Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 25.06.2013 | Доступ: свободный | Студентов: 3635 / 702 | Длительность: 18:32:00
Практическая работа 16:

Контроль над подключением узлов к портам коммутатора. Функция IP-MAC-Port Binding

Аннотация: Цель: Научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.

Функция IP-MAC-Port Binding (IMPB), реализованная в коммутаторах D-Link, позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Администратор сети может создать записи ("белый лист"), связывающие МАС- и IP-адреса компьютеров с портами подключения коммутатора. На основе этих записей, в случае совпадения всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В том случае, если при подключении клиента, связка MAC-IP-порт будет отличаться от параметров заранее сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла с занесением его в "черный лист".

Функция IP-MAC-Port Binding включает три режима работы: ARP mode (по умолчанию), ACL mode и DHCP Snooping mode.

ARP mode является режимом, используемым по умолчанию при настройке функции IP-MAC-Port Binding на портах. При работе в режиме ARP коммутатор анализирует ARP-пакеты и сопоставляет параметры IP-MAC ARP-пакета с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то МАС-адрес узла будет занесен в таблицу коммутации с отметкой "Drop" ("Отбрасывать"). Если все параметры совпадают, МАС-адрес узла будет занесен в таблицу коммутации с отметкой "Allow" ("Разрешен").

При функционировании в ACL mode коммутатор на основе предустановленного администратором "белого листа" IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в "белом листе", будет блокироваться ACL.

Режим DHCP Snooping используется коммутатором для динамического создания записей IP-MAC на основе анализа DHCP-пакетов и привязки их к портам с включенной функцией IMPB (администратору не требуется создавать записи вручную). Таким образом, коммутатор автоматически создает "белый лист" IMPB в таблице коммутации или аппаратной таблице ACL (если режим ACL включен). При этом для обеспечения корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB. Администратор может ограничить максимальное количество создаваемых в процессе автоизучения записей IP-MAC на порт, т.е. ограничить для каждого порта с активизированной функцией IMPB количество узлов, которые могут получить IP-адрес c DHCP-сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи IP-MAC для узлов с IP-адресом, установленным вручную.

При активизации функции IMPB на порте администратор должен указать режим его работы:

  • Strict Mode — в этом режиме порт по умолчанию заблокирован;
  • Loose Mode — в этом режиме порт по умолчанию открыт.

Цель: Научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.

Оборудование:

DES-3200-28 1 шт.
DES-1005A 1 шт.
Рабочая станция 3 шт.
Кабель Ethernet 4 шт.
Консольный кабель 1 шт.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой

reset config

Настройка работы функции IP-MAC-Port Binding в режиме ARP

Схема 1

Рис. 21.1. Схема 1

Настройка DES-3200-28

Внимание! Замените указанные в командах МАС-адреса на реальные.

Создайте запись IP-MAC-Port Binding, связывающую IP-MAC-адрес станции ПК1 с портом 4 (по умолчанию режим работы функции ARP)

create address_binding ip_mac ipaddress 10.1.1.100 macaddress 00-50-ba-00-00-01 ports 4

Создайте запись IP-MAC-Port Binding, связывающую IP-MAC-адрес станции ПК2 с портом 14

create address_binding  ip_mac ipaddress 10.1.1.101 macaddress 00-50-ba-00-00-02 ports 14

Активизируйте функцию на портах 4, 14 (по умолчанию режим работы портов Strict)

config address_binding ip_mac ports 4,14 arp_inspection strict

Проверьте созданные записи IP-MAC-Port Binding

show address_binding  ip_mac all

Проверьте порты, на которых настроена функция и их режим работы

show address_binding  ports

Подключите рабочие станции к коммутатору, как показано на схеме 1 .

Упражнения

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address> 

Измените подключение рабочих станций. РС1 подключите к порту 14, РС2 к порту 4.

Повторите тестирование соединения командой ping.

Настройте запись в Log-файл и отправку сообщений SNMP Trap в случае несоответствия ARP-пакета связке IP-MAC

enable address_binding trap_log

Проверьте заблокированные рабочие станции

show address_binding blocked all 

Проверьте наличие заблокированных станций в Log-файле

show log 

Какой вы сделаете вывод?

Удалите адрес из списка заблокированных адресов

delete address_binding  blocked vlan_name default mac_address 00-50-ba-00-00-01

Удалите запись IP-MAC-Port Binding

delete address_binding  ip_mac ipad-dress 10.1.1.100 mac_address 00-50-ba-00-00-01

Отключите функцию IP-MAC-Port Binding на портах 4 и 14

config address_binding  ip_mac ports 4,14 arp_inspection disable
Сергей Некрасов
Сергей Некрасов

Вы уверены, что строка верна?

config vlan v2 add untagged 9-16

Как в таком случае пользователи v2 получат доступ к разделяемым ресурсам? По-моему, должно быть

config vlan v2 add untagged 9-24

Антон Донсков
Антон Донсков

Есть ли какой-либо эмулятор  DES-3200-28 т.к. читать то это читать, а практика оно лучше, а за неимением железки, которая для простого смертного все таки денег стоит, как то тоскливо....