Настройка коммутатора для профиля Ethernet

Правило 1: если МАС-адрес источника Source MAC равен МАС-адресам ПК 1 или ПК 2 – разрешить (Permit).

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 profile_name Permit_Internet config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-50-ba-11-11-11 port 1 permit config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-50-ba-22-22-22 port 10 permit

Правило 2: если МАС-адрес назначения DestMAC равен MAC-адресу Интернет-шлюза –запретить (Deny). create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2 profile_name Deny_Internet config access_profile profile_id 2 add access_id 1 ethernet destination_mac 00-50-ba-99-99-99 port 11 deny

По умолчанию доступ всем остальным узлам разрешен.

В качестве второго примера приведем настройку ACL с профилем IP. Предположим, что администратору необходимо разрешить доступ в Интернет только пользователям с IP-адресами с 192.168.0.1/24 по 192.168.0.63/24. Остальным пользователем сети 192.168.0.0/24 с адресами, не входящими в разрешенный диапазон, доступ в Интернет запрещен.

Рис. 7.5. Пример ACL для профиля IP

Настройка в коммутаторе L3 профиля IP

Правило 1: если IP-адрес источника Source IP равен IP-адресам из диапазона с 192.168.0.1 по 192.168.0.63 – разрешить (Permit).

create access_profile ip source_ip_mask 255.255.255.192 profile_id 1

config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.0 port 24 permit

Правило 2: если IP-адрес источника Source IP принадлежит сети 192.168.0.0/24, но не входит в разрешенный диапазон адресов –

запретить (Deny).

create access_profile ip source_ip_mask 255.255.255.0 profile_id 2

config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 port 24 deny

По умолчанию доступ всем остальным узлам разрешен.

Продолжить

Вы зашли под именем Александр Сергеевич Никифоров (Выход)

STN_Base v.3

Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс

◀ Перейти на... ▶

D-Link ▶ STN_Base v.3 ▶ Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Меню лекции

7.1 Списки управления доступом (ACL)

7.1.1 Профили доступа и правила ACL

7.1.2 Примеры настройки ACL

7.2 Функции контроля над подключением узлов к портам коммутатора

7.2.1 Функция Port Security

7.2.1.1 Пример настройки функции Port Security

7.2.2 Функция IP-MAC-Port Binding

7.2.2.1 Пример настройки функции IP-MAC-Port Binding

7.3 Аутентификация пользователей 802.1x

7.3.1 Роли устройств в

Функции контроля над подключением узлов к портам коммутатора

Продолжить

Вы зашли под именем Александр Сергеевич Никифоров (Выход)

STN_Base v.3

Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс

D-Link ▶ STN_Base v.3 ▶ Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Глава 7. Функции обеспечения безопасности и ограничения доступа к сети

Меню лекции

7.1 Списки управления доступом (ACL)

7.1.1 Профили доступа и правила ACL

7.1.2 Примеры настройки ACL

7.2 Функции контроля над подключением узлов к портам коммутатора

7.2.1 Функция

Port Security

7.2.1.1 Пример настройки функции Port Security

Функция Port Security

Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым, ограничивая количество подключаемых к нему узлов.

Внимание: для функции Port Security существуют ограничения по количеству МАС-адресов, которые может обслуживать каждый порт. Эти ограничения различны для разных моделей коммутаторов. Для получения информации о максимальном количестве обслуживаемых портом МАС-адресов, необходимо обратиться к спецификации на используемое устройство.

Существует три режима работы функции Port Security:

Permanent (Постоянный) – занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером FDB Aging Time, или коммутатор был перезагружен.

Delete on Timeout (Удалить при истечении времени) – занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером FDB Aging Time, и будут удалены. Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий при истечении времени, установленного таймером FDB Aging Time.

Delete on Reset (Удалить при сбросе настроек) – занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

Рис. 7.6. Функция Port Security

При подключении неавторизованного пользователя к порту коммутатора, он будет заблокирован, а коммутатор отправит сообщение SNMP Trap или создаст запись в Log-файле, если администратор настроил выполнение этих действий. Порт коммутатора будет отбрасывать трафик, поступающий с неизвестного МАС-адреса.

Продолжить

Вы зашли под именем Александр Сергеевич Никифоров (Выход)

STN_Base v.3

⇐ Предыдущая 16 17 18 19 202122 23 24 25 Следующая ⇒