Функции обеспечения безопасности и ограничения доступа к сети

Функции контроля над подключением узлов к портам коммутатора

В том случае, если какой-либо порт на коммутаторе активен, к нему может подключиться любой пользователь и получить несанкционированный доступ к сети. Этот пользователь может начать генерировать вредоносный трафик, который попадет в сеть и создаст проблемы внутри нее. Для защиты от подобных ситуаций, а также для контроля подключения узлов к портам коммутаторы D-Link предоставляют функции безопасности, которые позволяют указывать МАС- и/или IP-адреса устройств, которым разрешено подключаться к данному порту, и блокировать доступ к сети узлам с неизвестными коммутатору адресами.

Функция Port Security

Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым ограничивая количество подключаемых к нему узлов.

Существует три режима работы функции Port Security:

• Permanent ("Постоянный") — занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером FDB Aging Time, или коммутатор был перезагружен;
• Delete on Timeout ("Удалить по истечении времени") — занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером FDB Aging Time, и будут удалены.

Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий при истечении времени, установленного таймером FDB Aging Time;

• Delete on Reset ("Удалить при сбросе настроек") — занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

При подключении неавторизованного пользователя к порту коммутатора он будет заблокирован, а коммутатор отправит сообщение SNMP Trap или создаст запись в Log-файле, если администратор настроил выполнение этих действий. Порт коммутатора будет отбрасывать трафик, поступающий с неизвестного МАС-адреса.

Рис. 19.6. Функция Port Security

Пример настройки функции Port Security

В качестве примера рассмотрим ситуацию, показанную на рис. 19.6 . На портах 1-3 управляемого коммутатора настроено ограничение по количеству подключаемых пользователей (к каждому порту может подключиться не более двух пользователей). МАС-адреса подключаемых пользователей изучаются портами 1-3 динамически.

Настройка коммутатора

config port_security ports 1-3 admin_state enabled
max_learning_addr 2 lock_address_mode DeleteOnTimeout

В приведенном примере конфигурации используется режим Delete on Timeout. Это означает, что изученные на порте МАС-адреса будут удалены из таблицы коммутации по истечении времени, установленного таймером Aging Time, если по ним не было обращений (например, рабочая станция отключилась от сети). В этом случае к сети смогут подключиться новые пользователи, МАС-адреса, которых будут динамически изучены портом ( рис. 19.7).

Рис. 19.7. Функция Port Security в режиме Delete on Timeout

При использовании режима работы Permanent адреса, изученные портом, будут добавлены в статическую таблицу МАС-адресов и будут храниться в ней даже после включения/выключения питания и перезагрузки коммутатора.

Функция Port Security оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернета и локальных сетей с повышенным требованием по безопасности, где требуется исключить доступ незарегистрированных рабочих станций к услугам сети.

Используя функцию Port Security, можно полностью запретить динамическое изучение МАС-адресов указанными или всеми портами коммутатора. В этом случае доступ к сети получат только те пользователи, МАС-адреса которых указаны в статической таблице коммутации.

Настройка коммутатора

• Активизировать функцию Port Security на соответствующих портах и запретить изучение МАС-адресов (параметр max_learning_addr установить равным 0).

  config port_security ports 1-24 admin_state enabled max_learning_addr 0
  
• Создать записи в статической таблице МАС-адресов (имя VLAN в примере "default").

  create fdb default 00-50-ba-00-00-01 port 2 create fdb default 00-50-ba-00-00-02 port 2
  create fdb default 00-50-ba-00-00-03 port 2
  create fdb default 00-50-ba-00-00-04 port 2 create fdb default 00-50-ba-00-00-05 port 8
  (аналогично для всех требуемых портов)