подключать к маркированным портам коммутаторов 802.1Q. Поддержка 802.1Q особенно желательна на магистральных коммутаторах, разнесенных территориально, — тогда развитие сети не будет требовать прокладки новых магистральных линий (пока хватает их пропускной способности). В пределах одного распределительного пункта поддержка 802.1 Q избавляет от необходимости физических перекоммутаций, связанных с изменением структуры сети, а также перемещением, добавлением и удалением пользователей.

НОВОСТИ: Релиз ядра Linux 4.18 Mon, 13 Aug 2018 07:20:37 +0300

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.18. Среди наиболее заметных изменений в ядре 4.18: возможность монтирования ФС на базе FUSE непривилегированным пользователем, пакетный фильтр bpfilter, подсистема AF_XDP (eXpress Data Path), новый тип модулей ядра umh (usermode helper), device-mapper модуль writecache, поддержка.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome