Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5171 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пермский Государственный аграрно-технологический университет им. Д.Н. Прянишникова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Технологии коммутации современных сетей Etherne...docx
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
13.5 Mб
Скачать
►Содержание►

7.1.2 Примеры настройки acl

Предположим, что администратору сети необходимо разрешить доступ в Интернет только некоторым пользователям, а остальным пользователям запретить. Пользователи идентифицируются по МАС-адресам их компьютеров. 

В примере, показанном на рис.7.4., пользователи ПК 1 и ПК 2 получат доступ в Интернет, т.к. их МАС-адреса указаны в разрешающем правиле 1. Как только пользователи других компьютеров попытаются выйти в Интернет, сработает правило 2, которое запрещает прохождение через коммутатор кадров с МАС-адресом назначения, равным МАС-адресу Интернет-шлюза.

Рис. 7.4. Пример ACL для профиля Ethernet 

Настройка коммутатора для профиля Ethernet

· Правило 1: если МАС-адрес источника Source MAC равен МАС-адресам ПК 1 или ПК 2 – разрешить ( Permit ).

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 profile_name Permit_Internet

config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-50-ba-11-11-11 port 1 permit

config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-50-ba-22-22-22 port 10 permit

· Правило 2: если МАС-адрес назначения DestMAC равен MAC-адресу Интернет-шлюза –запретить (Deny).

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2 profile_name Deny_Internet

config access_profile profile_id 2 add access_id 1 ethernet destination_mac 00-50-ba-99-99-99 port 11 deny

· Иначе ,по умолчанию разрешить доступ всем узлам.

В качестве второго примера приведем настройку ACL с профилем IP. Предположим, что администратору необходимо разрешить доступ в Интернет только пользователям с IP-адресами с 192.168.0.1/24 по 192.168.0.63/24. Остальным пользователем сети 192.168.0.0/24, с адресами не входящими в разрешенный диапазон, доступ в Интернет запрещен.

Рис. 7.5. Пример ACL для профиля IP 

Настройка в коммутаторе L3 профиля IP

· Правило 1: если IP-адрес источника Source IP равен IP-адресам из диапазона с 192.168.0.1 по 192.168.0.63 – разрешить (Permit).

create access_profile ip source_ip_mask 255.255.255.192 profile_id 1

config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.0 port 24 permit

· Правило 2: если IP-адрес источника Source IP принадлежит сети 192.168.0.0/24, но не входит в разрешенный диапазон адресов – запретить (Deny).

create access_profile ip source_ip_mask 255.255.255.0 profile_id 2

config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 port 24 deny

· Иначе, по умолчанию разрешить доступ всем узлам.

7.2 Функции контроля над подключением узлов к портам коммутатора

В том случае, если какой-либо порт на коммутаторе активен, к нему может подключиться любой пользователь и получить несанкционированный доступ к сети. Этот пользователь может начать генерировать вредоносный трафик, который попадет в сеть и создаст проблемы внутри нее. Для защиты от подобных ситуаций, а также для контроля подключения узлов к портам, коммутаторы D-Link предоставляют функции безопасности, которые позволяют указывать МАС- и/или IP -адреса устройств, которым разрешено подключаться к данному порту, и блокировать доступ к сети узлам с неизвестными коммутатору адресами.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности