Процесс создания профиля доступа

Процесс создание профиля доступа можно разделить на следующие основные шаги.

1. Анализ задачи фильтрации и определение типа профиля доступа – Ethernet, IP или Packet Content Filtering;

2. Определение стратегии фильтрации. Например:

отбрасывать пакеты данных некоторых узлов и принимать пакеты данных от всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/ протоколами портов/подсетями, для которых необходимо выполнять фильтрацию; принимать пакеты данных от некоторых узлов и отбрасывать пакеты данных всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/ протоколами портов/подсетями, пакеты данных от которых разрешены в сети. Трафик остальных узлов будет отбрасываться.

Основываясь на выбранной стратегии, необходимо определить, какая маска профиля доступа (Access Profile Mask) требуется, и создать ее (команда create access _ profile). Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/ UDP и т.д. должны проверяться в пакете данных, а какие игнорироваться.

3. Добавить правило профиля доступа (Access Profile Rule), связанное с этой маской (команда

config access _ profile).

 

4. Правила профиля доступа проверяются в соответствии с номером access _ id. Чем меньше номер, тем раньше проверяется правило. Если ни одно правило не сработало, пакет данных пропускается.

5. В среде QoS, после того как срабатывает правило, перед отправкой пакета данных биты

802.1p/DSCP могут быть заменены на новые низко/высокоприоритетные значения.

 

Вычисление маски профиля доступа

Маска профиля доступа определяет, какие биты в значениях полей IP-адрес, МАС-адрес, порт ТСР/ UDP и т.д. приходящих на коммутатор пакетов данных, должны проверяться, а какие - игнорироваться. Биты маски имеют следующие значения:

«0» – игнорирование значения соответствующего бита поля пакета данных;

«1» – проверка значения соответствующего бита поля пакета данных.

 

Предположим, администратору сети необходимо запретить прохождение трафика от узла с МАС-адресом 01-00-00-00-АС-11. Маска профиля доступа для этого адреса будет равна FF- FF-FF-FF-FF-FF. Если необходимо запретить или разрешить прохождение через коммутатор трафика любого узла из подсетей 192.168.16.0/24 – 192.168.31.0/24, то маска профиля доступа будет вычисляться, как показано на рисунке ниже.

 

Рис. 7.3. Вычисление маски профиля

 

Первые два октета IP-адресов из проверяемого диапазона имеют одинаковое значение –

«192.168». Они будут использоваться при проверке пакета, поэтому соответствующие биты маски содержат все 1. Последний октет IP-адреса, будет игнорироваться, так как нет заинтересованности в проверке индивидуальных адресов узлов подсетей. Поэтому последний октет маски профиля содержит все 0. В третьем октете значение маски будет равно 240 (11110000), так как оно охватывает все номера с 16 (00010000) до 31 (0001111), имеющие одинаковые значения (0001) первых четырех битов. Последние четыре бита третьего октета IP-адреса, маска профиля будет игнорировать, как незначащие.

 

Продолжить

 

 

Вы зашли под именем Александр Сергеевич Никифоров (Выход)

 

STN_Base v.3

 

Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс

D-Link ▶ STN_Base v.3 ▶ Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

 

 

Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Меню лекции

 

7.1 Списки управления доступом (ACL)

7.1.1 Профили доступа и правила ACL

7.1.2 Примеры настройки ACL

7.2 Функции контроля над подключением узлов к портам коммутатора

7.2.1 Функция Port Security

7.2.1.1 Пример настройки функции Port Security

Примеры настройки ACL

Предположим, что администратору необходимо разрешить доступ в Интернет только некоторым пользователям, которые идентифицируются по МАС-адресам их компьютеров.

В примере, показанном на рис. 7.4., пользователи ПК 1 и ПК 2 получат доступ в Интернет, так как их МАС-адреса указаны в разрешающем правиле 1. Как только пользователи других компьютеров попытаются выйти в Интернет, сработает правило 2, которое запрещает прохождение через коммутатор кадров с МАС-адресом назначения, равным МАС-адресу Интернет-шлюза.

 

 

Рис. 7.4. Пример ACL для профиля Ethernet

 

⇐ Предыдущая15161718192021222324Следующая ⇒

Поделиться:

Популярное:

1. E) микроэкономика изучает отношения между людьми в процессе эффективного использования ограниченных ресурсов
2. E) Способ взаимосвязанной деятельности педагога и учащихся, при помощи которого достигается усвоение знаний, умений и навыков, развитие познавательных процессов, личных качеств учащихся.
3. II. Методы несанкционированного доступа.
4. X. Процесс изменения значения слова. Основы лексикографии.
5. А. Основные принципы создания и деятельности союза
6. АДМИНИСТРАТИВНО-ДЕЛИКТНОЕ И ПРОЦЕССУАЛЬНО-ИСПОЛНИТЕЛЬНОЕ ПРАВО
7. Административно-процессуальное право в системе права РФ.
8. Административно-процессуальные нормы: понятие и виды
9. Административно-юрисдикционный процесс: понятие, признаки, принципы. Административно-юрисдикционные производства.
10. Административные процедуры как правовой институт в структуре административного процесса
11. Акт IV. Соавтор создания человека
12. Активизация умственной деятельности учащихся в процессе обучения