《工業(yè)控制系統(tǒng)信息安全技術(shù)與實踐》課件 4-4 網(wǎng)絡(luò)冗余

網(wǎng)絡(luò)冗余導(dǎo)入先秦·左丘明《左傳·襄公十一年》居安思危。思則有備，有備而無患。導(dǎo)入提高底線思維能力是強(qiáng)化風(fēng)險意識的必然要求。提高底線思維能力，要求我們居安思危、未雨綢繆，凡事從最壞處著眼、向最好處努力。有了底線思維，當(dāng)風(fēng)險突然到來時就能鎮(zhèn)定自若、沉著應(yīng)對。前進(jìn)道路上還會遇到各種可以預(yù)見和難以預(yù)見的風(fēng)險挑戰(zhàn)，我們要有風(fēng)險意識，時刻警惕“黑天鵝”，防范“灰犀?！?。只有這樣，才能在風(fēng)險挑戰(zhàn)面前迎難而上、攻堅克難，確保“中華號”巨輪行穩(wěn)致遠(yuǎn)。要居安思危、警鐘長鳴，不做溫水的青蛙。風(fēng)險并不可怕，可怕的是沒有風(fēng)險意識，沒有有效的應(yīng)對舉措。在設(shè)計網(wǎng)絡(luò)時提供冗余路徑，一旦發(fā)生故障，備用線路可以確保網(wǎng)絡(luò)繼續(xù)工作，真正做到有備無患、未雨綢繆、防患于未然。導(dǎo)入網(wǎng)絡(luò)冗余是保持網(wǎng)絡(luò)可靠性的關(guān)鍵。設(shè)備之間的多條物理鏈路能夠提供冗余路徑。這樣，當(dāng)單個鏈路或端口發(fā)生故障時，網(wǎng)絡(luò)可以繼續(xù)運行。冗余鏈路也可以分擔(dān)流量負(fù)載和增加容量。為避免產(chǎn)生第2層環(huán)路，需要管理多條路徑。最佳路徑已經(jīng)選擇，主路徑失敗時立即使用替代路徑。生成樹協(xié)議用于通過第2層網(wǎng)絡(luò)創(chuàng)建一個路徑。目錄CONTENTS1.OSI第1層和第2層的冗余2.冗余問題1：Mac數(shù)據(jù)庫不穩(wěn)定3.冗余問題2：廣播風(fēng)暴4.冗余問題3：幀的多重傳輸5.解決問題方法：STP生成樹協(xié)議01OSI第1層和第2層的冗余OSI第1層和第2層的冗余交換網(wǎng)絡(luò)通常在兩臺相同的設(shè)備之間具有冗余路徑，甚至冗余鏈路。冗余路徑可消除單點故障以提高可靠性和可用性。冗余路徑可能會導(dǎo)致物理和邏輯第2層環(huán)路。OSI第1層和第2層的冗余物理層冗余造成數(shù)據(jù)鏈路層的問題MAC數(shù)據(jù)庫不穩(wěn)定-MAC地址表中的內(nèi)容不穩(wěn)定性源于交換機(jī)上的不同端口接收了同一幀的多個副本。當(dāng)交換機(jī)使用正在處理MAC地址表中的不穩(wěn)定內(nèi)容的資源時，可能影響數(shù)據(jù)轉(zhuǎn)發(fā)。廣播風(fēng)暴-即使沒有避免循環(huán)過程，每臺交換機(jī)也可以連續(xù)地泛洪廣播。這種情況通常稱為廣播風(fēng)暴。幀的多重傳輸：單播幀的多個副本可以傳送到目的站點。許多協(xié)議希望僅接收每次傳輸?shù)膯蝹€副本。因此同一幀的多個副本可能會產(chǎn)生不可恢復(fù)的錯誤。02Mac數(shù)據(jù)庫不穩(wěn)定Mac數(shù)據(jù)庫不穩(wěn)定以太網(wǎng)幀沒有第3層報頭中包含的生存時間(TTL)字段。這意味著以太網(wǎng)沒有丟棄無休止傳播的幀的機(jī)制。這可能導(dǎo)致MAC數(shù)據(jù)庫不穩(wěn)定。PC1向S2發(fā)送廣播幀。S2在MAC地址表中更新端口11上PC1的MAC地址。S2將該幀從除傳入幀的端口外的所有端口轉(zhuǎn)發(fā)出去。S1和S3在中繼上收到幀，并在自己的MAC地址表中更新PC1可通過中繼端口訪問。S1和S3將該幀從除其傳入端口外的所有端口發(fā)送出去。當(dāng)S1將該幀從端口2（中繼3）轉(zhuǎn)發(fā)出去時，S3會更新MAC地址表以反映PC1現(xiàn)在可通過端口1訪問。被卷入網(wǎng)絡(luò)環(huán)路的主機(jī)無法被其他主機(jī)訪問。由于MAC地址表不斷變化，交換機(jī)S3和S1不知道哪個端口用于轉(zhuǎn)發(fā)幀。03廣播風(fēng)暴廣播風(fēng)暴廣播風(fēng)暴–第2層環(huán)路中有過多廣播幀使用所有可用帶寬，并使合法網(wǎng)絡(luò)流量無法到達(dá)網(wǎng)絡(luò)。導(dǎo)致拒絕服務(wù)(DoS)可在幾秒鐘內(nèi)形成并使網(wǎng)絡(luò)中斷04重復(fù)的單播幀重復(fù)的單播幀

未知單播幀是指交換機(jī)的MAC地址表中沒有目的MAC地址且必須將該幀從除其接收端口（入口端口）外的所有端口廣播出去的情況。發(fā)送到環(huán)路網(wǎng)絡(luò)的未知單播幀也可能造成目的設(shè)備收到重復(fù)的幀。PC1向PC4送出一個幀。S2的MAC地址表中沒有PC4的MAC地址，因此它會將該幀從所有端口（包括引向S1和S3的中繼）轉(zhuǎn)發(fā)出去。S1將該幀發(fā)送到PC4。S3還將該幀的副本發(fā)送到S1，然后S1再次將同一幀傳送到PC4。05解決問題解決問題生成樹協(xié)議(STP)