Know Intuit, prelegerea, caracteristici de securitate și restricții de acces la rețea

Funcția de legare IP-MAC-Port

Know Intuit, prelegerea, caracteristici de securitate și restricții de acces la rețea


Fig. 19.8. Funcția de legare IP-MAC-Port

Funcția de IP-MAC-Port Binding special conceput pentru a controla conectarea nodurilor în rețelele ETTH (Ethernet-To-The-Home) și rețelele de birou. În plus, caracteristica IMPB vă permite să se ocupe de atacuri, cum ar fi ARP spoofing. timp în care utilizatorii rău intenționate pentru a captura de trafic de rețea sau conexiunea este întreruptă prin manipularea pachetelor ARP.

Funcția de IP-MAC-Port de legare include trei moduri de funcționare: modul ARP (implicit), modul de ACL și modul DHCP Snooping.

În timpul funcționării în comutatorul pentru modul ACL pe baza unui administrator prestabilit „foaie albă“ IMPB a crea reguli ACL. Orice pachet pachet de IP-MAC, care este absent în „lista albă“ va fi blocată de ACL. În cazul în care ACL este dezactivat, regulile pentru intrările IMPB vor fi eliminate din tabelul ACL. Trebuie remarcat faptul că acest mod nu este acceptat switch-uri care nu au masa de hardware ACL (informații despre suportul sau modul non-ACL pot fi găsite în specificațiile modelului de comutare corespunzător).

Avertizare. DHCP mod spionare sau separat de modul ARP ACL nu este utilizat.

Atunci când este activată funcția IMPB pe portul, administratorul trebuie să specifice modul de munca sa:

  • Strict Mode - În acest mod, portul implicit este blocat. Înainte de a transmite pachete, acesta le va trimite la CPU pentru verificarea coincidenței parametrilor lor de IP-MAC cu intrările din „lista albă“. Astfel, portul nu va trimite pachete de până la până declară mulțumit de autenticitatea lor. Port scanează toate IP și ARP-pachete;
  • Modul Loose -În acest mod, portul implicit este deschis. Portul va fi blocat imediat ce primul pachet de invalid va trece prin ea. Port scanează numai pachetele ARP și IP Broadcast.
Funcție Setare Exemplu de IP-MAC-Port de legare

Know Intuit, prelegerea, caracteristici de securitate și restricții de acces la rețea


Fig. 19.9. Exemplul de lucru IP-MAC-Port Legare modul de funcționare ARP

  • Activați funcția de la portul corect, și specificați operațiunea de port.

    Know Intuit, prelegerea, caracteristici de securitate și restricții de acces la rețea


    Fig. 19.10. Exemplul de lucru IP-MAC-Port Legare modul de funcționare DHCP Snooping

    • Activați IP-MAC-Port caracteristica obligatoriu în modul DHCP Snooping la nivel global pe comutator.
  • Se specifică numărul maxim creat în timpul înregistrărilor avtoizucheniya IP-MAC a portului.
  • Activați IP-MAC-Port caracteristica de legare în modul DHCP Snooping, porturile respective.

    autentificarea utilizatorului 802.1X

    Serverul de autentificare de autentificare la distanță în Dial În User Service (RADIUS) verifică dreptul fiecărui acces client să fie conectat la un port comutator înainte de a permite accesul la oricare dintre serviciile oferite de comutatorul sau LAN.

    Atâta timp cât clientul este autentificat prin portul de comutare la care este conectat, va fi transmis numai protocol de trafic Extensible Authentication Protocol peste LAN (EAPOL). Trafic normal începe să fie transmis prin portul de comutare imediat după ce clientul este autentificat cu succes.

    Know Intuit, prelegerea, caracteristici de securitate și restricții de acces la rețea


    Fig. 19.11. autentificare de rețea 802.1X

    Avertizare. protocolul 802.1x nu acceptă munca pe link-urile date agregate.

    Pagina anterioară

    Pagina următoare