Контроль полосы пропускания.

Подразумевает два механизма: ограничение трафика – служит для ограничения скорости трафика получаемого и отправляемого с интерфейса коммутатора (когда эта функция активна, администратор задает пороговое значение для каждого порта. Трафик, скорость которого или равна значению – передается, иначе – обрабатывается в соответствии с политикой(отбрасываться или помечаться приоритетом)) и выравнивание трафика – вносит задержку в передачу трафика, что критично для некоторых видов сервиса, но более лоялен к TCP соединениям, но на данное время практически не применяется.

Основным средством для выравнивания трафика является алгоритм «корзина маркеров». Алгоритм подразумевает наличие следующих параметров:

- согласование скорости передачи;

- согласование размеров всплеска;

- расширенный размер всплеска.

Размер стандартной корзины маркеров, т.е. число маркеров в ней равно согласованному размеру всплеска. Маркеры генерируются и помещаются в корзину с огромной скоростью. Если корзина полна, то суб-ые маркеры отбрасываются. Для того чтобы передать пакет из корзины, вынимается число маркеров равное пакету в битах. Если маркеров в корзине достаточно, то пакет передается. Если пакет больше кол-ва маркеров – он сегментируется. Стандартная корзина не поддерживает экстренное увеличение размера всплеска.

 

ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ, ACL

End - to - End Security (E2E5) (защита конечного пользователя) – защита внутренней сети от внутренних атак.

Gateway Security (защита средствами межсетевых экранов) – защите внутренней сети от внешних атак.

Join Security (объединенная безопасность) – связующее звено между End-to-End Security и Gateway Security.

Аутентификация – процедура проверки подлинности субъекта на основе предоставляемых им данных.

Авторизация – предоставление определенных прав лицу на выполнение некоторых действий.

Access Control List ( Списки управления доступом ) –мощное средство фильтрации потоков данных без потери производительности, т.к. проверка содержимого пакетов выполняется на аппаратном уровне.

Критерии фильтрации м.б. определены на основе следующей фильтрации:

1. Порт коммутатора;

2. Тип Ethernet;

3. MAC-IP;

4. VLAN;

5. 802.1p

6. Порт TCP/UDP;

7. Первые 80 байт пакета, включая поле данных.

Профили доступа и правила Access Control List ( ACL ):

· Access Profil определяет типы критериев фильтрации, к-е д\проверяться в пакете данных (MAC адресов, IP адресов, номера порта, VLAN и т.д.)

· Идентификатор правила Rule – указывается значение параметров текущих критериев.

Принцип работы ACL:

3 основных профиля доступа:

1. Профиль Ethernet:

- проверка на VLAN;

- проверка на MAC: источника и назначения;

- проверка на 802.1р;

- тип Ethernet.

2. Профиль IP:

- проверка на VLAN;

- маска IP источника

- маска IP назначения;

- DSCP;

- протоколы TCP, IGMP, UDP;

- номер порта TCP\UDP.

3. Профиль фильтрации по содержимому пакета (Packet Content filtering)

Процесс создания профиля доступа:

1) Анализ задач фильтрации и определение типа профиля;

2) Определение стратегии фильтрации;

3) Определение маски профиля доступа.

Маска профиля доступа используется для указания какие биты значений полей IP-адрес, MAC-адрес, порт TCP\UDP должны проверяться в пакете данных, а какие игнорироваться.

4) Добавление правил связанных с этой маской и применение профиля.

Значение битов маски:

1 – игнорирование;

2 – проверка значения;

Пример использования ACL – правила сверху-вниз.

PORT SECURITY, IMPB

Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами.

3 режима работы:

- постоянный;

- удалить при истечении времени;

- удалить при сбросе настроек.

Постоянный.

Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен.

2 ) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены.

3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.

 

Функция IP-MAC-PORT-BINDING ( IMPB ) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения.

Режимы работы IMPB:

- ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом).

- - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL.

- DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB.

Режимы работы порта:

- Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом.

- Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет.

Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.

 

СТАНДАРТ 802.1 X

 

⇐ Предыдущая1234Следующая ⇒

Поделиться: