нениями. Протокол STP решает эту задачу, автоматически блокируя

соединения, которые являются избыточными, а также позволяет защи-

тить сеть от широковещательных штормов и переполнения таблицы

коммутации [6]. Сеть VPLS логически представляет собой коммутатор

(мост), поэтому в нем существуют инстанции (инстанция — единич-

ный экземпляр любого сетевого протокола; высокопроизводительное

оборудование провайдера (P и PE) позволяет запускать по несколько

экземпляров одного и того же протокола для различных целей) прото-

кола STP, защита которых становится важной задачей.

После построения связующего дерева всем портам виртуально-

го коммутатора назначаются следующие роли (в соответствии с

терминологией STP): корневой порт (Root Port); выделенный порт

(Designated Port); блокирующий порт (Blocking Port); альтернативный

порт (Alternate Port); перенаправляющий порт (Forwarding Port).

Предположим, что другой виртуальный или физический коммута-

тор появился в сети VPLS с приоритетом моста меньшим, чем у кон-

кретного корневого моста. Тогда новый коммутатор станет корневым

мостом для этой услуги VPLS (так как по правилам STP коммутатор

с наименьшим приоритетом становится корневым мостом). Начнется

изменение всей топологии связующего дерева STP, при которой про-

изойдет отказ в обслуживании услуги VPLS (DoS-атака). Защита от

DoS-атаки при проектировании сети VPLS не предусмотрена.

Для защиты топологии STP в сервисе сети VPLS от указанной ата-

ки необходимо использовать функцию Root Guard на всех интерфей-

сах (доступа абонента и туннельных), на которых не предполагается

наличие корневого коммутатора. Эту функцию можно реализовать с

помощью определенных команд конфигурации на граничном маршру-

тизаторе PE. Список команд так же, как и в последующих примерах,

не приводится, поскольку зависит от конкретного производителя обо-

рудования.

Угроза вставки фиктивной метки в структуру кадра стандар-

та 802.1q.

Структура кадра Ethernet в соответствии со стандартом

IEEE 802.1q приведена на рис. 2,

а

[7]. Основную функцию выполняет

идентификатор сети VLAN.

Суть такой угрозы отражена на рис. 2,

б

. Автоматизированное ра-

бочее место (АРМ) злоумышленника находится в сети VLAN 10 (пер-

вичная сеть VLAN для коммутатора A) и отправляет дважды про-

маркированные 802.1q метками пакеты в магистральный порт (порт

коммутатора, через который может передаваться информация о не-

скольких сетях VLAN). На самом деле злоумышленник не подключен

к магистральному порту, а пытается обмануть магистральную инка-

псуляцию, чтобы попасть в другую сеть VLAN.

Когда коммутатор CE A получает дважды тегированный кадр, он

принимает решение отправить его через магистральный интерфейс.

50 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2015. № 1