802.1Q

реклама
Технологии, применяемые при
построении сетей на основе
коммутаторов D-Link
Карагезов Владислав, консультант по проектам
[email protected]
Требования к современным сетям
• Производительность и отказоустойчивость
• Обеспечение доступа к ресурсам сети и
возможность коммуникаций с партнерами и
клиентами
• Минимизация времени простоя сети во
избежании убытков
• Защищенность от несанкционированного
доступа
Дополнительные функции коммутаторов
2-го уровня
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Поддержка IEEE 802.1Q VLAN (на основе меток)
Spanning Tree Protocol (IEEE 802.1D) и Rapid STP (IEEE 802.1w)
Приоритезация пакетов IEEE 802.1p и 4 очереди
Контроль широковещательных штормов
Объединение портов в транк - Link Aggregation (IEEE 802.3ad Static
mode)
Функция Port Security (ограничение кол-ва MAC на заданном порту)
IGMP для ограничения широковещательных доменов в VLAN
Сегментация трафика
Контроль полосы пропускания
Контроль доступа к среде передачи IEEE 802.1x
SNMP-управление
Управление через web
Журналирование событий при помощи Syslog
Зеркалирование портов (трафик множества портов на один
выбранный порт)
Обновление ПО и backup файла конфигурации
Виртуальные Локальные Сети VLAN
• Дополнительное деление сетевых сегментов
для уменьшения трафика и перегрузок
• Логические группы в LAN
• VLAN подобны широковещательным доменам
• Обеспечение безопасности и разделения
доступа к ресурсам
Типы VLAN
• VLAN на базе портов
• VLAN на базе MAC-адресов
• VLAN на базе меток - стандарт IEEE 802.1Q
Таблица использования различных типов VLAN в
коммутаторах D-Link:
Модель
DES-1218
DES-1226
DES-3226
DES-3624(i)(F)
DES-6000
DGS-3204F
DGS-3208F(TG)
DES-3326
DGS-3308F
DES-6300
VLAN на базе
портов
VLAN 802.1Q
Широковещательные
домены на базе MACадресов


















VLAN на базе портов
• Применяется в пределах одного коммутатора
• Простота настройки
• Возможность изменения логической топологии
сети без физического перемещения рабочих
станций
• Каждый порт может входить только в один
VLAN
Пример VLAN на базе портов
VLAN1
VLAN 1
VLAN 2
VLAN 3
VLAN2
VLAN3
VLAN 1
VLAN 2
VLAN 3
Для объединения виртуальных
подсетей используется маршрутизатор
Маршрутизатор
L2 switch
VLAN 1
VLAN 2
VLAN 3
Коммутаторы DES-1218/1226 позволяют
включать порт в несколько VLAN
VLAN на базе MAC-адресов
• Возможность физически перемещать станцию,
позволяя оставаться ей в одном и том же
широковещательном домене без каких-либо
изменений в настройках конфигурации.
• Может потребовать от администратора
выполнения большого количества ручных
операций по маркировке МАС-адресов на
каждом коммутаторе сети.
Пример VLAN на базе MAC-адресов
VLAN 1
VLAN 2
VLAN 2
0050BABDE2CB
0050BABDC425
0050BABDD583
VLAN1
VLAN2
VLAN 1
VLAN 2
VLAN 1
0050BABD2FC3
0050BABDD2E8
IEEE 802.1Q VLAN
• Гибкость и удобство настройки и изменения
• Возможность работы протокола Spanning Tree
• Возможность работы с сетевыми устройствами,
которые не распознают метки
• Устройства разных производителей, могут
работать вместе
• Не нужно применять маршрутизаторы, чтобы
связать подсети
Пример для 802.1Q VLAN
V1
V2
U
U
V1 V2 V3
VLAN3
VLAN2
U
V2
V1
V1,V2, V3
VLAN1
DES-6000
T
V1,V2
T
T
T
T
V1,V2, V3
V3
T
DES-3624i
U
U
V1
V2
U
V3
U
V1 V2 V3
Маркированные кадры-Tagged Frame
• 12-бит VLAN маркер
• Идентифицирует кадр, как принадлежащий
VLAN
• Max. Размер
маркированного кадра
Ethernet 1522 байт
• Немаркированный кадр
это кадр без VLAN
маркера
DA
8100
0
SA
Tagged
Priority CFI
15
18 19
Data
CRC
VID
31
VID и PVID
• VID (VLAN Identifier)
• 12-bit часть VLAN
маркера
• Указывает какая
VLAN
• 12 бит определяет
4096 VLAN’ов
• VID 0 и VID 4095
зарезервированы
• PVID (Port VID)
• Ассоциирует порт с
VLAN
• Например,
Порту с PVID 3,
предназначены все
немаркированные
пакеты VLAN 3
VLAN схема 1
Деление сети на две VLAN с предоставлением общего
файл-сервера:
VID : 3
VLAN A
File Server
Computer : B1, B2, C1, C2
& File Server
VLAN B
1
Untag Egress :
1, 2, 3, 4 & 5
Port 3 assign PVID = 3
2
3
4
VLAN C
5
Computer : B1, B2
& File Server
VID : 1
Port
Computer : C1, C2
& File Server
B1
Untag Egress : Port 1, 2 & 3
Port 1 & 2 assign PVID = 1
B2
C1
C2
VID : 2
Untag Egress : Port 3, 4 & 5
Port 4 & 5 assign PVID = 2
Правила коммутации маркированных
& немаркированных портов
(Входящие данные)
• Прием данных с маркером
– Проверка маркировки VID
– Коммутация кадра на определенную VLAN группу
• Прием данных без маркера
– Проверка его PVID
– Коммутация кадра на определенную VLAN группу
Правила коммутации маркированных
& немаркированных портов
(Исходящие данные)
• Исходящий порт – маркированный порт
– Маркировка кадра
– Для идентификации кадра как
принадлежащего VLAN группе
• Исходящий порт – немаркированный порт
– Удаление маркера
Выходящие (Egress) порты
• Установка портов, передающих трафик в
VLAN похожа на маркированные и
немаркированные кадры
• Это означает, что VLAN кадры могут
передаваться (выходить) через выходящие
порты.
• Таким образом, порт, принадлежащий VLAN,
должен быть Выходящим (Egress) портом (“E”)
Маркированный входящий пакет
(Часть 1)
• Входящий пакет назначен для VLAN 2 потому, что в пакете
есть маркер принадлежности
• Порт 5 маркирован как Выходящий для VLAN 2
• Порт 7 не маркирован как Выходящий для VLAN 2
• Пакеты перенаправляются на порт 5 с маркером
• Пакеты перенаправляются на порт 7 без маркера
Маркированный входящий пакет
(Часть 2)
Маркированный
пакет останется
без изменений
Маркированный
пакет потеряет
маркер, т.к. он
уйдет с
коммутатора через
немаркированный
порт
Немаркированный входящий пакет
(Часть 1)
•PVID порта 4 -> 2
•Входящий немаркированный пакет назначен на VLAN 2
•Порт 5 маркированный Выходящий VLAN 2
•Порт 7 немаркированный Выходящий VLAN 2
•Пакеты с порта 4 перенаправляются на порт5 с маркером
•Пакеты с порта 4 перенаправляются на порт7 без маркера
Немаркированный входящий пакет
(Часть 2)
Немаркированный
пакет маркируется,
т.к.он выходит
через
маркированный
порт
VID связан с
PVID
входящего
порта
Немаркированный
пакет не изменен,
т.к. выходит через
немаркированный
порт.
VLAN Схема 2
Деление сети, построенной на 2-х коммутаторах на две
VLAN.
VLAN A :
Computer A1, A2, A3 & A4
Switch X
1
2
Switch Y
3
4
5
1
2
3
4
5
Switch X
VID : 2
Tag Egress : Port 5
A1
A
2
B1
B2
A
3
A
4
B3
Untag Egress : Port 1 & 2
Port 1 & 2 assign PVID = 2
VLAN B : Computer B1, B2, B3 & B4
Switch Y
Switch X
Switch Y
VID : 2
VID : 3
VID : 3
Tag Egress : Port 1
Tag Egress : Port 5
Tag Egress : Port 1
Untag Egress : Port 2 & 3
Untag Egress : Port 3 & 4
Untag Egress : Port 4 & 5
Port 2 & 3 assign PVID = 2
Port 3 & 4 assign PVID = 3
Port 4 & 5 assign PVID = 3
B4
VLAN схема 3
Деление сети на две VLAN.
VLAN A
VLAN B
Computer : A1 & A2
1
2
3
4
Computer : B1 & B2
5
VID : 2
Untag Egress :
Port 1 & 2
Port 1 & 2
assign PVID = 2
VID : 3
A1
A2
B1
B2
Untag Egress :
Port 4 & 5
Port 4 & 5
assign PVID = 3
Объединение портов в транк
Link Aggregation
•
•
•
•
Увеличение полосы пропускания
Обеспечение отказоустойчивости
Баланс нагрузки
Все избыточные связи задействованы
•Группы могут
объединять только
порты с одинаковой
скоростью и
одинаковой средой
передачи
•Для настройки
транка достаточно
настроить
«связывающий порт»
•Для STP транк – это
один канал
Объединенные в транк
каналы
Распределение потоков по каналам
транков
Настройка транков
Параметры настройки транков
• Anchor (Master) port - для настройки портов
в группе необходимо только настроить
“связывающий” порт
• Name - задайте имя транка
• Members – включите выбранные порты в
транк
• State – состояние: включен, выключен или
очистить
Транк между коммутатором и сервером
• Устранение «узких» мест в сети
• Повышение производительности для систем
клиент-сервер
• Вся настройка осуществляется только на
стороне сервера с помощью программного
обеспечения D-Link
• Возможность создавать транк между сервером и
коммутатором, не поддерживающим транки
DFE-580TX
Spanning Tree Protocol
• Резервные связи между коммутаторами
• Обеспечение единственного маршрута без
логических петель
• Стандартизованный протокол
• Автоматическое изменение конфигурации
при отказе линий без вмешательства
оператора
Основные определения в STP
• Root Switch - Корневой коммутатор, от него
строится дерево
• Root Port - Корневой порт - порт, который имеет
по сети кратчайшее расстояние до корневого
коммутатора
• Designated Port - Назначенный порт - порт,
который имеет кратчайшее расстояние от
данного сегмента сети до корневого
коммутатора
• Path Cost – Метрика, суммарное условное
время на передачу данных от порта данного
коммутатора до порта корневого коммутатора
Перед применением протокола STP
LAN 1
Port Cost=19
A
Port 3
Bridge ID=15
Port 1
Port 2
Port Cost=4
Port Cost=4
Port 1
Bridge ID=30
Port 2
B
Port 3
Port Cost=19
LAN 2
C
Port Cost=19
Port 1
Bridge ID=20
Port 2
Port 3
Port Cost=19
LAN 3
После применения протокола STP
LAN 1
Port 3
A
Root Bridge
Designated Port
Port 1
Port 2
Designated Port
Root Port
Root Port
Port 1
Port 2
LAN 2
B
Port 3
C
Blocked
Port 1
Desigmated Bridge
Port 2
Port 3
LAN 3
Пакеты BPDU содержат информацию для
построения топологии сети без петель
Пакеты BPDU помещаются в поле данных
кадров канального уровня, например, кадров
Ethernet. Они содержат несколько полей,
определяющих работу STP. Среди них
наиболее важные:
• Идентификатор коммутатора
• Расстояние до корневого коммутатора
• Идентификатор порта
Изменение состояния портов в
процессе работы STP
• Blocking – при включении все порты находятся
в состоянии «Заблокирован»
• Listening - порт генерирует, принимает и
передает BPDU
• Learning – «Обучение», начинает принимать
пакеты и на основе адресов источника строить
таблицу коммутации
• Forwarding – Начинает продвижение пакетов
• Disable – Вручную отключен администратором
Основные параметры STP
• Priority – Приоритет коммутатора. От 0 до 65535
• Hello Time- интервал между передачей BPDU
корневым коммутатором. От 1 до 10 с.
• Max. Age - Если по истечении интервала
времени, установленного в Max.Age от
корневого коммутатора все еще не пришел пакет
BPDU, то ваш коммутатор начнет сам посылать
пакеты BPDU.
От 6 до 40 с.
Основные параметры STP
(продолжение)
• Forward Delay Timer – Время перед переход
порта в состояние продвижения пакетов.
От 4 до 30 с.
• Port Priority – Приоритет порта. Чем меньше
значение данного параметра, тем выше
вероятность, что порт станет корневым.
От 0 до 255.
• Port Cost – «Стоимость» порта. От 1 до 65535
Сравнение протоколов STP 802.1d и
RSTP 802.1w
• Время схождения:
STP 802.1d: 30 сек.
RSTP 802.1w: меньше 1 сек.
• Диаметр сети:
STP 802.1d и 802.1w: 7 переходов,
14 для типа «кольцо»
RSTP 802.1w обратно совместим с
STP 802.1d.
Обратная совместимость RSTP 802.1w
с STP 802.1d
802.1w
802.1w
RSTP BPDU
802.1d
STP BPDU
802.1d
STP BPDU
802.1d
802.1d
Настройка таблицы фильтрации
коммутатора. Port Security
• Дополнительный уровень безопасности
• Привязка MAC-адресов к порту позволяет
предотвратить несанкционированный доступ
на канальном уровне - Port Security
• Неизменяемая таблица MAC-адресов даже
при длительной неактивности устройств или
перегрузках сети
Функция Port Security
•
На каждом порту Ethernet можно контролировать максимальное
кол-во MAC-адресов, которое может быть изучено. Это полезно в
решениях ETTH для контроля за тем, какие пользователи и сколько
могут одновременно подключаться к Интернет.
Max. User = 1
Max. user = 1
Max. user = 8
ETTH
Интернет
Пример:
Порт 1: Максимальное кол-во адресов = 1
Порт 2: Максимальное кол-во адресов = 1
Порт 3: Максимальное кол-во адресов = 1
Порт 4: Максимальное кол-во адресов = 8
И т.д.
Защита от несанкционированного доступа
Задача: MAC-адреса, не внесенные в список на порту
не могут получить доступа к сети
Магистраль
сети
Mac1
Mac2
Mac3
Mac4
Mac5
Mac6
Mac7
Mac8
Серверы
Mac9
mac10
• Включить блокировку
автообучения на каждом порту
(DES-3226S)
•Ввести список разрешенных
MAC-адресов в статическую
таблицу MAC-адресов.
Максимальное кол-во записей
для DES-3226S= 128. Данное
значение может варьироваться в
зависимости от модели
коммутатора.
Протокол IEEE 802.1P
Стандарт IEEE 802.1p определяет приоритет пакета при
помощи тэга в его заголовке. Можно задать до 8 уровней
приоритета от 0 до 7. Уровень 7 определяет самый высокий
приоритет.
Коммутаторы поддерживают 4 очереди Class of Service на
каждом порту. Для маркированных пакетов приоритет может
быть изменен на одну из четырех очередей CoS. Для
немаркированных пакетов приоритет выставляется исходя
из приоритета, выставленного на данном порту.
Как работает 802.1p
4 очереди
приоритета
Очередь:
Приоритет:
Порт:
Class-0
Class-1
Class-2
Class-3
0
2
4
6
1
1 2 3 4
3
5
5 6 7 …………………………….
7
802.1P приоритет по умолчанию
Данный пример
показывает настройку
приоритета по умолчанию
для пакетов, которым не
было еще присвоено
никакое значение
приоритета.
802.1P приоритет, определяемый настройкой
Данный экран
показывает
возможность настройки
класса приоритета для
трафика, указывая
значения класса от 0
до 3 в соответствии с
8-ю уровнями
приоритета
коммутатора.
QoS
QOS включает два режима работы:
• STRICT (строгий) режим
Когда поступают данные с высоким уровнем приоритета,
устройство передает их первыми. Только после того,
как завершена передача данных с высоким уровнем
приоритета, начинается передача данных с более
низким уровнем приоритета.
• Round Robin (круговой) режим
Алгоритм QoS начинает работу с самого высокого QoS
для данного порта, пересылает максимальное
количество пакетов, затем перемещается к следующему,
более низкому уровню QoS.
Настройка QoS
Max. Packets
Алгоритм QoS начинает работу
с самого высокого QoS для
данного порта, пересылает
максимальное количество
пакетов, затем перемещается к
следующему, более низкому
уровню QoS.
В данном поле может быть введено значение от 0 до 255.
Если введен 0, коммутатор будет продолжать обрабатывать
пакеты пока в очереди не останется больше пакетов.
Max. Latency
Максимальное время, в течении которого пакет будет оставаться в
очереди QoS. Пакет в данной очереди не может задерживаться
дольше указанного времени. Таймер отключен, если значение
установлено в 0. Каждая единица данного таймера эквивалентна 16
миллисекундам.
Контроль полосы пропускания
На каждом порту Ethernet можно настроить
ограничение скорости на входящий/исходящий
трафик.
ETTH
U/D=1/50
U/D=1/10
U/D=5/100
Пример:
Порт 1: Upstream = 1 Мбит/с,
Порт 2: Upstream = 1 Мбит/с,
Порт 3: Upstream = 1 Мбит/с,
Порт 4: Upstream = 5 Мбит/с,
Мбит/с
Downstream = 1 Мбит/с
Downstream = 10 Мбит/с
Downstream = 50 Мбит/с
Downstream = 100
Настройка полосы пропускания
Настройка полосы
пропускания для
входящего и
исходящего трафика на
каждом порту
Определение протокола IEEE 802.1x
Протокол определяет доступ на основе модели Клиент/Сервер и
протокол аутентификации, который не позволяет неавторизованным
устройствам подключаться к локальной сети через порты коммутатора.
Сервер аутентификации (RADIUS) проверяет права доступа каждого
клиента, подключаемого к порту коммутатора прежде, чем разрешить
доступ к любому из сервисов, предоставляемых коммутатором или
локальной сетью.
Сервер аутентификации RADIUS
Коммутатор
……..
Клиент
Клиент
Клиент
Клиент
Роли устройств в протоколе 802.1x
•Клиент
Коммутатор
Рабочая
станция
(Клиент)
(Authenticator)
Сервер RADIUS
(Сервер
аутентификации )
Клиент:
Это рабочая станция, которая запрашивает доступ к локальной сети и
сервисам коммутатора и отвечает на запросы от коммутатора. На
рабочей станции должно быть установлено клиентское ПО для 802.1x,
например то, которое встроено в ОС Microsoft Windows XP
Роли устройств в протоколе 802.1x
•Сервер аутентификации
Коммутатор
Рабочая
станция
(Клиент)
Сервер RADIUS
(Сервер аутентификации)
(Authenticator)
Сервер аутентификации:
Сервер аутентификации проверяет подлинность клиента и
информирует коммутатор предоставлять или нет клиенту доступ к
локальной сетиa.. RADIUS работает в модели клиент/сервер, в
которой информация об аутентификации передается между сервером
и клиентами RADIUS.
* Remote Authentication Dial-In User Service (RADIUS)
Роли устройств в протоколе 802.1x
•Authenticator
Коммутатор
Рабочая
станция
(Клиент)
(Authenticator)
Сервер RADIUS
(Сервер аутентификации)
Authenticator:
Authenticator работает как посредник между Клиентом и Сервером
аутентификации, получая запрос на проверку подлинности от
Клиента, проверяет данную информацию при помощи Сервера
аутентификации, и пересылает ответ Клиенту.
Процесс аутентификации в 802.1X
Рабочая
станция
(Клиент)
Сервер RADIUS
(Сервер аутентификации)
Коммутатор
(Authenticator)
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity
RADIUS Access-Request
EAP-Request/OTP
RADIUS Access-Challenge
EAP-Response/OTP
RADIUS Access-Request
EAP-Success
RADIUS Access-Accept
Порт авторизован
EAPOL-Logoff
RADIUS Account-Stop
RADIUS Ack
Порт не авторизован
* OTP (One-Time-Password)
Настройка 802.1x
Рабочая станция: клиент 802.1x встроен в ОС
Window XP. Иначе требуется клиентское ПО для
802.1x.
Коммутатор:
1. Активировать 802.1x на устройстве
enable 802.1x
2. Настроить 802.1x на портах
config 802.1x capability Портs 1-24 authenticator
3. Настроить параметры для сервера Radius
config radius add 1 10.40.9.200 key 04009 default
Сервер Radius: Windows NT или Windows 2000 Server
Radius Server Service.
Сравнение 802.1x на основе портов и на
основе MAC-адресов
802.1x на основе портов
После того, как порт был авторизован, любой
пользователь, подключенный к порту может
получить доступ к локальной сети.
802.1x на основе MAC-адресов
Не только проверяет имя пользователя/пароль,
но и проверяет максимальное кол-во MACадресов, доступных для работы. Если предел
достигнут, то блокирует новый MAC-адрес.
Сегментация трафика
Сегментация трафика служит для разграничения
доменов на уровне 2.
Данная функция позволяет настраивать порты таким
образом, чтобы они были изолированы друг от друга,
но в то же время имели доступ к разделяемым
портам, используемым для подключения сервером и
магистрали сети провайдера. Данная функция может
быть использована при построении сетей
провайдеров.
Сегментация трафика
PC2
PC24
…………………..
…………
ETTH или
Общий
сервер
Все компьютеры (PC2 - PC24) имеют доступ к порту uplink,
но не имеют доступа друг к друг на уровне 2
Решение можно использовать для:
1. В проектах ETTH для изоляции портов
2. Для предоставления доступа к общему серверу
ETTH – Ethernet To The Home
Настройка сегментации трафика
Des-3226: Disable/Enable
Des-3226S: Настройка таблицы сегментации на каждом
порту
Управление при помощи SNMP
Что означает 1.3.6.1.2.1.1.1
D-View
1.3.6.1.2.1.1.1 = “Des3226”
IP=10.1.1.2/8
Для чтения = public
Для чтения/записи = private
IP=10.1.1.1/8
SNMP community String
Для чтения = public
Для чтения/записи = private
Проблемы протокола SNMP версии 1
• Обеспечение безопасности только на основе параметра
Community String. Параметр передается в текстовом
незашифрованном виде.
• Содержание пакетов SNMP также в виде plain-text.
• Если параметр Community String корректен, все дерево MIB
может быть просмотрено или изменено.
Решение: SNMP v3
Новые возможности в SNMPv3
• Обеспечение функций безопасности
• Шифрация/Дешифрация пакетов
• Возможность настройки уровня привилегий
пользователя
• SNMP v3 включает следующие 4 модели:
• MPD(RFC2572)
• TARGET(RFC2573)
• USM(RFC2574): User-based Security Model
• VACM(RFC2575): View-based Access Control Model
• D-View 5.1 поддерживает SNMPv1 и SNMP V3.
• Управляемые устройства D-Link также поддерживают
SNMP v1 & V3.
Access Control Profile
• Access Control Profile обеспечивает ограничение
прохождения трафика через коммутатор. Для
включения функции Access Control Profile
пользователь должен сначала создать маску
профиля для определения того, какое поле
пакета содержит признак, используемый для
фильтрации и затем применить правило
фильтрации, сопоставленное с маской.
• Поддержка до 10 профилей и до 50 правил.
(Des-3226S, Des-3326S)
Типы профилей доступа
Ethernet:
IP:
• Profile ID
• ID профиля
• VLAN
• VLAN
• MAC-адрес источника
• Маска IP-адреса источника
• MAC-адрес назначения
• Маска IP-адреса получателя
• 802.1p
• DSCP
• Тип Ethernet
• Протоколы (ICMP, IGMP, TCP,
UDP)
• Разрешить или
запретить
• Порты TCP/UDP
• Разрешить или
запретить
Профили и правила доступа на уровне
Ethernet
Профили доступа на уровне IP
Руководство по настройке профиля доступа
• Проанализируйте задачи фильтрации и определите какой
профиль доступа использовать: Ethernet или IP
• Определитесь со стратегией и запишите ее
• Основываясь на стратегии, определите какие нужны маски
профиля доступа - “access profile mask” и создайте их
• Добавьте правила - “access profile rule” связанные с маской
• Профили доступа проверяются последовательно, в
соответствии с их ID. Профили с меньшими ID, проверяются
первыми. Если не подходит ни один профиль, применяется
политика по умолчанию
• Если необходимо, при совпадении профиля, значения тега для
802.1p может быть заменено новым, меняющим приоритет
пакета
Коммутатор уровня 2
Ethernet ACL – Пример 1
Сценарий: Разрешить некоторым пользователям
доступ в Интернет, основываясь на MAC-адресах
Интенет-шлюз
Internet
DES-3226S
PC-1
Другие компьютеры
Интернет-шлюз:
IP=10.254.254.251/8
00-50-BA-00-00-19
PC1: Разрешен доступ в
Интернет
IP 10.1.1.1/8,
0050ba6b18c8
gw=10.254.254.251
Остальные компьютеры
(Запрещен доступ в
Интернет)
IP: 10.x.x.x/8
Коммутатор уровня 2
Ethernet ACL – Пример 1
Правила:
Если MAC-адрес назначения = шлюза и MAC-адрес источника = разрешенный компьютер, то
разрешить (можно ввести несколько таких правил для других компьютеров, которым разрешен
доступ)
Если MAC-адрес назначения = шлюза, то запретить
Иначе (разрешить все остальное по умолчанию)
# MAC 0050ba6b18c8 может получать доступ в Интернет и к другим компьютерам.
# Компьютеры с другими MAC-адресами не могут получить доступ к Интернет, но могут получить доступ
друг к другу
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF permit
profile_id 10
config access_profile profile_id 10 add access_id 11 ethernet source_mac 00-50-ba-6b-18-c8 destination_mac 00-50ba-00-00-19
# add other permitted MAC rule here.
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF deny profile_id 20
config access_profile profile_id 20 add access_id 21 ethernet destination_mac 00-50-ba-00-00-19
Тест:
PC1 может обмениваться пакетами icmp с Интернет. (Разрешенный MAC-адрес имеет доступ в
Интернет)
PC2 не может обмениваться пакетами icmp с Интернет. (Другие компьютеры не имеет доступ в
Интернет)
PC1 и PC2 могут обмениваться пакетами icmp друг с другом. (Intranet OK)
Коммутатор уровня 2
Ethernet ACL – Пример 3
Сценарий: Разрешить некоторым пользователям
доступ в Интернет, основываясь на IP-адресах
Internet
Интенет-шлюз
• Доступ в Интернет разрешен:
192.168.1.1 ~ 192.168.1.63
IP: 192.168.1.254/32
Des-3226S • Остальным компьютерам
разрешен доступ только в
локальную сеть
Другие компьютеры
.1 ~ .63
Сеть: 192.168.1.x
Коммутатор уровня 2
Ethernet ACL – Пример 3
Правила:
1.
Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.1/26, то доступ разрешен
2.
Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.1/24, то доступ запрещен
3.
Иначе, по умолчанию разрешить доступ для всего остального
# разрешить доступ с адресов .1 ~ .63 на шлюз .254
create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.192 permit
profile_id 10
config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.254 source_ip 192.168.1.1
# запретить доступ с адресов .1~.253 на шлюз .254
create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.0 deny profile_id
20
Config access_profile profile_id 20 add access_id 21 ip destination_ip 192.168.1.254 soruce_ip 192.168.1.1
# Иначе, по умолчанию разрешить доступ
Тест:
1.
192.168.1.1 ~ 192.168.1.63 имеют доступ в Интернет (через.254) и имеют доступ
друг к другу .64 ~ .253 PC
2.
.64 ~ .253 PC имеют доступ ко всем компьютерам .1~.253 PC, но не имеют доступ к
шлюзу .254
Коммутатор уровня 3
IP ACL – Пример 1
Сценарий: Только одна подсеть IP может быть
доступной из других подсетей
• Подсеть 1(192.168.1.x)
Des-3326S
может быть доступной из
подсети 2, подсети 3,
подсети 4.
• Подсеть 2, подсеть 3,
подсеть 4 не имеют доступ
друг к другу
Net4
192.168.4.x
Gw192.168.4
.1
Net3
192.168.3.x
Gw192.168.3
.1
Net2
192.168.2.x
Gw192.168.2
.1
Серверы
Net1
192.168.1.x
Gw192.168.1
.1
Коммутатор уровня 3
IP ACL – Пример 1
Правила:
1.
Если Dest. IP=192.168.1.x, то разрешить доступ
2.
Если Src. IP=192.168.1.x, то разрешить доступ
3.
Если DestIP=192.168.2.x и destIP=192.168.2.x, то разрешить доступ
4.
Если DestIP=192.168.3.x и SrcIP=192.168.3.x, то разрешить доступ
5.
Если DestIP=192.168.4.x и SrcIP=192.168.4.x, то разрешить доступ
6.
Запретить все остальное
# создадим правила доступа
# разрешить доступ только к подсети 192.168.1.x из других подсетей
create access_profile ip destination_ip_mask 255.255.255.0 permit profile_id 10
config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.2
create access_profile ip source_ip_mask 255.255.255.0 permit profile_id 20
config access_profile profile_id 20 add access_id 21 ip source_ip 192.168.1.2
# разрешить доуступ внутри подсетей 192.168.2.x, 192.168.3.x и 192.168.2.x.
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 permit profile_id 30
config access_profile profile_id 30 add access_id 31 ip source_ip 192.168.2.2 destination_ip 192.168.2.2
config access_profile profile_id 30 add access_id 32 ip source_ip 192.168.3.2 destination_ip 192.168.3.2
config access_profile profile_id 30 add access_id 33 ip source_ip 192.168.4.2 destination_ip 192.168.4.2
#### здесь можно добавить другие сети, при необходимости
# запретить все остальное.
create access_profile ip source_ip_mask 0.0.0.0 deny profile_id 40
config access_profile profile_id 40 add access_id 41 ip source_ip 0.0.0.0
Тест:
1.
Net2 (192.168.2.x), Net3, Net4 имеют доступ к Net1 (192.168.1.x).
2.
Net2, Net3, Net4 не имеют доступ друг к другу
Спасибо
Служба технической поддержки: [email protected]
Скачать