Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 25.06.2013 | Доступ: свободный | Студентов: 4137 / 977 | Длительность: 18:32:00
Практическая работа 13:

Функции обеспечения безопасности и ограничения доступа к сети

< Лекция 6 || Практическая работа 13: 123456789 || Практическая работа 14 >

Функции контроля над подключением узлов к портам коммутатора

В том случае, если какой-либо порт на коммутаторе активен, к нему может подключиться любой пользователь и получить несанкционированный доступ к сети. Этот пользователь может начать генерировать вредоносный трафик, который попадет в сеть и создаст проблемы внутри нее. Для защиты от подобных ситуаций, а также для контроля подключения узлов к портам коммутаторы D-Link предоставляют функции безопасности, которые позволяют указывать МАС- и/или IP-адреса устройств, которым разрешено подключаться к данному порту, и блокировать доступ к сети узлам с неизвестными коммутатору адресами.

Функция Port Security

Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым ограничивая количество подключаемых к нему узлов.

Внимание: для функции Port Security существуют ограничения по количеству МАС-адресов, которые может обслуживать каждый порт. Эти ограничения различны для разных моделей коммутаторов. Для получения информации о максимальном количестве обслуживаемых портом МАС-адресов необходимо обратиться к спецификации на используемое устройство.

Существует три режима работы функции Port Security:

  • Permanent ("Постоянный") — занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером FDB Aging Time, или коммутатор был перезагружен;
  • Delete on Timeout ("Удалить по истечении времени") — занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером FDB Aging Time, и будут удалены.

Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий при истечении времени, установленного таймером FDB Aging Time;

  • Delete on Reset ("Удалить при сбросе настроек") — занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

При подключении неавторизованного пользователя к порту коммутатора он будет заблокирован, а коммутатор отправит сообщение SNMP Trap или создаст запись в Log-файле, если администратор настроил выполнение этих действий. Порт коммутатора будет отбрасывать трафик, поступающий с неизвестного МАС-адреса.

Функция Port Security

Рис. 19.6. Функция Port Security
Пример настройки функции Port Security

В качестве примера рассмотрим ситуацию, показанную на рис. 19.6 . На портах 1-3 управляемого коммутатора настроено ограничение по количеству подключаемых пользователей (к каждому порту может подключиться не более двух пользователей). МАС-адреса подключаемых пользователей изучаются портами 1-3 динамически.

Настройка коммутатора

config port_security ports 1-3 admin_state enabled
max_learning_addr 2 lock_address_mode DeleteOnTimeout

В приведенном примере конфигурации используется режим Delete on Timeout. Это означает, что изученные на порте МАС-адреса будут удалены из таблицы коммутации по истечении времени, установленного таймером Aging Time, если по ним не было обращений (например, рабочая станция отключилась от сети). В этом случае к сети смогут подключиться новые пользователи, МАС-адреса, которых будут динамически изучены портом ( рис. 19.7).

Функция Port Security в режиме Delete on Timeout

Рис. 19.7. Функция Port Security в режиме Delete on Timeout

При использовании режима работы Permanent адреса, изученные портом, будут добавлены в статическую таблицу МАС-адресов и будут храниться в ней даже после включения/выключения питания и перезагрузки коммутатора.

Функция Port Security оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернета и локальных сетей с повышенным требованием по безопасности, где требуется исключить доступ незарегистрированных рабочих станций к услугам сети.

Используя функцию Port Security, можно полностью запретить динамическое изучение МАС-адресов указанными или всеми портами коммутатора. В этом случае доступ к сети получат только те пользователи, МАС-адреса которых указаны в статической таблице коммутации.

Настройка коммутатора

  • Активизировать функцию Port Security на соответствующих портах и запретить изучение МАС-адресов (параметр max_learning_addr установить равным 0).
    config port_security ports 1-24 admin_state enabled max_learning_addr 0
    
  • Создать записи в статической таблице МАС-адресов (имя VLAN в примере "default").
    create fdb default 00-50-ba-00-00-01 port 2 create fdb default 00-50-ba-00-00-02 port 2
    create fdb default 00-50-ba-00-00-03 port 2
    create fdb default 00-50-ba-00-00-04 port 2 create fdb default 00-50-ba-00-00-05 port 8
    (аналогично для всех требуемых портов)
    
< Лекция 6 || Практическая работа 13: 123456789 || Практическая работа 14 >
Сергей Некрасов
Сергей Некрасов

Вы уверены, что строка верна?

config vlan v2 add untagged 9-16

Как в таком случае пользователи v2 получат доступ к разделяемым ресурсам? По-моему, должно быть

config vlan v2 add untagged 9-24

Антон Донсков
Антон Донсков

Есть ли какой-либо эмулятор  DES-3200-28 т.к. читать то это читать, а практика оно лучше, а за неимением железки, которая для простого смертного все таки денег стоит, как то тоскливо....