и входять BPDU, він сам намагається зв'язатися скоммутатором на тому кінці дроту за допомогою спеціальних proposal BPDU, у яких, звісно, ??є інформація про вартість маршруту до кореневого мосту. Другий комутатор порівнює отриману інформацію зі своєї поточної, і приймає рішення, про що сповіщає перший комутатор допомогою agreement BPDU. Оскільки весь цей процес тепер не прив'язаний до таймерів, відбувається він дуже швидко- тільки підключили новий комутатор - і він практично відразу вписався в загальну топологію і приступив до роботи. У CiscoRSTP називається PVRST (Per-Vlan Rapid Spanning Tree).
2.1.3 Протокол MSTP
Трохи вище, ми згадували про PVST, в якому для кожного VLAN-а існує свій процес STP. VLAN-и це досить зручний інструмент для багатьох цілей, і тому, їх може бути досить багато навіть в некрупною організації. І у випадку PVST, для кожного буде розраховуватися своя топологія, витрачатися процесорний час і пам'ять комутаторів. А чи потрібно нам розраховувати STP для всіх 500 VLAN-ів, коли єдине місце, де він нам нужен- це резервний канал між двома комутаторами? Тут нас виручає MSTP. У ньому кожен VLAN не зобов'язаний мати власний процес STP, їх можна об'єднувати. От у нас є, наприклад, 500 VLAN-ів, і ми хочемо балансувати навантаження так, щоб половина з них працювала по одному каналу (другий при цьому блокується і стоїть в резерві), а друга-по іншому. Це можна зробити за допомогою звичайного STP, призначивши один кореневий комутатор в діапазоні VLAN-ів від 1-250, а інший- в діапазоні 250-500. Але процеси працюватимуть для кожного з п'ятисот VLAN-ів окремо (хоча діяти будуть абсолютно однаково для кожної половини). MSTP дозволяє створювати стільки процесів STP, скільки у нас логічних топологій, і розподіляти по них VLAN-и.
2.2 Агрегація каналів
Який би варіант STP не використовувався все одно існує так чи інакше непрацюючий канал зв'язку. Виникає питання - чи можливо задіяти паралельні канали зв'язку поповнять і при цьому уникнути петель? Так, така можливість є, використовуючи функції EtherChannelна Cisco. Інакше це називається linkaggregation, linkbundling, NICteaming, porttrunking.
Технології агрегації (об'єднання) каналів виконують 2 функції: з одного боку, це об'єднання пропускної здатності декількох фізичних зв'язків, а з іншого - забезпечення відмовостійкості сполуки (у випадку падіння одного каналу навантаження переноситься на решту). Об'єднання канало зв'язку можна виконати як вручну (статичне агрегування), так і за допомогою спеціальних протоколів: LACP (Link Aggregation Control Protocol) і PAgP (Port Aggregation Protocol). LACP, обумовлених стандартом IEEE 802.3ad, є відкритим стандартом, тобто від виробника устаткування не залежить. Відповідно, PAgP - пропріетарна розробка Cisco.В один такий канал можна об'єднати до восьми портів. Алгоритм балансування навантаження заснований на таких параметрах, як IP/MAC-адреси одержувачів і відправників, і порти.
Глава 3. Схеми можливих атак, способи їх виявлення і захисту
Ідея першої групи атак лежить практично на поверхні. Суть полягає в тому, що сам принцип функціонування STP дозволяє легко організувати відмову в обслуговуванні. Дійсно, відповідно до специфікації протоколу, під час реконфігурації SpanningTreeпорти задіяних пристроїв не передають користувальницькі кадри. Таким чином, для приведення мережі (або, принаймні, одного з її сегментів) в зумовити досить змусити STP-сумісне обладнання постійно перебувати в режимі реконфігурації. Це може бути ініціалізація виборів, наприклад, головного кореня, призначеного моста або кореневого порту, т. Е. Будь-якого з виборних об'єктів. При цьому відсутність в STP будь-яких механізмів аутентифікації дозволяє зловмисникові відносно легко домогтися своєї мети шляхом посилки пакетів BPDU.
Програму, генеруючу BPDU, можна реалізувати на будь-якому з мов високого рівня, якщо він дозволяє працювати з сокетами (raw-socket). Інший варіант - використання стандартних утиліт для управління SpanningTree, наприклад з проекту Linux Bridge Project. Однак в останньому випадку неможлива маніпуляція параметрами STP зі значеннями, що виходять межі специфікації.
3.1 Основні методи атаки на протокол STP
.1.1 Вічні вибори
Атакуючий виробляє моніторинг мережі за допомогою мережевого аналізатора і чекає проходження чергового конфігураційного BPDU від кореневого мосту, з якого він дізнається його ідентифікатор. Після цього він посилає в мережу пакет з ідентифікатором моста на одиницю меншим, ніж у поточного кореневого моста, тим самим заявляючи про бажання стати кореневим мостом і ініціюючи вибори. Потім він знову зменшує на оди...
