Salam əziz dostlar! Bildiyiniz kimi bir müddətdir ki, Layer 2 təhküləsizlik mövzusundə məqalələr yazıram və artıq Port Securtiy, Dynamic ARP Inspection və IP Source Guard haqqında yazılar mövcuddur. Bu gün Port-Based Traffic Control haqqında danışmaq istəyirəm və bu yazı sözugedən silsilədə sonuncu olacaqdır.

Şəbəkədə məlumat ötürülməsinin müxtəlif üsullar mövcuddur və hər üsulun öz məxsusi məqsədi var. Bu yazıda Broadcast üsulu tərəfindən yarana biləcək problemlər və bu problemlərin həlli yolu muzakirə olunacaq. Əgər məlumat ötürülməsinin müxtəlif üsulları ilə tanış deyilsizsə, onda bu məqaləyə diqqət yetirməyiniz xahiş olunur.

Əvvəlcə gəlin broadcastin istifadəsindən danışaq və ilk misal olaraq DHCP-ni söyləyə bilərik. Hər bir PC ilkin olaraq şəbəkəyə qoşulandan sonra DHCP üzərindən İP almaq üçün broadcast üsulundan istifadə edərək DHCP Discover göndərir. (Əgər PC-ə statik İP təyin olunubsa, onda təbii ki bu proses baş tutmur.)  Aşağıda bu proses sadələşdirilmiş şəkildə əks olunub. Gördüyünüz kimi DHCP serverlə PC1 arasında əlaqənin qurulması üçün Broadcastdan istifadə olunur.

İkinci misal ARP olacaq. Artıq İP aldıqdan sonra (DHCP və ya statik) PC-yə digər hostlar və serverlərlə ilkin əlaqəni qurmaq üçün MAC ünvarlar tələb olunur və bu məlumatın əldə olunmasında yenidən broadcast istifadə olunacaq. Aşağıdaki misalda təsəvvür edin ki, PC1 İP aldıqdan sonra birinci dəfə PC2-ni PING edir. Hər iki host bir şəbəkədə olduğundan ping göndərilməsi üçün PC1 tələb olunan bütün məlumatları doldurur amma PC2-nin MAC ünvani haqqında məlumat mövcud olmadığına görə bu prosesi müvəqqəti olaraq dondurub broadcastdan istifadə edərək ARP göndərir. PC2-dən həmin hostun MAC ünvanı haqqında məlumat əldə etdikdən sonra ping-i formalaşdırıb göndərir.

Bu misallardan göründüyü kimi broadcast şəbəkədə hostlar arası əlaqənın qurulması üçün əhəmiyyətli rol oynayır amma bu ötürülmə üsulunun işləmə prinsipindən istifadə edərək şəbəkəmizə zərər vurmaq istəyən şəxslər müxtəlif addımlar ata bilər.

Yadımıza salaq ki, bir hostdan broadcast kimi göndərilən məlumat həmin subnetdə mövcud olan bütün hostlara göndərilir. Bu o deməkdir ki, şəbəkəmizdə bir istifadəçi süni olaraq öz adından çoxlu sayda broadcast göndərə bilər və switch adi qaydada bu broadcastı qəbul etdiyi portdan başqa bütün portlara göndərəcəkdir. Öz növbəsində həmin portlarda olan hostlar bu broadcastı qəbul edib, onlara aidiyyətı olmadığına görə həmin paketi cavablandırmayacaqlar.

İlkin olaraq bu böyük problem kimi görünmür, amma həmin süni broadcastların sayının çox olması switch-ə əlavə yükdür və nəzərə alaq ki, istifadəçilərin qoşulduğu access switchlər böyük həcmdə broadcast emal etməkdə çətinlik çəkə bilər. Bundan əlavə broadcastlar həmin subnetdə olan bütün hostlar tərəfindən də emal olunmalıdır və öz növbəsindən bu proses də həmin hostların işinə mane ola bilər.

Cisco Swtich-lərində mövcud olan Port-Based Traffic Control imkanından istifadə edərək biz bu tip məlumatın ötürülməsini məhdudlaşdıra bilərik. Adından bəlli olduğu kimi bu konfiqurasiya hər porta uyğun edilir və bunun üçün switch portuna daxil olub aşağıdaki komandanı yazmaq lazımdır.

Port-Based Traffic Control vasitəsi ilə biz yalnız broadcast deyil, həm multicast, həm də unicast trafikə məhdudiyyət qoya bilərik. Bu məqalədə broadcast haqqında danışıldığı üçün həmin növ trafikə məhdudiyyət qoyulacaq.

Broadcast trafikinə mədudiyyəti üç göstəriciyə görə təyin edə bilərik:

1. Broadcast trafikin həmin portun ötürmə qabiliyyətindən neçə faiz təşkil etdiyinə görə.
2. Broadcast trafikin saniyədə neçə bit təşkil etdiyinə görə.
3. Broadcast trafikin saniyədə neçə paket təşkil etdiyinə görə.

Bu misalda rising threshold göstəricisini 40 təyin etməklə biz broadcast trafikin bu portun ötürmə qabiliyyətindən maksimum 40%-a qədər məhdudlaşdırırıq. Bu limiti aşan broadcast trafiki həmin portda qəbul olunmayacaq.

Rising threshold göstəricisindən əlavə biz falling threshold təyin edə bilərik və həmin göstəricini 10 kimi təyin edirik.

Bu iki göstəricini anlamaq üçün aşağıdaki qrafikə diqqət yetirin. Biz konfiqurasiyada rising threshold və falling threshold göstəricilərini müvafiq olaraq 40 və 10 kimi təyin etdik. Rising threshold o demək dir ki, broadcast trafikin həcmi 40%-ı keçdikdən sonra, port həmin trafiki qəbul etməyəcək və broadcast trafikin həcmi falling threshold-dan aşağı düşənə qədər bu belə davam edəcəkdir. Misal üçün əgər host ilkin olaraq 29% broadcastı problemsiz göndərirdisə, rising threshold-u keçdikdən sonra yalnız 5% broadcast göndərəndə bu port həmin trafiki qəbul edəcək. Başqa sözlə desək 36%, 30%, 22% və 11% göndərilən halda belə broadcast trafik swtich tərəfindən həmin portda rədd olunacaq. Falling threshold göstəricisini təyin etmək mütləq deyil və təyin olunmadığı halda switch rising threshold-u falling threshold kimi də qəbul edir.

Alternativ olaraq qeyd olunan komanda vasitəsi ilə biz təyin edə bilərik ki, limit aşıldıqda port error-disable olsun və ya SNMP serverə məlumat göndərilsin.

Etdiyimzi konfiqurasiyanı bu komanda ilə yoxlaya bilərik.

Son olaraq bildirim ki, multicast trafikə məhdudiyyət qoyulduqda və bu məhdudiyyət aşıldıqda switch istisna olaraq BPDU və CDP kimi freymlərini qəbul edir.

Bununla Layer 2 təhlükəsizlik mövzusunda sonuncu məqaləni yekunlaşdırıram.
Çox ümid edirəm ki, faydalı və lazımdı oldu.