"Человек - самое уязвимое место в системе безопасности.."

алгоритм покрывающего дерева

В локальных сетях где реализована функция только первого и второго уровня модели ISO/OSI, проблема реализации альтернативных путей имеет свой характер. Стандартные протоколы могут использовать только древовидные топологии, то есть не содержащие замкнутых контуров.

Алгоритм покрывающего дерева — STA, протокол покрывающего дерева — STP. Производители коммутаторов реализуют алгоритм STA, и такие коммутаторы используют в участках повышенной требуемой надежности также там, где могут возникать проблемы защиты информации в сетях.

Алгоритм STA описывает сеть в виде графа, вершинами которого есть сегменты сети и коммутаторы. Это показано на рис.1. Сегмент — часть сети которая не содержит коммутаторов. Сегмент может включать концентраторы/повторители. Алгоритм реализует построение древовидной топологии каналов с единым путем минимальной длины от каждого сегмента и от каждого коммутатора до корневого коммутатора — корня дерева. Единый путь гарантирует отсутствие петель. Метрика — величина расстояния обратно пропорциональная пропускной способности сегмента. Идентификатор коммутатора — эьл 8-байтовое число, где MAC-адрес составляет шесть младших байтов,а два старших остается для администратора который вручную ставит корневой коммутатор для алгоритма. Корневой порт — порт, который использует самый минимальный путь к корневому коммутатору.BPDU — специальные пакеты, которыми обмениваются коммутаторы для определения минимальной метрики.

сеть представлена алгоритмом STA

Рисунок 1

Три этапа построения дерева

На рис.2 показан пример сети, на котором будет проведет алгоритм покрывающего дерева. Алгоритм STA анализирует активную конфигурацию сети в 3 этапа.

пример покрывающего дерева STA

Рисунок 2

Первый этап — определяем корневой коммутатор, где начнется дерево. Обычно если администратор не участвует в процессе, выбирается устройство с минимальным MAC-адресом блока управления. Лучше чтобы администратор принимал участие в процессе, и назначал корневой коммутатор исходя из логики и адекватности выбора. На рисунку корневым коммутатором есть №1.

Второй этап — Выбираем корневой порт для каждого коммутатора. Метрика определяется по пакетам BPDU. На рисунку видно, что коммутатор №2 принимает из сегмента 1 пакет BPDU с метрикой — 0, и увеличивает его на 10 у.е.. Ретранслируя эти пакеты, каждый коммутатор запоминает минимальное число к корню. При равных метриках проверяется идентификаторы портов и коммутаторов. На рисунку видно, что коммутатор №3 выбирает порт №1 в качестве корневого, так как метрика к корню — 10.

Третий этап — выбор назначенных коммутатора и порта. Для каждого сегмента сети выбирается назначенный порт и соответственный порт коммутатора сегмента. остальные порты кроме назначенных и корневых блокируются (на рис. они перечеркнуты). Математически доведено, что при таком алгоритме в сети исключаются петли, и образуется покрывающее дерево. После коммутатор строит таблицу продвижения.

В процессе обычной работы корневой коммутатор генерирует пакеты BPDU с определенным интервалом, а назначенные порты ретранслируют эти пакеты.

Достоинства и недостатки STA

Один из основных плюсов данного алгоритма, это то решение о реконфигруции происходит не только с учетом момедних связей, но и связей в отдаленных сегментах сети. К недостаткам можно отнести, что если в сети используется много коммутаторов, то время определения новой активности может быть слишком большим.

Плохая реализация алгоритма также может быть вызвана:

Посмотрите также пример шифрования RSA.