Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уральский Федеральный университет им. Б.Н. Ельцина «УПИ»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
TsISKO_EKZAMEN.docx
Скачиваний:
1
Добавлен:
01.07.2025
Размер:
6.49 Mб
Скачать
►Содержание►

7. Архитектура коммутируемого Ethernet

Коммутируемый Ethernet — система, в которой "интеллектуальный" концентратор передает пакеты из порта, в который входит узел-источник данных, только в порт, в который входит узел назначения, анализируя МАС-адреса. Это позволяет различным узлам передавать пакеты независимо и не вызывая лишних коллизий. Следовательно, каждая пара компьютеров соединена как бы выделенным каналом.

Коммутируемые сети Ethernet с интеллектуальным "матричным концентратором" в центре могут обеспечить выделенные сети для любых высокопроиз¬водительных систем, в том числе и серверов. Первым такое оборудование начала производить фирма Kalpana, рисунок ниже демонстрирует их коммутируемый Ethernet:

Сеть Ethernet на основе коммутаторов

Благодаря использованию технологии коммутируемый Ethernet разделяемые сегменты сети работают с обычными для Ethernet скоростями, но это не спасает их от перегрузок и многочисленных ошибок в пакетах, свойственных классической сети Ethernet. В выделенных сегментах серверов почти нет коллизий, и производительность приближается к теоретическому пределу 10 Мбит в секунду.

8)Обеспечение безопасности на уровне портов коммутатора (Lab5.2.2.9 )

Защита неиспользуемых портов

Отключение неиспользуемых портов

Отключение неиспользуемых портов — это простой способ защиты сети от несанкционированного доступа, используемый многими администраторами. Перейдите к каждому неиспользуемому порту и введите команду Cisco IOS shutdown.

Изменение конфигурации на нескольких портах коммутатора одновременно не представляет сложности. Для того чтобы настроить диапазон портов, используйте команду interface range.

Switch(config)# interface range введите модуль/первый номер — последний номер

Принцип работы функции безопасности портов

Защита портов

Один из способов защиты портов — использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на один порт, а также разрешает доступ для МАС-адресов санкционированных устройств и запрещает доступ для остальных МАС-адресов.

Для того чтобы разрешить доступ одному или нескольким МАС-адресам, необходимо настроить функцию безопасности портов. В случае если количество разрешенных МАС-адресов на порте ограничено до одного, к этому порту может подключиться только устройство с этим конкретным МАС-адресом.

Если порт настроен как защищенный и достигнуто максимальное количество МАС-адресов, любые дополнительные попытки подключения с неизвестных адресов приведут к нарушению безопасности.

Виды защиты МАС-адресов

Существует множество способов настроить функцию безопасности порта. В зависимости от конфигурации различают следующие типы защищенных адресов:

  • Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте вручную с помощью команды режима интерфейсной настройки switchport port-security mac-address mac-address. МАС-адреса, настроенные таким образом, хранятся в таблице адресов и добавляются в текущую конфигурацию коммутатора.

  • Динамическая защита МАС-адреса — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора.

  • Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущую конфигурацию.

Защита МАС-адреса на основе привязки

Для того чтобы настроить интерфейс для преобразования динамически полученных МАС-адресов в прикрепленные защищенные МАС-адреса и добавить их в текущую конфигурацию, необходимо включить функцию sticky learning (распознавание прикрепленных адресов). Функция sticky learning включается на интерфейсе с помощью команды режима конфигурации интерфейса switchport port-security mac-address sticky.

После ввода этой команды коммутатор преобразует все динамически полученные МАС-адреса, в том числе полученные до включения этой функции, в прикрепленные безопасные МАС-адреса. Все прикрепленные защищенные МАС-адреса добавляются в таблицу адресов и в текущую конфигурацию.

Также прикрепленные защищенные МАС-адреса можно задать вручную. Командой switchport port-security mac-address sticky MAC-адрес, все указанные адреса добавляются в таблицу адресов и в текущую конфигурацию.

Если прикрепленные защищенные МАС-адреса сохраняются в файле загрузочной конфигурации, то после перезагрузки коммутатора или отключения интерфейса не требуется повторное получение адресов. Если же прикрепленные защищенные адреса не сохраняются, они будут потеряны.

При отключении режима sticky learning с помощью команды режима конфигурации интерфейса no switchport port-security mac-address sticky прикрепленные защищенные МАС-адреса остаются в таблице адресов, но удаляются из текущей конфигурации.

Характеристики прикрепленных защищенных МАС-адресов.

  • Защищённые прикрёпленные МАС-адреса, полученные динамически, хранятся в файле текущей конфигурации.

  • При отключении функции защиты порта адреса удаляются из текущей конфигурации.

  • Теряются при перезагрузке коммутатора (цикл включения/выключения).

  • Сохранение защищённых прикреплённых МАС-адресов в файл загрузочной конфигурации делает их постоянными; они сохраняются в коммутаторе даже после перезагрузки.

  • Отключение получения прикреплённых МАС-адресов преобразовывает прикреплённые МАС-адреса в динамические

Примечание. Функция безопасности портов не работает до тех пор, пока она не будет включена для интерфейса командой switchport port-security.

Функция безопасности портов: режимы реагирования на нарушение безопасности

Интерфейс можно настроить на один из трех режимов реагирования на нарушение безопасности, который определяет действия, предпринимаемые в случае нарушения.

  • Защита. Когда количество защищенных МАС-адресов достигает предела разрешенных адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищенных МАС-адресов или не будет увеличено максимальное количество разрешенных адресов. Для этого режима не предусмотрено уведомление о нарушении безопасности.

  • Ограничение. Когда количество защищенных МАС-адресов достигает предела разрешенных адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищенных МАС-адресов или не будет увеличено максимальное количество разрешенных адресов. Для этого режима предусмотрено уведомление о нарушении безопасности.

  • Выключение. В этом режиме (установленном по умолчанию) нарушение безопасности порта вызывает немедленное отключение интерфейса по причине ошибки и отключает индикатор порта. Для этого режима предусмотрено увеличение значения счетчика нарушений. Когда защищенный порт отключен по причине ошибки, его можно вывести из этого состояния с помощью команды режима интерфейсной настройки shutdown, указав после нее команду no shutdown.

Чтобы изменить реакцию на нарушение безопасности на коммутационном порте, используйте команду режима интерфейсной настройки switchport port-security violation {protect | restrict | shutdown}.

Функция безопасности портов: проверка

Проверка функции безопасности портов

После настройки функции безопасности портов на коммутаторе проверьте каждый интерфейс, чтобы убедиться в правильности настройки этой функции и статических МАС-адресов.

Проверка параметров безопасности портов

Для отображения параметров безопасности портов для коммутатора или заданного интерфейса воспользуйтесь командой show port-security interface [идентификатор_интерфейса].

Прикрепленные МАС-адреса добавляются в таблицу МАС-адресов и в текущую конфигурацию.

Проверка защищенных MAC-адресов

Для отображения всех безопасных МАС-адресов, настроенных на всех интерфейсах коммутатора или на указанном интерфейсе с информацией старения для каждого интерфейса, используйте команду show port-security address. Безопасные МАС-адреса перечислены вместе с типами MAC-адресов.

Порты, отключенные в результате ошибки

Индикатор порта будет выключен. Команда show interface показывает состояние порта как «выключен в результате ошибки» (err-disabled) (рис.). Теперь выходные данные команды show port-security interface отображают состояние порта как secure-shutdown. Поскольку режим реагирования на нарушение безопасности порта настроен на выключение, в случае нарушения безопасности порт переходит в выключенное состояние в результате ошибки.

Перед повторным включением порта администратор должен выявить источник нарушения безопасности. Если к защищенному порту подключено несанкционированное устройство, порт нельзя включать, пока не устранена угроза безопасности. Для повторного включения порта используйте команду режима конфигурации интерфейса shutdown .Затем, чтобы порт начал функционировать, используйте команду конфигурации интерфейса no shutdown.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности