Nové specifikace společné lokálním sítím

22. 2. 2007
Doba čtení: 7 minut

Sdílet

Autor: 29
Podvýbor 802.1 připravuje důležité doplňky pro všechny existující lokální sítě, jak s ohledem na bezpečnost, tak na jejich efektivní propojování nebo třeba podporu populárních audio/video přenosů na druhé vrstvě. Přenos po páteřních sítích telekomunikačních provozovatelů bude řešit specifikace PBB.

Dnešní poslední, čtvrtý díl miniseriálu o nových normách pro sítě lokální, metropolitní i personální připravovaných v IEEE 802 poslouží jako přehled specifikací, které využívají mnohé LAN dneška. V rámci podvýboru 802.1 se totiž pracuje na mnoha důležitých normách vhodných pro různé typy LAN, dnes tedy nejčastěji jak Ethernet (802.3), tak WLAN (802.11). Pro připomenutí významu této skupiny specifikací jeden příklad za všechny: 802.1X-2001 – Port Based Network Access Control, která odstartovala mj. řešení skutečně kvalitního zabezpečení bezdrátových LAN.

My si ale připomeneme jiné starší normy, protože se dnes dále pracuje na jejich vylepšení nebo doplňcích. Důležitou normou je 802.1D, která prošla několika revizemi a která nyní podporuje přepínaný Ethernet, tedy vyhrazené duplexní propojení přepínače se serverem, případně stanic s přepínačem, čímž se vytváří síť segmentovaná do kolizních domén (segmenty s CSMA/CD s více připojenými uzly), případně zcela bez kolizí (pouze na bázi plného duplexu). Tím se zefektivnil provoz v Ethernetu, protože se podporují simultánní přenosy.

Díky specifikaci 802.1Q se v přepínaných sítích začaly uplatňovat také virtuální LAN (VLAN) vytvářející samostatné sítě bez ohledu na fyzické umístění v nich zařazených stanic, které ani nemusí být připojeny k jedinému přepínači. Nejnovější vydání normy z roku 2005 zahrnuje všechny dosavadní schválené doplňky k této normě: 802.1u (opravy), 802.1v (VLAN Classification by Protocol and Port), 802.1s (Multiple Spanning Trees) a 802.1w (MAC Bridges-Rapid Reconfiguration).

Nově schválené normy 802.1

802.1AB-2005 Standard for Local and Metropolitan Area Networks: Station and Media Access Control Connectivity Discovery – definice prvků pro bázi MIB (Management Information Base) s ohledem na fyzickou topologii sítě a vyhledávání zařízení na síti. Má se tím přispět k identifikaci stanic připojených k lokálním/me­tropolitním sítím a zjištění, kde se stanice připojují a jaké přístupové body se mají použít pro management.

802.1ad-2005 Provider Bridges – podpora uplatnění IEEE 802 technologií ve veřejných sítích poskytovatelů přístupu k Internetu, vyžadující integraci především Ethernetu se stávající infrastrukturou poskytovatelů, nenáročnou na náklady, poskytující možnost managementu a vzdálené diagnostiky (běžné u technologií přepojování okruhů). Úzce souvisí s existující normou 802.3ah Ethernet in the First Mile.

802.1ae-2006 Media Access Control Security (MACSec) – integrace zabezpečení LAN na ochranu proti útokům na druhé vrstvě (odposlouchávání, útoky typu man-in-the-middle a částečně DoS, Denial of Service) prostřednictvím průběžného monitorování, identifikace neautorizovaných stanic v LAN a zabránění související neautorizované komunikaci. Současně se chrání přenášená řídicí data šifrováním pro autentizaci zdroje dat, ochranu integrity řídicích zpráv, utajení a ochranu před přehráváním. 802.1ae souvisí s dalšími připravovanými specifikacemi (802.1af a 802.1ar). Působení na druhé vrstvě znamená zabezpečení pouze v rámci jednoho segmentu celé sítě, nikoli koncově. Z pohledu zabezpečení bezdrátových LAN nenahrazuje 802.11i (bezpečnostní doplněk 802.11) ani koncové protokoly bezpečnosti jako IPSec, ale umožňuje plné využití 802.1× (nedílné součásti moderního zabezpečení nejen WiFi) např. ve veřejně přístupných sítích.

Co můžeme očekávat

Přehledově si představíme plejádu aktivních normalizačních projektů 802.1 a podrobněji se zastavíme u řešení přenosu na druhé vrstvě v sítích veřejných provozovatelů. Projekty lze rozdělit do následujících kategorií (podrobnosti následují v pořadí jejich označení):

  • Propojování:
    • 802.1AC – Media Access Control Service revision
    • 802.1ag – Connectivity Fault Management
    • 802.1ah – Provider Backbone Bridges
    • 802.1aj – Two-port MAC Relay
    • 802.1ak – Multiple Registration Protocol
    • 802.1ap – VLAN Bridge MIBs
    • 802.1aq – Shortest Path Bridging
  • Bezpečnost:
    • 802.1af – MAC Key Security
    • 802.1AR – Secure Device Identity
  • Audio/Video:
    • 802.1AS – Timing and Synchronization
    • 802.1at – Stream Reservation Protocol
  • Obrana před zahlcením:
    • 802.1au – Congestion Notification

P802.1ac Standard for Media Access Control (MAC) Service Definition – vnitřní funkce propojování sítí pomocí mostů/přepínačů na úrovni MAC. Připravovaná norma by měla sjednotit specifikaci propojovacích služeb původně definovaných v mezinárodních normách ISO/IEC 15802–1 a IEEE 802.1D a 802.1Q.

P802.1af MAC Key Security – rozšíření 802.1× pro správu krátkodobých relačních klíčů pro kódování a dekódování zpráv. Počáteční hlavní klíč (master) se typicky získá za pomoci 802.1× a EAP (Extensible Authentication Protocol).

P802.1ag Connectivity Fault Management – protokoly, postupy a řízené objekty pro management poruch pro podporu nalezení a ověření cesty prostřednictvím mostů a LAN, detekci a izolaci poruch konektivity.

802.1ah Provider Backbone Bridges (PBB) – architektura a propojování LAN na druhé vrstvě pro škálovatelné propojení sítí různých poskytovatelů (podle 802.1ad Provider Bridges), podporující nejméně 220 VLAN a management prostřednictvím SNMP. Ethernetové služby v rozlehlé síti (např. pro snadné propojení podnikových poboček) jsou dnes zajímavou nabídkou mnoha telekomunikačních poskytovatelů. Koncová služba ale nesmí mýlit v tom, že by Ethernet sloužil také jako transportní technologie v páteřní rozlehlé síti: provozovatel může nabízet rozhraní Ethernet směrem ke své „klasické“ síti založené např. na ATM (Asynchronous Transfer Mode) nebo v moderním případě k síti IP/MPLS (MultiProtocol Label Switching). V mnoha případech se využívá tzv. pseudowire technologie (virtuální okruhy přes libovolný typ transportní síťové infrastruktury).

V přenosu po páteřní síti poskytovatele (PBT, Provider Backbone Transport) se může využít řešení na druhé nebo třetí vrstvě síťové architektury. Na druhé vrstvě se připravuje jako PBB-TE (Provider Backbone Bridges with Traffic Engineering) a mělo by umožnit řešení přenosové sítě s topologií založenou na Ethernetu, s některými vlastnostmi PBB potlačenými na přepínačích a naopak s doplněným rozhraním pro management právě pro konfiguraci dvoubodových okruhů. PBT má vedle výhod paketového přenosu současně zajistit takové přenosové vlastnosti, s jakými se setkáváme v optických sítích SDH/SONET: odolnost proti výpadkům, zabezpečení a správu.

Zatím není ovšem jasné, zda se PBT ujme, protože konkurence řešení na třetí vrstvě, tedy protokolově nezávislého řešení dvoubodových pseudookruhů přes sítě IP/MPLS, je silná. Ani v této konkurenční skupině vývoj neusíná, protože se nabízí vylepšené řešení vhodné právě pro tyto přenosové sítě v podobě T-MPLS, které přenosové služby zjednodušuje a zlevňuje a také nabízí lepší dvoubodové služby. T-MPLS je navíc z hlediska procesu technické specifikace a normalizace podstatně dál než PBT.

PBT je natolik odlišné od IP/MPLS, že jej lze uvažovat jako zajímavou transportní technologii zejména v rámci metropolitních sítí. Jeho podstatnou výhodou je totiž možnost využít levnější páteřní ethernetové přepínače nebo směrovače místo IP směrovačů s podporou MPLS.

P802.1aj Two-port MAC Relay – specifikace přepojovacího zařízení s dvěma různými podvrstvami MAC (propojování dvou různých LAN si zatím vyžadovalo přepojování až na LLC, Logical Link Control), transparentní pro rámce protokolů nezávislých na médiu a podporující vzdálený management. Bude sloužit sítím poskytovatelů služeb Ethernetu jako demarkační zařízení propojující dvě 802 média nebo emulace. Vytvoří jednotnou specifikaci pro signalizaci poruch a vzdálenou diagnostiku.

P802.1ak Multiple Registration Protocol [MRP] – protokoly, postupy a řízené objekty podporující protokol MRP, který umožňuje registraci atributů v rámci LAN propojené na druhé vrstvě. Definuje dvě aplikace: registraci VLAN (MVRP, Multiple VLAN Registration Protocol) a skupinových MAC adres (MMRP, Multiple Multicast Registration Protocol). MVRP navíc poskytne rychlé zotavení sítě po poruchách bez přerušení služeb pro VLAN bez poruch. MRP nahradí protokol GARP (Generic Attribute Registration Protocol), protože stávající registrační protokoly na něm založené, GVRP (GARP VLAN Registration Protocol) a GMRP (GARP Multicast Registration Protocol), vyžadovaly příliš kapacity i času, což se ukázalo jako nevhodné pro zotavení po poruše v rozlehlých sítích provozovatelů. Místo ovlivnění celé sítě se bude provádět jen malá změna topologie v omezené části sítě bez vlivu na zbytek sítě.

P802.1ap VLAN Bridge MIBs – definice SMIv2 (IETF STD 58) MIB modulů pro management funkcí mostů/přepínačů podporujících VLAN (802.1Q), včetně STP a mostů v sítích poskytovatelů.

P802.1aq Shortest Path Bridging – předávání rámců typu unicast a multicast nejkratší možnou cestou v síti propojené mosty/přepínači, definice protokolů pro výpočet více aktivních topologií, které mohou sdílet zjištěné informace o umístění stanic a podporovat VLAN více identifikátory.

P802.1ar Secure Device Identity – identita důvěryhodného síťového prvku prostřednictvím jedinečného identifikátoru DevID spojeného šifrovaně se samotným zařízením.

P802.1as Timing and Synchronization for Time-Sensitive Applications in Bridged LANs –synchronizace v propojených VLAN nutná pro aplikace citlivé na zpoždění.

Marketing meeting Ai a tvorba obsahu

P802.1at Virtual Bridged LANs Amendment: Stream Reservation Protocol (SRP) –signalizační protokol na podporu koncového managementu rezervace síťových prostředků pro toky se zaručenou QoS (Quality of Service).

P802.1au VLAN Amendment Congestion Notification – ochrana proti přetížení sítě prostřednictvím mostů/přepínačů, signalizujících koncovým uzlům potřebu snížit rychlost vysílání, aby nedošlo ke ztrátám rámců nepříjemných pro aplikace citlivé na ztráty i na zpoždění (na základě VLAN značek s hodnotou priorit).

Využijete ethernetové služby poskytovatelů?

Autor článku

Ing. Rita Pužmanová, CSc., MBA je nezávislá síťová specialistka. Okusila český, španělský i kanadský vzdělávací systém. Vedla kurzy v 7 zemích a ve 4 jazycích, školila on-line pro UCLA.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).