Функциональные возможности управляемых коммутаторов

Содержание

Слайд 2

Содержание Функции сетевой защиты на уровне доступа; Функции защиты процессора коммутатора

Содержание

Функции сетевой защиты на уровне доступа;
Функции защиты процессора коммутатора от перегрузок

и нежелательного трафика;
Организация многоадресной передачи с помощью управляемых коммутаторов
Слайд 3

Функции сетевой защиты на уровне доступа

Функции сетевой защиты
на уровне доступа

Слайд 4

Роль активного сетевого оборудования в организации защиты ЛВС Сеть предприятия МЕЖСЕТЕВЫЕ

Роль активного сетевого оборудования в организации защиты ЛВС

Сеть предприятия

МЕЖСЕТЕВЫЕ ЭКРАНЫ
защищают внутреннюю

сеть от внешних

КОММУТАТОРЫ
защищают внутреннюю сеть на уровне доступа

Здание 2

Дата-центр

Финансовый отдел

Слайд 5

Списки управления доступом (Access Control List, ACL) - средство фильтрации трафика,

Списки управления доступом (Access Control List, ACL) - средство фильтрации трафика,

проходящего через коммутатор без потери производительности (фильтрация выполняется на аппаратном уровне).
ACL представляют собой последовательность условий проверки параметров в протокольных заголовках Ethernet-кадра.

Списки управления доступом ACL

Слайд 6

Списки управления доступом состоят из профилей доступа (Access Profile) и правил

Списки управления доступом состоят из профилей доступа (Access Profile) и правил

(Rule).
Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.).
В правилах ACL указываются непосредственно значения их параметров.
Каждый профиль может состоять из множества правил.

Профили доступа и правила ACL

Слайд 7

Принцип работы ACL

Принцип работы ACL

Слайд 8

Процесс создание профиля доступа можно разделить на следующие основные шаги: Анализируется

Процесс создание профиля доступа можно разделить на следующие основные шаги:
Анализируется задача

фильтрации и определяется тип профиля доступа – Ethernet, IP или Packet Content Filtering;
Определяется стратегия фильтрации;
Основываясь на выбранной стратегии, определяется маска профиля доступа. Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/UDP и т.д. должны проверяться в пакете данных, а какие игнорироваться;
Добавляется правило профиля доступа (Access Profile Rule), связанное с этой маской.

Процесс создания профиля доступа

Слайд 9

Правила фильтрации формируются в соответствующие профильные группы с номером (access_id); Каждый

Правила фильтрации формируются в соответствующие профильные группы с номером (access_id);
Каждый профиль

проверяется последовательно сверху вниз в соответствии с его номером.
Чем меньше номер access_id, тем раньше проверяется правило. Если ни одно правило не сработало, пакет данных пропускается.

Процесс создания профиля доступа

Слайд 10

Маска профиля доступа определяет, какие биты в значениях полей IP-адрес, МАС-адрес,

Маска профиля доступа определяет, какие биты в значениях полей IP-адрес, МАС-адрес,

порт ТСР/UDP и т.д. приходящих на коммутатор кадров, должны проверяться, а какие игнорироваться. Биты маски имеют следующие значения:
«0» – означает игнорирование значения соответствующего бита поля пакета данных;
«1» – означает проверку значения соответствующего бита поля пакета данных.
Если, например, необходимо изучать все разряды MAC-адреса, чтобы, например, запретить прохождение трафика от узла с МАС-адресом 01-00-00-00-АС-11, маска профиля доступа для этого адреса будет равна FF-FF-FF-FF-FF-FF.

Вычисление маски профиля доступа

Слайд 11

ТЗ. Пользователи ПК 1 и ПК 2 получат доступ в Интернет,

ТЗ. Пользователи ПК 1 и ПК 2 получат доступ в

Интернет, т.к. их МАС-адреса указаны в разрешающем правиле 1. Как только пользователи других компьютеров попытаются выйти в Интернет, сработает правило 2, которое запрещает прохождение через коммутатор кадров с МАС-адресом назначения, равным МАС-адресу Интернет-шлюза.

Пример настройки ACL

Слайд 12

Профиль 1: если МАС-адрес источника SourceMAC равен МАС-адресам ПК 1 или

Профиль 1: если МАС-адрес источника SourceMAC равен МАС-адресам ПК 1 или

ПК 2, то следует разрешить трафик.
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 profile_name Permit_Internet
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-50-ba-11-11-11 port 1 permit
config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-50-ba-22-22-22 port 10 permit
Профиль 2: если МАС-адрес назначения DestMAC равен MAC-адресу Интернет-шлюза, то следует запретить трафик.
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2 profile_name Deny_Internet
config access_profile profile_id 2 add access_id 1 ethernet destination_mac 00-50-ba-99-99-99 port 11 deny
Иначе, по умолчанию разрешить всем узлам весь трафик.

Пример настройки ACL

Слайд 13

Функция IP-MAC-Port Binding (IMPB) позволяет контролировать доступ компьютеров в сеть на

Функция IP-MAC-Port Binding (IMPB) позволяет контролировать доступ компьютеров в сеть на

основе их IP- и MAC-адресов, а также порта подключения.
Администратор сети может создать записи в т. н. «белом листе» и на основе этих записей клиенты будут получать доступ к сети со своих компьютеров.
Если при подключении клиента, связка MAC-IP-порт будет отличаться от параметров заранее сконфигурированной записи, то коммутатор будет блокировать доступ к сети для такого клиента.

Функция IP-MAC-Port Binding (IMPB)

Слайд 14

«Хакер» пытается подключиться к коммутатору. Коммутатор обнаруживает, что на порт 10

«Хакер» пытается подключиться к коммутатору. Коммутатор обнаруживает, что на порт 10

приходят кадры, связка IP-MAC для которых отсутствует в «белом листе» IMPB, и блокирует эти кадры.

Пример настройки функции IP-MAC-Port Binding

Слайд 15

//Создать запись IP-MAC-Port Binding и указать режим работы //функции create address_binding

//Создать запись IP-MAC-Port Binding и указать режим работы //функции
create address_binding ip_mac

ipaddress 192.168.0.10 mac_address 00-C0-9F-86-C2-5C ports 1-10
//Активизировать функцию на требуемых портах
config address_binding ip_mac ports 1-10 state enable

Пример настройки функции IP-MAC-Port Binding

Слайд 16

Функция Port Security позволяет: ограничивать количество подключаемых к порту пользователей; контролировать

Функция Port Security позволяет:
ограничивать количество подключаемых к порту пользователей;
контролировать доступ к

порту по МАС-адресам подключаемых устройств.

Управляемый коммутатор

Пользователи успешно подключены

Достигнуто ограничение

Пользователь заблокирован

Пользователь 2 отключается от сети

После отключения пользователя 2 от сети и истечения таймера Aging time, пользователь 3 может получить доступ к сети.

Максимальное количество изучаемых
портом MAC-адресов равно 2

Порт 1

Неуправляемый коммутатор

Пользователь 1 пытается подключиться к сети

Пользователь 2 пытается подключиться к сети

Рисунок анимирован

Функция Port Security

Слайд 17

Существует три режима работы функции Port Security: Permanent (Постоянный) – занесенные

Существует три режима работы функции Port Security:
Permanent (Постоянный) – занесенные в

таблицу коммутации МАС-адреса никогда не устареет, даже если истекло время, установленное таймером FDB Aging Time или коммутатор был перезагружен.
Delete on Timeout (Удалить по истечении времени) – занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером FDB Aging Time и будут удалены.
Delete on Reset (Удалить при сбросе настроек) – занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

Режимы работы функции Port Security

Слайд 18

ТЗ. На портах 1-3 управляемого коммутатора настроить ограничение по количеству подключаемых

ТЗ. На портах 1-3 управляемого коммутатора настроить ограничение по количеству подключаемых

пользователей равное 2. МАС-адреса подключаемых пользователей изучаются динамически. Режим работы функции - Delete on Timeout.
config port_security ports 1-3 admin_state enabled max_learning_addr 2 lock_address_mode DeleteOnTimeout
Проверить настройку функции можно с помощью команды:
show port_security
Если необходимо, чтобы коммутатор «отписывался» в Log-файле при подключении неавторизованного пользователя к порту коммутатора, администратор может настроить выполнение этих действий с помощью команды:
enable port_security trap_log

Пример настройки функции Port Security

Слайд 19

Используя функцию Port Security можно полностью запретить динамическое изучение МАС-адресов указанными

Используя функцию Port Security можно полностью запретить динамическое изучение МАС-адресов указанными

или всеми портами коммутатора. В этом случае доступ к сети получат только те пользователи, МАС-адреса которых указаны в статической таблице коммутации.
Настройка коммутатора
//Активизировать функцию Port Security на соответствующих портах и запретить //изучение МАС-адресов (параметр max_learning_addr установить равным 0).
config port_security ports 1-24 admin_state enabled max_learning_addr 0
//Создать записи в статической таблице МАС-адресов (имя VLAN в примере “default”).
create fdb default 00-50-ba-00-00-01 port 2
create fdb default 00-50-ba-00-00-02 port 2
create fdb default 00-50-ba-00-00-03 port 2
create fdb default 00-50-ba-00-00-04 port 2
create fdb default 00-50-ba-00-00-05 port 8
....... (аналогично для всех требуемых портов)

Пример настройки функции Port Security

Слайд 20

Функции защиты процессора коммутатора от перегрузок и нежелательного трафика

Функции защиты
процессора коммутатора
от перегрузок
и нежелательного трафика

Слайд 21

В коммутаторах D-Link реализованы функции Safeguard Engine и CPU Interface Filtering,

В коммутаторах D-Link реализованы функции Safeguard Engine и CPU Interface Filtering,

обеспечивающие защиту ЦПУ от обработки нежелательных пакетов и перегрузок.
Повод для использования:
возникновение в сети многоадресных или широковещательных штормов, вызванных неправильной настройкой оборудования, петлями или сетевыми атаками,
Неправильно рассчитанная нагрузка на коммутатор и его порты,
неконтролируемый администратором «флуд» в сети.

Функции защиты ЦПУ коммутатора

Слайд 22

Safeguard Engine - функция для обеспечения возможности снижения загрузки процессора управляемого коммутатора. Функция Safeguard Engine

Safeguard Engine - функция для обеспечения возможности снижения загрузки процессора управляемого

коммутатора.

Функция Safeguard Engine

Слайд 23

ТЗ: одна из рабочих станций, подключенных к коммутатору, постоянно рассылает ARP-пакеты

ТЗ: одна из рабочих станций, подключенных к коммутатору, постоянно рассылает ARP-пакеты

с очень высокой скоростью. Загрузка ЦПУ коммутатора при этом меняется от нормальной до 90%.
Решение: для защиты ЦПУ от данной ситуации и снижения его загрузки, на коммутаторе настраивается функция Safeguard Engine.
Настройка коммутатора
//Активация функции Safeguard Engine.
config safeguard_engine state enable
//Задание нижнего и верхнего порогового значения загрузки ЦПУ в процентах, при //которых будет происходить переключение между нормальным режимом работы и //режимом Exhausted.
config safeguard_engine utilization rising 70 falling 50 mode strict

Пример настройки функции Safeguard Engine

Слайд 24

CPU Interface Filtering – функция, позволяющая ограничивать пакеты, поступающие для обработки

CPU Interface Filtering – функция, позволяющая ограничивать пакеты, поступающие для обработки

на ЦПУ, путем фильтрации нежелательного трафика на аппаратном уровне.
По своей сути функция CPU Interface Filtering представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичными стандартным ACL принципами работы и конфигурации.

Функция CPU Interface Filtering

Слайд 25

ТЗ: необходимо настроить коммутатор таким образом, чтобы пакеты ICMP (например, команда

ТЗ: необходимо настроить коммутатор таким образом, чтобы пакеты ICMP (например, команда

Ping), передаваемые компьютером ПК 2, не отправлялись на обработку на ЦПУ, но при этом ПК 2 мог передавать подобные пакеты другим устройствам, например ПК 1.

Пример настройки функции
CPU Interface Filtering

Слайд 26

//Активация функции CPU Interface Filtering на коммутаторе enable cpu_interface_filtering //Создание профиль

//Активация функции CPU Interface Filtering на коммутаторе
enable cpu_interface_filtering
//Создание профиль доступа для

интерфейса ЦПУ
create cpu access_profile ip source_ip_mask 255.255.255.255 icmp profile_id 1
//Создание правила в профиле доступа
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.31.3.2 icmp deny

Пример настройки функции
CPU Interface Filtering

Слайд 27

Функция Port Mirroring Функция Port Mirroring (Зеркалирование портов) позволяет отображать (копировать)

Функция Port Mirroring
Функция Port Mirroring (Зеркалирование портов) позволяет отображать (копировать) кадры,

принимаемые и отправляемые портом-источником (Source port) на целевой порт (Target port) коммутатора, к которому подключено устройство мониторинга с целью анализа проходящих через интересующий порт пакетов.
Целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость работы.
Настройка коммутатора
//Настройка зеркалирования с портов 2 и 4 на порт 1
config mirror port 1 add source ports 2, 4 both
//Включение зеркалирования
enable mirror

Доп. функция контроля трафика

Порт 1

Порт 2

Порт 4

Целевой порт

Порт-источник

Устройство мониторинга

Коммутатор

ПК 1

ПК 2

Слайд 28

Организация многоадресной передачи с помощью управляемых коммутаторов

Организация
многоадресной передачи
с помощью
управляемых коммутаторов

Слайд 29

одноадресная передача (Unicast) - поток данных передается от узла-отправителя на индивидуальный

одноадресная передача (Unicast) - поток данных передается от узла-отправителя на индивидуальный

IP-адрес конкретного узла-получателя;
широковещательная передача (Broadcast) - поток данных передается от узла-отправителя множеству узлов-получателей, подключенных к сети, используя широковещательный IP-адрес;
многоадресная рассылка (Multicast) - поток данных передается группе узлов на множество IP-адресов группы многоадресной рассылки.

Виды передачи данных

Слайд 30

У группы многоадресной рассылки нет географических ограничений: узлы могут находиться в

У группы многоадресной рассылки нет географических ограничений: узлы могут находиться в

любой точке мира.
Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписаться на рассылку) при помощи протокола IGMP (Internet Group Management Protocol).
После подписки узла на группу пакеты многоадресной рассылки IP, будут поступать в том числе и на этот узел.

Многоадресная рассылка

Слайд 31

Принципы адресации MULTICAST в IPv4 Источник многоадресного трафика направляет пакеты многоадресной

Принципы адресации MULTICAST в IPv4
Источник многоадресного трафика направляет пакеты многоадресной рассылки

на групповой IP-адрес.
Групповые адреса определяют произвольную группу IP-узлов, присоединившихся к этой группе и желающих получать адресованный ей трафик.
Агентство IANA (Internet Assigned Numbers Authority), выделило для многоадресной рассылки адреса IPv4 класса D в диапазоне от 224.0.0.0 до 239.255.255.255.
Формат IP-адреса класса D:
Первые 4 бита – всегда равны 1110 и определяют класс сети D;
Остальные 28 бит – используются для идентификации конкретной группы получателей многоадресного трафика.

Многоадресная рассылка

Слайд 32

Принципы адресации MULTICAST на канальном уровне МАС-адрес групповой рассылки начинается с

Принципы адресации MULTICAST на канальном уровне
МАС-адрес групповой рассылки начинается с префикса,

состоящего из 24 бит – 0х01-00-5Е. Следующий 25-й бит (или бит высокого порядка) приравнивается к 0. Последние 23 бита МАС-адреса формируются из 23 младших бит группового IP-адреса.
При преобразовании теряются 5 битов 1-го октета IP-адреса, получившийся адрес не является уникальным.
Каждому МАС-адресу соответствует 32 IP-адреса групповой рассылки.

Многоадресная рассылка

Слайд 33

Подписка и обслуживание групп Протокол IGMP используется для динамической регистрации отдельных

Подписка и обслуживание групп
Протокол IGMP используется для динамической регистрации отдельных узлов

в многоадресной группе локальной сети.
В настоящее время существуют три версии протокола IGMP:
IGMPv1 (RFC 1112), IGMPv2 (RFC 2236), IGMPv3 (RFC 3376).
Узлы сети определяют принадлежность к группе, посылая IGMP-сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы (коммутаторы L3) получают IGMP-сообщения и периодически посылают запросы, чтобы определить, какие группы активны или неактивны в данной сети.
В общем случае протокол IGMP определяет следующие типы сообщений:
запрос о принадлежности к группе (Membership Query);
ответ о принадлежности к группе (Membership Report);
сообщение о выходе из группы (Leave Group Message).

Многоадресная рассылка

Слайд 34

IGMP Snooping Основная проблема – эффект «флудинга» при передаче multicast-трафика коммутатором

IGMP Snooping
Основная проблема – эффект «флудинга» при передаче multicast-трафика коммутатором L2

(передача многоадресного трафика через все порты).
Управление многоадресной рассылкой на коммутаторе L2 может быть выполнено двумя способами:
Созданием статических записей в таблицах коммутации для портов, к которым не подключены подписчики многоадресных групп;
Использованием функции IGMP Snooping (прослушиванием multicast- трафика).

Многоадресная рассылка

Слайд 35

Функция IGMP Snooping IGMP Snooping – это функция, которая позволяет коммутаторам

Функция IGMP Snooping
IGMP Snooping – это функция, которая позволяет коммутаторам L2

изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения (запросы и ответы), передаваемые между узлами-подписчиками и маршрутизаторами (коммутаторами L3).

Рисунок анимирован

Многоадресная рассылка

Слайд 36

Функция IGMP Snooping Когда узел, подключенный к коммутатору, хочет вступить в

Функция IGMP Snooping
Когда узел, подключенный к коммутатору, хочет вступить в многоадресную

группу или отвечает на IGMP-запрос, полученный от маршрутизатора многоадресной рассылки, он отправляет IGMP-ответ, в котором указан адрес многоадресной группы.
Коммутатор просматривает информацию в IGMP-ответе и создает в своей ассоциативной таблице коммутации IGMP Snooping запись для этой группы (если она не существует). Эта запись связывает порт, к которому подключен узел-подписчик, порт, к которому подключен маршрутизатор (коммутатор уровня 3) многоадресной рассылки, и МАС-адрес многоадресной группы.
Если коммутатор получает IGMP-ответ для этой же группы от другого узла данной VLAN, то он добавляет номер порта в уже существующую запись ассоциативной таблицы коммутации IGMP Snooping.
Формируя таблицу коммутации многоадресной рассылки, коммутатор осуществляет передачу многоадресного трафика только тем узлам, которые в нем заинтересованы.
Когда коммутатор получает IGMP-сообщение о выходе узла из группы, он удаляет номер порта, к которому подключен этот узел, из соответствующей записи таблицы коммутации IGMP Snooping.

Многоадресная рассылка

Слайд 37

Процесс создания таблицы коммутации IGMP Snooping Медиа-сервер Коммутатор L3 Коммутатор L2

Процесс создания таблицы коммутации IGMP Snooping

Медиа-сервер

Коммутатор L3

Коммутатор L2

ПК 1

ПК 2

1

10

25

IGMP-ответ

ПК 1
Адрес многоадресной
группы: 239.192.1.10

Рисунок анимирован

IGMP-запрос
Адрес многоадресной
группы: 239.192.1.10

IGMP-ответ ПК 2
Адрес многоадресной
группы: 239.192.1.10

Многоадресная рассылка

Слайд 38

Пример настройки IGMP Snooping Многоадресная рассылка

Пример настройки IGMP Snooping

Многоадресная рассылка

Слайд 39

Настройка коммутатора 1 //Активизировать функцию IGMP Snooping глобально на //коммутаторе enable

Настройка коммутатора 1
//Активизировать функцию IGMP Snooping глобально на //коммутаторе
enable igmp_snooping
//Активизировать функцию

IGMP Snooping в указанной VLAN (в //данном примере VLAN по умолчанию)
config igmp_snooping vlan default state enable
//Включить фильтрацию многоадресного трафика, чтобы //избежать его передачи узлам, не являющимся подписчиками //многоадресной рассылки
config multicast vlan_filtering_mode vlan default filter_unregistered_groups

Многоадресная рассылка

Слайд 40

Функция IGMP Snooping Fast Leave Функция IGMP Snooping Fast Leave, активизированная

Функция IGMP Snooping Fast Leave
Функция IGMP Snooping Fast Leave, активизированная на

коммутаторе, позволяет мгновенно исключить порт из таблицы коммутации IGMP Snooping при получении им сообщения о выходе из группы.
Порт 25 будет удален из таблицы коммутации IGMP Snooping только в том случае, если к нему не будет подключен ни один узел-подписчик.

Многоадресная рассылка

Медиа-сервер

Коммутатор L3

Коммутатор L2

ПК 1

ПК 2

1

10

25

IGMP-запрос
Адрес многоадресной
группы: 239.192.1.10

Слайд 41

Пример настройки IGMP Snooping Fast Leave Сообщение о выходе из группы

Пример настройки IGMP Snooping Fast Leave

Сообщение о
выходе из группы

Активизирована функция
IGMP

Snooping Fast Leave

Многоадресная рассылка

Слайд 42

Настройка коммутатора 2 //Активизировать функцию IGMP Snooping глобально на коммутаторе и

Настройка коммутатора 2
//Активизировать функцию IGMP Snooping глобально на коммутаторе и //в

указанной VLAN (в данном примере VLAN по умолчанию). Включить //фильтрацию многоадресного трафика.
enable igmp_snooping
config igmp_snooping vlan default state enable
config multicast vlan_filtering_mode vlan default filter_unregistered_groups
//Активизировать функцию IGMP Snooping Fast Leave в указанной VLAN.
config igmp_snooping vlan default fast_leave enable

Многоадресная рассылка

- Предыдущая
Рассеяное органическое вещество, сапропелевое и гумусовое органическое вещество
Следующая -
Певцы родной природы

Похожие презентации

Безопасный интернет
Сравнение множеств (2 класс)
Презентация "Моделирование. Информационные модели" - скачать презентации по Информатике
Сетевые функции ОС
Технологии виртуализации
Редактирование текста. Поиск информации
Технології відображення інформації
Исполнитель Робот
КОМПЬЮТЕРНАЯ ПАМЯТЬ
Введение в JavaScript
Кодирование графической информации Палитры цветов в системах цветопередачи RGB, CMYK, HSB
Аттестационная работа. Создание мобильного пространства гимназии на основе проектно-сетевого взаимодействия
Информационные процессы
Введение в информатику
Искусственный интеллект
Создание моделей корня аорты для реальных пациентов с использованием 3D-печати
Аттестационная работа. Развитие исследовательской активности школьников в процессе обучения информатики
Информационные технологии
Сетевая высокопроизводительная технология коммутации и мультиплексирования пакетов
Запуск бизнеса в социальных сетях за 1 день
Активация КП Отраслевой в личном кабинете Портала ИТС
MS DOS операциялық жүйесі
Технология обработки числовых данных. Электронные калькуляторы и электронные таблицы
Запускается Mathcad из главного меню Windows
Основные понятия языка программирования Питон, а также некоторые модули (выпускная работа Печерского Ивана)
Общие свойства полей
Подходы к понятию и измерению информации
Практика по получению первичных профессиональных навыков работы на компьютере
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть