Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Контроль полосы пропускания.
Подразумевает два механизма: ограничение трафика – служит для ограничения скорости трафика получаемого и отправляемого с интерфейса коммутатора (когда эта функция активна, администратор задает пороговое значение для каждого порта. Трафик, скорость которого или равна значению – передается, иначе – обрабатывается в соответствии с политикой(отбрасываться или помечаться приоритетом)) и выравнивание трафика – вносит задержку в передачу трафика, что критично для некоторых видов сервиса, но более лоялен к TCP соединениям, но на данное время практически не применяется. Основным средством для выравнивания трафика является алгоритм «корзина маркеров». Алгоритм подразумевает наличие следующих параметров: - согласование скорости передачи; - согласование размеров всплеска; - расширенный размер всплеска. Размер стандартной корзины маркеров, т.е. число маркеров в ней равно согласованному размеру всплеска. Маркеры генерируются и помещаются в корзину с огромной скоростью. Если корзина полна, то суб-ые маркеры отбрасываются. Для того чтобы передать пакет из корзины, вынимается число маркеров равное пакету в битах. Если маркеров в корзине достаточно, то пакет передается. Если пакет больше кол-ва маркеров – он сегментируется. Стандартная корзина не поддерживает экстренное увеличение размера всплеска.
ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ, ACL End - to - End Security (E2E5) (защита конечного пользователя) – защита внутренней сети от внутренних атак. Gateway Security (защита средствами межсетевых экранов) – защите внутренней сети от внешних атак. Join Security (объединенная безопасность) – связующее звено между End-to-End Security и Gateway Security. Аутентификация – процедура проверки подлинности субъекта на основе предоставляемых им данных. Авторизация – предоставление определенных прав лицу на выполнение некоторых действий. Access Control List ( Списки управления доступом ) –мощное средство фильтрации потоков данных без потери производительности, т.к. проверка содержимого пакетов выполняется на аппаратном уровне. Критерии фильтрации м.б. определены на основе следующей фильтрации: 1. Порт коммутатора; 2. Тип Ethernet; 3. MAC-IP; 4. VLAN; 5. 802.1p 6. Порт TCP/UDP; 7. Первые 80 байт пакета, включая поле данных. Профили доступа и правила Access Control List ( ACL ): · Access Profil определяет типы критериев фильтрации, к-е д\проверяться в пакете данных (MAC адресов, IP адресов, номера порта, VLAN и т.д.) · Идентификатор правила Rule – указывается значение параметров текущих критериев. Принцип работы ACL:
3 основных профиля доступа: 1. Профиль Ethernet: - проверка на VLAN; - проверка на MAC: источника и назначения; - проверка на 802.1р; - тип Ethernet. 2. Профиль IP: - проверка на VLAN; - маска IP источника - маска IP назначения; - DSCP; - протоколы TCP, IGMP, UDP; - номер порта TCP\UDP. 3. Профиль фильтрации по содержимому пакета (Packet Content filtering) Процесс создания профиля доступа: 1) Анализ задач фильтрации и определение типа профиля; 2) Определение стратегии фильтрации; 3) Определение маски профиля доступа. Маска профиля доступа используется для указания какие биты значений полей IP-адрес, MAC-адрес, порт TCP\UDP должны проверяться в пакете данных, а какие игнорироваться. 4) Добавление правил связанных с этой маской и применение профиля. Значение битов маски: 1 – игнорирование; 2 – проверка значения; Пример использования ACL – правила сверху-вниз. PORT SECURITY, IMPB Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. 3 режима работы: - постоянный; - удалить при истечении времени; - удалить при сбросе настроек. Постоянный. Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен. 2 ) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены. 3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.
Функция IP-MAC-PORT-BINDING ( IMPB ) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения. Режимы работы IMPB: - ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом). - - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL. - DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB. Режимы работы порта: - Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом. - Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет. Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.
СТАНДАРТ 802.1 X
|
Последнее изменение этой страницы: 2019-04-09; Просмотров: 204; Нарушение авторского права страницы