Содержание
- 2. Статическая и динамическая маршрутизации
- 3. Статическая маршрутизация Пример использования статической маршрутизации Настройка маршрутизации на DGS-3612-1 config ipif System ipaddress 10.1.1.1/24 create
- 4. Статическая маршрутизация Inter-VLAN маршрутизация Inter-VLAN маршрутизация – это маршрутизация между VLAN-ами, созданными на одном коммутаторе. Данный
- 5. Динамическая маршрутизация Пример использования протокола RIPv1 Включение RIPv1 на обоих коммутаторах enable rip config rip all
- 6. Динамическая маршрутизация Пример использования протокола RIPv2 Включение RIPv2 на обоих коммутаторах enable rip config rip all
- 7. DGS-3612:5#config rip all authentication enable key Command: config rip all authentication enable key Success. Динамическая маршрутизация
- 8. Динамическая маршрутизация Route Redistribute Не всегда есть необходимость включать RIP на всех интерфейсах, особенно, на клиентских.
- 9. IP-MAC-Port Binding (Привязка IP-MAC-порт)
- 10. IP-MAC-Port Binding Введение Введение D-Link IP-MAC-Port Binding (IMPB) – это мощная, интегрированная функция для идентификации подключенного
- 11. IP-MAC-Port Binding Проблема, вызванная неправильным управлением IP Проблема аудита Актуальные механизмы аудита, такие как syslog, application
- 12. IP-MAC-Port Binding DHCP Snooping IMPB изучит MAC и IP адреса клиента и автоматически и сохранит их
- 13. ARP Inspection ARP inspection проверяет ARP пакеты на предмет безопасности. Если ARP информация разрешённая, МАС адрес
- 14. IP-MAC-Port Binding Понимание IMPB режимов IP Inspection ARP inspection проверяет ARP пакеты на предмет безопасности. Если
- 15. IP-MAC-Port Binding Режимы работы портов ARP Inspection При активизации функции ARP Inspection на порте администратор должен
- 16. create address_binding ip_mac ipaddress 192.168.1.15 mac_address 00-00-5A-9E-B2-B2 ports 2 (Создаем запись IP-MAC-Port Binding, связывающую IP-MAC-адрес узла
- 17. IP-MAC-Port Binding Пример работы IMPB в DHCP Snooping режиме Клиент IP: MAC: 00-C0-9F-86-C2-5C Порт 25 Сервер
- 18. IP-MAC-Port Binding Пример настройки IMPB в DHCP Snooping режиме enable address_binding dhcp_snoop (Активизируем функцию IP-MAC-Port Binding
- 19. IP-MAC-Port Binding Дополнительные параметры IMPB max_entry … limit 1 – максимальное кол-во записей IMP, которые может
- 20. ACL Списки управления доступом, Классификация трафика, маркировка и отбрасывание
- 21. Контроль сетевых приложений ACL в коммутаторах D-Link могут фильтровать пакеты, основываясь на информации разных уровней: Порт
- 22. Проанализируйте задачи фильтрации и определитесь с типом профиля доступа - Ethernet или IPv4 или IPv6 Зафиксируйте
- 23. 1. Ethernet: VLAN MAC источника MAC назначения 802.1p Тип Еthernet 2. IPv4: VLAN IP источника IP
- 24. Ethernet профиль ACL Создание Ethernet профиля ACL
- 25. Ethernet профиль ACL Настройка правил в Ethernet профиле
- 26. Создание Ethernet профиля доступа: create access_profile [ ethernet {vlan { } | source_mac | destination_mac |
- 27. Как видно из предыдущего слайда, Ethernet профили доступа позволяют анализировать пакеты на основании поля Ethernet Type
- 28. IP профиль ACL Создание IP профиля в ACL
- 29. IP профиль ACL Настройка правил в IP профиле
- 30. Создание IP профиля доступа: create access_profile [ ip {vlan { } | source_ip_mask | destination_ip_mask |
- 31. Шлюз Internet: IP = 10.254.254.251/8 00-50-BA-99-99-99 Разрешён доступ в Internet: PC1:10.1.1.1/8, 00-50-BA-11-11-11 PC2:10.2.2.2/8, 00-50-BA-22-22-22 Шлюз =
- 32. Ethernet ACL в коммутаторах. Пример 1. Правила: Правило 1: Если MAC назначения = Шлюз, то запретить
- 33. Доступ в Internet разрешён: 192.168.1.1 ~ 192.168.1.63 Остальные пользуются только Intranet Пример: Разрешить некоторым пользователям выход
- 34. IP ACL в коммутаторах. Пример 2. Проверка: 1. 192.168.1.1 - 192.168.1.63 могут получить доступ к Internet
- 35. 1. Фильтрация TCP потров 135, 137, 138, 139, 445. Команды CLI: create access_profile ip tcp dst_port_mask
- 36. Принцип работы Packet content filtering (PCF) на примере ICMP echo request трафика: Основные части пакета, которыми
- 37. Задача : Запрет ICMP echo request трафика Приведем соответствующий пакет: Выборку будем осуществлять по ether type
- 38. Создадим сначала профиль: create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 8 0x00ff offset3 l4
- 39. Задача: Заблокировать SMB трафик (порты 135, 137, 138, 139, 445) на физических портах коммутатора 1-24. Рассмотрим
- 40. Создадим сначала профиль и правило, согласно оговоренному ранее условию: create access_profile packet_content_mask offset1 l4 2 0xFFFF
- 41. Принцип работы Packet content filtering (PCF) на серии DGS-36xx виден из описания синтаксиса команд CLI, используемых
- 42. Соответствие каждого из 128 байт пакета номеру chunk: PCF ACL в коммутаторах серии DGS-3600.
- 43. Задача : Заблокировать SMB трафик (порты 135, 137, 138, 139, 445) на физических портах коммутатора 1-24.
- 44. Запрет SMB трафика с помощью PCF. Пример 5. Создадим профиль на коммутаторе: create access_profile profile_id 1
- 45. 1. Приоритизировать можно любой трафик, попадающий под правило ACL. Таким образом, первым шагом является создание “IP
- 46. Приоритезация трафика с помощью ACL.
- 47. Пример: Промаркировать пакеты с определённым DSCP определённым приоритетом 802.1p и поставить в соответствующую очередь Последующие правила
- 48. Приоритезация IPTV трафика с помощью ACL. Streamer Multicast поток Intranet Local Area Network Задача: Промаркировать Multicast
- 49. Задача: Ограничить весь Intranet трафик полосой пропускания в 20Mbps для подсети 192.168.1.x/24 c помощью ACL. Создаем
- 50. CPU Interface Filtering
- 51. CPU Interface Filtering, или иначе Software ACL – это списки доступа, предназначенные для фильтрации пакетов, которые
- 52. Необходимо ограничить доступ к System интерфейсу коммутатора ПК A видит по ICMP ПК B и не
- 53. Safeguard Engine
- 54. Safeguard EngineTM разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети.
- 55. Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для
- 56. Если загрузка CPU становится выше порога Rising Threshold (20-100%), коммутатор войдёт в Exhausted Mode (режим высокой
- 57. PC2 постоянно посылает ARP-пакеты, например со скоростью 1000 пакетов в секунду. Загрузка CPU при этом изменяется
- 58. DES-3200-28:4#show safeguard_engine Command: show safeguard_engine Safe Guard Engine State : Enabled Safe Guard Engine Current Status
- 59. Результаты теста: Перед активацией Safeguard Engine, при генерации PC2 большого количества ARP пакетов, загрузка CPU будет
- 60. После того как коммутатор переключится в режим exhausted при настроенном строгом режиме, административный доступ к коммутатору
- 61. DHCP Relay Option 82 – информация от агента DHCP Relay
- 62. Информация DHCP Relay Agent (Option 82) Option 82 используется Relay Agent (агентом перенаправления запросов) для добавления
- 63. DHCP Relay агент ПК DHCP сервер Когда вы включаете опцию DHCP Relay Agent Option 82 на
- 64. Примеры конфигурации DHCP Relay DHCP Relay per interface: config dhcp_relay add ipif System На L2 коммутаторах
- 65. Поле опции DHCP Option 82 имеет следующий формат : 1. 2. 3. 4. 5. 6. 7.
- 66. 01 06 00 04 0001 00 09 0106000400010009 Тип подопции - 01 (подопция Agent Circuit ID)
- 67. 00040001000900060080c835260a 02080006000F3D849FFF 02 08 00 06 0080c835260a Тип подопции - 02 (подопция Agent Remote ID) Длина
- 68. Устройства: 1. DHCP - сервер 192.168.0.221 в подсети 192.168.0.0/24 2. Маршрутизатор или коммутатор L3, выступающий в
- 69. DHCP – сервер использует динамический пул IP-адресов 10.100.10.200 – 10.100.10.250 для назначения IP-адресов любому DHCP –
- 70. Настройка L3 коммутатора Настройка коммутатора L3 (DGS-3627): # Настройте влан, в котором будут находиться DHCP –
- 71. Настройка L2 коммутатора Настройка коммутатора L2 (DES-3200-10): # Настройте клиентский и управляющий вланы на DES-3200-10 config
- 72. Настройка DHCP сервера Рассмотрим пример настройки сервера isc-dhcpd. Ниже приведено содержимое dhcpd.conf: # Настройка основных параметров
- 73. Настройка DHCP сервера Продолжение содержимого файла dhcpd.conf: shared-network test { # Включить опцию, позволяющую клиенту корректно
- 74. Результаты теста: Клиенту A будет выдан IP-адрес 10.100.10.101 2. Клиенту Б будет выдан IP-адрес 10.100.10.102 3.
- 75. Функции управления и отслеживание работы сети: Протокол SNMP
- 76. Протокол SNMP Simple Network Management Protocol Simple Network Management Protocol (SNMP) – это протокол 7–ого уровня
- 77. Версии протокола SNMP На данный момент всего три версии протокола SNMP: SNMPv1 (RFC 1157), SNMPv2c (RFC
- 78. Протокол SNMP Management Information Base Каждому объекту, которым управляют, назначают идентификатор объекта (OID). OID-ы определены в
- 79. Протокол SNMP Основные SNMP команды: snmpget – для просмотра конкретногоOID-а. snmpwalk – для просмотра дерева OID-ов.
- 81. Скачать презентацию