Компьютерные сети

Особенности MAC-адресов:

• Уникальность: Каждая сетевая карта имеет свой MAC-адрес, "вшитый" производителем
• Локальная сеть: MAC-адреса работают только в пределах одной локальной сети (L2-домена)
• Не маршрутизируется: В отличие от IP, MAC-адреса не используются для маршрутизации между сетями
• Пример: 00:1B:44:11:3A:B7 — типичный MAC-адрес

Процесс ARP-запроса (упрощенно):

1. Устройство A хочет отправить данные на IP 192.168.1.10
2. Устройство A проверяет свой ARP-кэш — есть ли там MAC для этого IP?
3. Если нет, Устройство A отправляет ARP-запрос (broadcast): "Кто имеет IP 192.168.1.10? Сообщите свой MAC!"
4. Устройство B (с IP 192.168.1.10) отвечает: "Это я! Мой MAC: AA:BB:CC:DD:EE:FF"
5. Устройство A сохраняет эту пару (IP → MAC) в ARP-кэш и отправляет данные

Структура кадра Ethernet (IEEE 802.3):

• Destination MAC (6 байт) — MAC-адрес получателя. Куда отправляем?
• Source MAC (6 байт) — MAC-адрес отправителя. От кого?
• EtherType/Length (2 байта) — тип данных внутри. Например:
  • 0x0800 — внутри IP-пакет (IPv4)
  • 0x86DD — внутри IP-пакет (IPv6)
  • 0x0806 — ARP-сообщение
• Payload (46-1500 байт) — полезные данные (например, IP-пакет с веб-страницей)
• FCS (4 байта) — контрольная сумма для проверки целостности данных

MAC (Media Access Control) — подуровень управления доступом к среде:

• Назначение: Управляет физическим доступом к среде передачи данных (кабель, эфир)
• Функции:
  • Формирование и разбор кадров Ethernet
  • Добавление и проверка MAC-адресов (отправителя и получателя)
  • Контроль доступа к среде (CSMA/CD для проводных, CSMA/CA для беспроводных)
  • Обнаружение ошибок через контрольную сумму FCS (Frame Check Sequence)
• Зависимость от технологии: MAC специфичен для каждой технологии (Ethernet, Wi-Fi, Token Ring и т.д.)
• Примеры стандартов: IEEE 802.3 (Ethernet), 802.11 (Wi-Fi), 802.15 (Bluetooth)

LLC (Logical Link Control) — подуровень логического управления каналом (IEEE 802.2):

• Назначение: Обеспечивает интерфейс между сетевым уровнем (L3) и подуровнем MAC
• Функции:
  • Мультиплексирование протоколов сетевого уровня (IPv4, IPv6, IPX и др.)
  • Управление потоком данных между узлами
  • Обеспечение надежности передачи (опционально)
  • Обработка ошибок на уровне соединения
• Независимость от технологии: LLC работает одинаково для любой технологии L2 (Ethernet, Wi-Fi и т.д.)
• Заголовок LLC: Содержит DSAP (Destination Service Access Point), SSAP (Source Service Access Point) и Control поле

Типы LLC-сервисов:

• Тип 1 (LLC1) — без подтверждения:
  • Простая доставка без гарантий
  • Нет контроля потока и повторной передачи
  • Самый распространенный в Ethernet
• Тип 2 (LLC2) — с подтверждением:
  • Надежная доставка с установлением соединения
  • Контроль потока, нумерация кадров, повторная передача
  • Используется в критичных приложениях (например, SNA)
• Тип 3 (LLC3) — без подтверждения, с повторами:
  • Гибрид: без установления соединения, но с подтверждениями
  • Используется редко

Принцип работы коммутатора:

1. Обучение: Когда коммутатор получает кадр, он запоминает: "MAC-адрес отправителя находится на порту X" и сохраняет это в CAM-таблицу (Content Addressable Memory)
2. Принятие решения: Когда приходит кадр для отправки:
   • Если MAC получателя известен → отправляет кадр только на нужный порт
   • Если MAC получателя неизвестен → отправляет кадр на все порты (кроме порта отправителя) — это называется flooding
   • Если это broadcast (ff:ff:ff:ff:ff:ff) → всегда отправляет на все порты
3. Старение записей: Если устройство не отправляет данные 5 минут, запись удаляется из таблицы (aging timeout)

Пример: отправка веб-запроса в локальной сети

1. Приложение хочет открыть сайт на IP 192.168.1.100
2. Операционная система проверяет: это устройство в моей сети? (сравнивает подсети)
3. Если да → нужен MAC-адрес. Проверяется ARP-кэш
4. Если MAC неизвестен → отправляется ARP-запрос (broadcast)
5. Устройство 192.168.1.100 отвечает своим MAC
6. Создается IP-пакет (с IP-адресами) и упаковывается в Ethernet-кадр (с MAC-адресами)
7. Коммутатор получает кадр, смотрит в CAM-таблицу и отправляет на нужный порт
8. Получатель получает кадр, проверяет MAC (свой ли?), извлекает IP-пакет и обрабатывает

Расширенный формат кадра (802.1Q для VLAN):

• 802.1Q Tag (4 байта, опционально) — добавляется для VLAN:
  • TPID (0x8100) — идентификатор тега
  • PCP (Priority Code Point) — приоритет для QoS
  • DEI (Drop Eligible Indicator) — можно ли отбросить при перегрузке
  • VID (VLAN ID) — номер виртуальной сети (1-4094)

CSMA/CD (Collision Detection) — для проводных сетей Ethernet:

• Carrier Sense — устройство слушает среду передачи перед отправкой данных
• Multiple Access — несколько устройств могут использовать одну среду
• Collision Detection — устройство обнаруживает коллизию во время передачи

Как работает CSMA/CD:

1. Прослушивание: Перед передачей устройство проверяет, свободна ли среда
2. Передача: Если среда свободна, устройство начинает передачу и продолжает слушать
3. Обнаружение коллизии: Если во время передачи обнаружена коллизия (уровень сигнала выше ожидаемого), передача прерывается
4. Jam-сигнал: Отправляется специальный сигнал, чтобы все устройства узнали о коллизии
5. Backoff: Устройство ждет случайное время (алгоритм exponential backoff) и повторяет попытку

CSMA/CA (Collision Avoidance) — для беспроводных сетей (Wi-Fi):

• Carrier Sense — устройство слушает эфир перед передачей
• Multiple Access — несколько устройств используют одну частоту
• Collision Avoidance — устройство пытается избежать коллизии, а не обнаружить её

Почему в Wi-Fi нельзя использовать CSMA/CD:

• Проблема "скрытого узла": Устройство A и C не слышат друг друга, но обе общаются с точкой доступа B — коллизии неизбежны
• Невозможность одновременной передачи и приема: Радиомодули не могут передавать и слушать одновременно на одной частоте
• Затухание сигнала: Отраженные сигналы и слабый уровень делают обнаружение коллизий невозможным

Проблемы единой сети:

• Broadcast-шторм: Каждое устройство получает все broadcast-сообщения (ARP, DHCP и т.д.) от всех остальных устройств
• Безопасность: Любое устройство может "слушать" трафик других (хотя коммутаторы ограничивают это, но не полностью)
• Логическая изоляция: Невозможно разделить сеть на отделы (бухгалтерия, отдел продаж, гости) без физического разделения
• Масштабирование: При росте сети broadcast-трафик засоряет каналы

Принцип работы VLAN:

1. Создание VLAN: Администратор создает VLAN 10 (например, для отдела продаж) и VLAN 20 (для бухгалтерии)
2. Назначение портов: Порты коммутатора назначаются конкретным VLAN
3. Изоляция: Устройство из VLAN 10 не может напрямую общаться с устройством из VLAN 20
4. Маршрутизация: Для связи между VLAN нужен маршрутизатор (L3-устройство)

Access-порт (доступный порт):

• Назначение: Подключение конечных устройств (компьютеры, принтеры, серверы)
• Особенность: Порт принадлежит только одному VLAN
• Кадры: Отправляются без тега VLAN (untagged)
• Пример: Порт 1 → VLAN 10, Порт 2 → VLAN 20

Trunk-порт (магистральный порт):

• Назначение: Соединение между коммутаторами для передачи нескольких VLAN
• Особенность: Может переносить кадры из разных VLAN одновременно
• Кадры: Отправляются с тегом VLAN (tagged) — стандарт 802.1Q
• Пример: Trunk между коммутаторами переносит VLAN 10, 20, 30

Структура тега 802.1Q:

• TPID (Tag Protocol Identifier) — 0x8100, указывает что это тег 802.1Q
• PCP (Priority Code Point) — приоритет кадра (0-7) для QoS
• DEI (Drop Eligible Indicator) — можно ли отбросить кадр при перегрузке
• VID (VLAN ID) — номер VLAN (1-4094), это главное поле

Сценарий:

Офис с тремя отделами: продажи (VLAN 10), бухгалтерия (VLAN 20), гости (VLAN 30).

1. Коммутатор 1:
   • Порты 1-5 → Access, VLAN 10 (продажи)
   • Порты 6-10 → Access, VLAN 20 (бухгалтерия)
   • Порт 24 → Trunk (соединение с коммутатором 2)
2. Коммутатор 2:
   • Порты 1-3 → Access, VLAN 30 (гости)
   • Порт 24 → Trunk (соединение с коммутатором 1)
3. Результат:
   • Устройства из VLAN 10 не видят устройства из VLAN 20 и 30
   • Все VLAN передаются через Trunk между коммутаторами
   • Для связи между VLAN нужен маршрутизатор

Зачем использовать VLAN:

• Безопасность: Изоляция трафика между отделами
• Уменьшение broadcast-трафика: Broadcast не выходит за пределы VLAN
• Гибкость: Логическое разделение без физической перестройки сети
• Управление: Легче применять политики безопасности к группам устройств
• Масштабирование: Сеть легче расширять и управлять

QinQ (802.1ad) — двойная тегировка:

Используется провайдерами для передачи клиентских VLAN через свою сеть. Добавляется второй тег (S-tag) поверх клиентского тега (C-tag).

Режимы работы VTP:

• Server — может создавать, изменять и удалять VLAN. Распространяет изменения на другие коммутаторы
• Client — получает информацию о VLAN от серверов, но не может изменять конфигурацию
• Transparent — не участвует в VTP, но пропускает VTP-сообщения через себя. Может создавать локальные VLAN

Как работает VTP:

1. VTP Domain: Все коммутаторы должны быть в одном домене (имя домена)
2. Revision Number: Каждое изменение увеличивает номер ревизии
3. Распространение: Коммутатор с большим номером ревизии отправляет обновления остальным
4. Синхронизация: Коммутаторы принимают изменения и обновляют свою конфигурацию

Режимы DTP:

• Dynamic Auto — порт становится Trunk, если соседний порт активно предлагает (Dynamic Desirable или Trunk)
• Dynamic Desirable — порт активно пытается стать Trunk, отправляет DTP-запросы
• Trunk — порт всегда работает как Trunk
• Access — порт всегда работает как Access
• Nonegotiate — DTP отключен, порт не отправляет DTP-сообщения

Что происходит при петле:

1. Broadcast-шторм: Broadcast-кадр (например, ARP-запрос) попадает в петлю и начинает циркулировать, создавая копии самого себя
2. Перегрузка сети: Трафик растет экспоненциально, забивая все каналы
3. Нестабильность MAC-таблиц: Коммутаторы видят один MAC-адрес на разных портах и постоянно обновляют таблицы
4. Отказ сети: Сеть становится полностью неработоспособной

Как работает STP:

1. Выбор корневого коммутатора (Root Bridge): Все коммутаторы выбирают один "главный" коммутатор на основе Bridge ID (приоритет + MAC-адрес). Чем меньше Bridge ID, тем лучше.
2. Определение путей: Каждый коммутатор находит кратчайший путь к корневому коммутатору
3. Блокировка портов: Порты, которые создают избыточные пути, переводятся в состояние Blocking (блокировка)
4. Активные пути: Остаются только порты, которые не создают петель

Типы портов:

• Root Port — порт на каждом коммутаторе (кроме корневого), который ведет к корневому коммутатору кратчайшим путем. У каждого коммутатора только один Root Port.
• Designated Port — активный порт на сегменте сети, который пересылает трафик. На каждом сегменте только один Designated Port.
• Alternate/Backup Port — заблокированный порт, который создает избыточный путь. Эти порты находятся в состоянии Blocking и не пересылают трафик.

Переход порта в активное состояние:

1. Blocking (блокировка) — порт не пересылает кадры, но слушает BPDU (Bridge Protocol Data Units) — служебные сообщения STP
2. Listening (прослушивание) — порт начинает участвовать в выборе путей, но еще не пересылает данные
3. Learning (обучение) — порт изучает MAC-адреса, но еще не пересылает данные
4. Forwarding (пересылка) — порт полностью активен и пересылает трафик

Улучшения RSTP:

• Быстрая конвергенция: Порты могут сразу переходить в Forwarding, если нет риска петли
• Новые роли портов: Добавлены Alternate и Backup порты для лучшего управления
• Согласование портов: Порты могут договариваться о быстром переходе в активное состояние
• Обратная совместимость: RSTP работает со старым STP

Настройки для стабильной работы:

• PortFast — на портах, подключенных к конечным устройствам (компьютеры, серверы). Позволяет порту сразу переходить в Forwarding, минуя промежуточные состояния.
• BPDU Guard — защита от подключения неавторизованных коммутаторов. Если на порте с PortFast приходит BPDU, порт блокируется.
• Root Guard — защита от изменения корневого коммутатора. Если на защищенном порте появляется лучший BPDU, порт переходит в состояние "root-inconsistent".

Основные диапазоны:

• 2.4 ГГц — старый, но широко поддерживаемый диапазон. Плюсы: хорошее проникновение через стены, большая дальность. Минусы: перегружен (много устройств), медленнее.
• 5 ГГц — современный диапазон. Плюсы: больше каналов, выше скорость, меньше помех. Минусы: меньшая дальность, хуже проходит через стены.
• 6 ГГц — новый диапазон (Wi‑Fi 6E). Плюсы: еще больше каналов, очень высокая скорость. Минусы: требует новых устройств, меньшая дальность.

Ширина каналов:

• 20 МГц — узкий канал, меньше помех, подходит для плотных сетей
• 40 МГц — средний канал, выше скорость, но больше помех
• 80 МГц — широкий канал, очень высокая скорость (5 ГГц)
• 160 МГц — очень широкий канал, максимальная скорость (5/6 ГГц)

Основные стандарты:

• 802.11n (Wi‑Fi 4) — поддерживает MIMO, скорость до 600 Мбит/с, работает на 2.4 и 5 ГГц
• 802.11ac (Wi‑Fi 5) — только 5 ГГц, скорость до 6.77 Гбит/с, широкие каналы (80/160 МГц)
• 802.11ax (Wi‑Fi 6) — работает на 2.4, 5 и 6 ГГц, скорость до 9.6 Гбит/с, лучше для множества устройств
• 802.11be (Wi‑Fi 7) — новейший стандарт, скорость до 46 Гбит/с, еще более эффективен

Методы защиты:

• WPA3 — самый современный стандарт безопасности. Использует SAE (Simultaneous Authentication of Equals) для защиты от атак перебора паролей.
• WPA2 — предыдущий стандарт, все еще широко используется. Использует 4-шаговое рукопожатие для установления соединения.
• 802.1X — корпоративный стандарт, требует сервер аутентификации (RADIUS). Каждое устройство аутентифицируется отдельно.
• Изоляция клиентов — устройства в одной сети не могут общаться друг с другом напрямую (важно для гостевых сетей).

Как работает CSMA/CA:

1. Прослушивание: Устройство слушает эфир перед передачей
2. Ожидание: Если эфир занят, устройство ждет случайное время
3. RTS/CTS: Для больших пакетов используется RTS (Request To Send) и CTS (Clear To Send) — "разрешение на передачу"
4. Передача: Только после получения разрешения начинается передача

Ключевые принципы:

• Покрытие: Точки доступа должны покрывать всю нужную зону без "мертвых зон"
• Мощность: Не делайте мощность слишком высокой — это создаст помехи соседним AP
• Каналы: Используйте непересекающиеся каналы для соседних AP (например, 1, 6, 11 в диапазоне 2.4 ГГц)
• Плотность: В местах с большим количеством устройств используйте больше AP с меньшей мощностью

Механизмы роуминга:

• 802.11k — точка доступа сообщает клиенту список соседних AP и их характеристики
• 802.11v — точка доступа может "подсказать" клиенту, когда лучше переключиться на другую AP
• 802.11r (FT) — быстрое переключение (Fast Transition). Ключи шифрования передаются заранее, что ускоряет переход

Категории трафика (Access Categories):

• AC_VO (Voice) — голосовой трафик (высший приоритет)
• AC_VI (Video) — видеотрафик
• AC_BE (Best Effort) — обычный трафик (веб, почта)
• AC_BK (Background) — фоновый трафик (низший приоритет)

Преимущества агрегации:

• Повышение пропускной способности: Если объединить два канала по 1 Гбит/с, получится канал 2 Гбит/с
• Отказоустойчивость: Если один кабель выйдет из строя, остальные продолжат работать
• Балансировка нагрузки: Трафик распределяется между каналами

Процесс агрегации:

1. Обнаружение: Коммутаторы обмениваются LACP-сообщениями и обнаруживают совместимые порты
2. Согласование: Проверяется совместимость портов (скорость, дуплекс, настройки)
3. Объединение: Совместимые порты объединяются в одну логическую группу
4. Распределение трафика: Трафик распределяется между портами по алгоритму хэширования

Принцип распределения:

• По потокам: Один поток (например, соединение между двумя устройствами) всегда идет по одному каналу
• Хэширование: Коммутатор вычисляет хэш на основе IP-адресов, MAC-адресов или портов и выбирает канал
• Ограничение: Один поток не может превысить пропускную способность одного физического линка

Зачем нужна Port Security:

• Защита от несанкционированного доступа: Если кто-то подключит неавторизованное устройство, порт заблокируется
• Ограничение устройств: Можно разрешить только определенные MAC-адреса на порту
• Защита от атак: Предотвращает атаки, связанные с подменой MAC-адресов

Настройки Port Security:

• Максимальное количество MAC: Сколько устройств может быть подключено к порту (например, 1 или 5)
• Статические MAC: Можно указать конкретные MAC-адреса, которым разрешен доступ
• Реакция на нарушение: Что делать при нарушении (заблокировать порт, отправить уведомление и т.д.)

Компоненты и функции

• CFM домены/уровни (MEG/MD/MA): иерархия обслуживаемых сущностей; уровни разделяют клиентские и провайдерские домены.
• CCM: непрерывные контрольные сообщения для проверки целостности пути.
• LB/LT: Loopback/Linktrace — аналог ping/traceroute на L2.
• Y.1731 метрики: задержка, вариация задержки, потери, измерение SLA.
• Fault management: AIS, RDI, локализация и сигнализация отказов.

Управляющие кадры (Management Frames):

• Beacon — точка доступа периодически отправляет эти кадры, чтобы объявить о своем существовании и параметрах сети (SSID, скорость, безопасность)
• Probe Request/Response — клиент ищет сети (Probe Request), точка доступа отвечает (Probe Response)
• Authentication — аутентификация клиента перед подключением
• Association — финальный шаг подключения, клиент "регистрируется" в сети

Контрольные кадры (Control Frames):

• RTS (Request To Send) — запрос на передачу данных
• CTS (Clear To Send) — разрешение на передачу
• ACK — подтверждение получения кадра

Эти кадры помогают избежать коллизий и подтверждают успешную передачу.

Кадры данных (Data Frames):

• Содержат полезную нагрузку (IP-пакеты, веб-страницы и т.д.)
• Могут включать QoS-информацию для приоритизации трафика

Шаги подключения:

1. Сканирование: Клиент слушает Beacon-кадры или отправляет Probe Request
2. Аутентификация: Клиент и точка доступа обмениваются Authentication-кадрами
3. Ассоциация: Клиент отправляет Association Request, точка доступа отвечает Association Response
4. Безопасность: Происходит 4-шаговое рукопожатие (WPA2) или SAE (WPA3) для установления шифрования
5. Передача данных: Теперь клиент может отправлять и получать данные

WPA2 (4-шаговое рукопожатие):

1. Точка доступа отправляет случайное число (ANonce)
2. Клиент вычисляет ключ и отправляет свое число (SNonce)
3. Точка доступа проверяет и подтверждает
4. Клиент подтверждает, соединение установлено

WPA3 (SAE — Simultaneous Authentication of Equals):

• Более безопасный метод, защищает от атак перебора паролей
• Обе стороны доказывают знание пароля одновременно
• Даже если злоумышленник перехватит обмен, он не сможет узнать пароль

WLC + Lightweight AP (централизованная архитектура):

• WLC (Wireless LAN Controller) — центральный контроллер, управляет всеми точками доступа
• Lightweight AP — "легкие" точки доступа, которые получают настройки от контроллера
• CAPWAP — протокол для управления AP и туннелирования данных
• Преимущества: Централизованная политика безопасности, единое управление, упрощенная настройка

Distributed/Cloud архитектура:

• Облачная координация: Управление через облачный сервис, не нужен локальный контроллер
• Локальный breakout: Трафик может обрабатываться локально, не проходя через облако
• Автоподстройка RF: Система автоматически настраивает мощность и каналы точек доступа
• Преимущества: Масштабируемость, простота развертывания, автоматизация