Списки управления доступом (ACL)

Списки управления доступом (Access Control List, ACL) являются средством фильтрации потоков данных без потери производительности, так как проверка содержимого пакетов данных выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться.

Также ACL могут использоваться для определения политики QoS

путем классификации трафика и переопределения его приоритета.

 

ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL, и выполняет над пакетами одно из действий: Permit (Разрешить) или Deny (Запретить). Критерии фильтрации могут быть определены на основе следующей информации, содержащейся в пакете данных:

порт коммутатора; MAC/IP-адрес;

тип Ethernet /тип протокола; VLAN;

802.1p/DSCP;

порт TCP/UDP (тип приложения);

первые 80 байт пакета, включая поле данных.

 

Рис. 7.1. Списки управления доступом (ACL)

 

Продолжить

 

 

Вы зашли под именем Александр Сергеевич Никифоров (Выход)

 

STN_Base v.3

 

Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс

D-Link ▶ STN_Base v.3 ▶ Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

 

 

Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Меню лекции

 

7.1 Списки управления доступом (ACL)

7.1.1 Профили доступа и правила ACL

7.1.2 Примеры настройки ACL

7.2 Функции контроля над подключением узлов к портам коммутатора

7.2.1 Функция Port Security

7.2.1.1 Пример настройки функции Port Security

Профили доступа и правила ACL

Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указываются значения их параметров. Каждый профиль может состоять из множества правил.

Когда коммутатор получает кадр, он проверяет его поля на совпадение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор проверяет кадр на совпадение с параметрами фильтрации, определяется порядковым номером профиля (Profile ID) и порядковым номером правила (Rule ID). Профили доступа и правила внутри них работают последовательно, в порядке возрастания их номеров, т.е. кадр проверяется на соответствие условиям фильтрации, начиная с первого профиля и первого правила в нем. Так, кадр сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры кадра не подходят под условия проверки, то далее кадр будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами кадра, то коммутатор продолжит проверку на совпадение параметров кадра с условиями правила 1 следующего профиля. При первом совпадении параметров кадра с правилом, к нему будет применено одно из действий, определенных в правиле: «Запретить»,

«Разрешить» или «Изменить содержимое поля пакета» (приоритет 802.1р/ DSCP). Далее кадр проверяться не будет. Если ни одно из правил не подходит, то применяется политика по умолчанию, разрешающая прохождение всего трафика.

 

Рис. 7.2. Принцип работы ACL

 

Следует отметить, что коммутаторы имеют ограничения по количеству обрабатываемых профилей и правил. Информацию о максимальном количестве поддерживаемых профилей и правил можно найти в документации на используемое устройство.

Типы профилей доступа

В коммутаторах D-Link существует три типа профилей доступа: Ethernet, IP и Packet Content Filtering (фильтрация по содержимому пакета).

Профиль Ethernet (Ethernet Profile) позволят фильтровать кадры по следующим типам критериев:

 

VLAN;

MAC-адрес источника; MAC-адрес назначения;

802.1p;

тип Ethernet.

 

Профиль IP (IP Profile) поддерживает следующие типы критериев фильтрации:

 

VLAN;

маска IP-источника; маска IP-назначения; DSCP;

протокол (ICMP, IGMP, TCP, UDP);

номер порта TCP/UDP.

 

Профиль фильтрации по содержимому пакета (Packet Content Filtering Profile) используется для идентификации пакетов путем побайтного исследования их заголовков Ethernet.

 

⇐ Предыдущая14151617181920212223Следующая ⇒

Поделиться:

Популярное:

1. A. между органами государственного управления и коммерческими организациями
2. A.- СРЕДСТВА УПРАВЛЕНИЯ ВРЕМЕНЕМ
3. III. Цель, задачи развития территориального общественного самоуправления «Жуковский Актив»
4. S 47. ТЕХНОЛОГИЧЕСКИЕ ОСНОВЫ ОПЕРАТИВНОГО УПРАВЛЕНИЯ МАТЕРИАЛЬНЫМИ ПОТОКАМИ
5. V. ТИПОВАЯ ФРАЗЕОЛОГИЯ РАДИООБМЕНА ДИСПЕТЧЕРОВ ОРГАНОВ ОБСЛУЖИВАНИЯ ВОЗДУШНОГО ДВИЖЕНИЯ (УПРАВЛЕНИЯ ПОЛЕТАМИ) С ЭКИПАЖАМИ ВОЗДУШНЫХ СУДОВ
6. VI. Отношения нотариуса с органами государственной власти и органами местного самоуправления
7. VII. По прибытию в кабину управления хвостового вагона
8. XLI. Охрана труда при выполнении работ со средствами связи, диспетчерского и технологического управления
9. XVI. Производит проверку нерабочего положения кабины управления.
10. Автоматизация управления системой электроснабжения
11. Автоматизированная система телемеханического управления (АСТМУ)
12. АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ НА РАЗНЫХ УРОВНЯХ УПРАВЛЕНИЯ ОРГАНИЗАЦИЕЙ