Технологии, применяемые при построении сетей на основе коммутаторов D-Link

Технологии, применяемые при построении сетей на основе

коммутаторов D-Link

Карагезов Владислав, консультант по проектам

[email protected]

Требования к современным сетям

• Производительность и отказоустойчивость• Обеспечение доступа к ресурсам сети и

возможность коммуникаций с партнерами и клиентами

• Минимизация времени простоя сети во избежании убытков

• Защищенность от несанкционированного доступа

Дополнительные функции коммутаторов 2-го уровня

• Поддержка IEEE 802.1Q VLAN (на основе меток)• Spanning Tree Protocol (IEEE 802.1D) и Rapid STP (IEEE 802.1w)• Приоритезация пакетов IEEE 802.1p и 4 очереди• Контроль широковещательных штормов• Объединение портов в транк - Link Aggregation (IEEE 802.3ad Static

mode)• Функция Port Security (ограничение кол-ва MAC на заданном порту)• IGMP для ограничения широковещательных доменов в VLAN• Сегментация трафика• Контроль полосы пропускания • Контроль доступа к среде передачи IEEE 802.1x• SNMP-управление• Управление через web• Журналирование событий при помощи Syslog• Зеркалирование портов (трафик множества портов на один

выбранный порт)• Обновление ПО и backup файла конфигурации

• Дополнительное деление сетевых сегментов для уменьшения трафика и перегрузок

• Логические группы в LAN

• VLAN подобны широковещательным доменам

• Обеспечение безопасности и разделения доступа к ресурсам

Виртуальные Локальные Сети - VLAN

• VLAN на базе портов

• VLAN на базе MAC-адресов

• VLAN на базе меток - стандарт IEEE 802.1Q

Типы VLAN

МодельVLAN на базе

портовVLAN 802.1Q

Широковещательные

домены на базе MAC-адресов

DES-1218 - -

DES-1226 - -

DES-3226 - -

DES-3624(i)(F) DES-6000

DGS-3204F - -

DGS-3208F(TG) DES-3326 - -

DGS-3308F - -

DES-6300

Таблица использования различных типов VLAN в коммутаторах D-Link:

• Применяется в пределах одного коммутатора

• Простота настройки

• Возможность изменения логической топологии сети без физического перемещения рабочих станций

• Каждый порт может входить только в один VLAN

VLAN на базе портов

Пример VLAN на базе портов

VLAN3

VLAN2

VLAN1

VLAN 1 VLAN 2 VLAN 3

VLAN 1 VLAN 2 VLAN 3

Для объединения виртуальных подсетей используется маршрутизатор

VLAN 1 VLAN 3VLAN 2

L2 switch

Маршрутизатор

Коммутаторы DES-1218/1226 позволяют включать порт в несколько VLAN

VLAN на базе MAC-адресов

• Возможность физически перемещать станцию, позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации.

• Может потребовать от администратора выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Пример VLAN на базе MAC-адресов

VLAN2

VLAN1

VLAN 2

0050BABDD583

VLAN 1

VLAN 2

0050BABDC425

VLAN 1

0050BABDD2E8

VLAN 1

0050BABDE2CB

VLAN 2

0050BABD2FC3

IEEE 802.1Q VLAN

• Гибкость и удобство настройки и изменения

• Возможность работы протокола Spanning Tree

• Возможность работы с сетевыми устройствами, которые не распознают метки

• Устройства разных производителей, могут работать вместе

• Не нужно применять маршрутизаторы, чтобы связать подсети

Пример для 802.1Q VLAN

V3

U

VLAN3

VLAN2

VLAN1

DES-3624i

V1,V2V1,V2, V3

DES-6000

V1 V2 V3 V1 V2 V3

V1 V2 V1 V2 V3

T TT

TTT

U U

U U UU

V1 V2

V1,V2, V3

Маркированные кадры-Tagged Frame

• Max. Размер маркированного кадра Ethernet 1522 байт

• Немаркированный кадр это кадр без VLAN маркера

DA SA Tagged Data CRC

0 15 18 19 31

8100 Priority VIDCFI

• 12-бит VLAN маркер

• Идентифицирует кадр, как принадлежащий VLAN

VID и PVID

• VID (VLAN Identifier)• 12-bit часть VLAN

маркера• Указывает какая

VLAN• 12 бит определяет

4096 VLAN’ов• VID 0 и VID 4095

зарезервированы

• PVID (Port VID)• Ассоциирует порт с

VLAN• Например, Порту с PVID 3,

предназначены все немаркированные пакеты VLAN 3

VLAN схема 1

1 2 3 4 5

B1 B2 C1 C2

File Server

VLAN B

Computer : B1, B2& File Server

VID : 1

Untag Egress : Port 1, 2 & 3

Port 1 & 2 assign PVID = 1

VLAN C

Computer : C1, C2& File Server

VID : 2

Untag Egress : Port 3, 4 & 5


VID : 3

Untag Egress : Port 1, 2, 3, 4 & 5

Port 3 assign PVID = 3

VLAN A

Computer : B1, B2, C1, C2 & File Server

Деление сети на две VLAN с предоставлением общего файл-сервера:

Правила коммутации маркированных & немаркированных портов

(Входящие данные)

• Прием данных с маркером– Проверка маркировки VID– Коммутация кадра на определенную VLAN группу

• Прием данных без маркера– Проверка его PVID– Коммутация кадра на определенную VLAN группу

Правила коммутации маркированных & немаркированных портов

(Исходящие данные)

• Исходящий порт – маркированный порт– Маркировка кадра– Для идентификации кадра как

принадлежащего VLAN группе

• Исходящий порт – немаркированный порт– Удаление маркера

Выходящие (Egress) порты

• Установка портов, передающих трафик в VLAN похожа на маркированные и немаркированные кадры

• Это означает, что VLAN кадры могут передаваться (выходить) через выходящие порты.

• Таким образом, порт, принадлежащий VLAN, должен быть Выходящим (Egress) портом (“E”)

Маркированный входящий пакет (Часть 1)

• Входящий пакет назначен для VLAN 2 потому, что в пакете есть маркер принадлежности

• Порт 5 маркирован как Выходящий для VLAN 2• Порт 7 не маркирован как Выходящий для VLAN 2

• Пакеты перенаправляются на порт 5 с маркером• Пакеты перенаправляются на порт 7 без маркера

Маркированный входящий пакет (Часть 2)

Маркированный пакет останется без изменений

Маркированный пакет потеряет маркер, т.к. он уйдет с коммутатора через немаркированный порт

Немаркированный входящий пакет (Часть 1)

•PVID порта 4 -> 2•Входящий немаркированный пакет назначен на VLAN 2•Порт 5 маркированный Выходящий VLAN 2•Порт 7 немаркированный Выходящий VLAN 2

•Пакеты с порта 4 перенаправляются на порт5 с маркером•Пакеты с порта 4 перенаправляются на порт7 без маркера

Немаркированный входящий пакет (Часть 2) Немаркированный

пакет маркируется, т.к.он выходит через маркированный порт

VID связан с PVID входящего порта

Немаркированный пакет не изменен, т.к. выходит через немаркированный порт.

VLAN Схема 2

Деление сети, построенной на 2-х коммутаторах на две VLAN.

VLAN A : Computer A1, A2, A3 & A4Switch X

VID : 2

Tag Egress : Port 5

Untag Egress : Port 1 & 2

Port 1 & 2 assign PVID = 2 Switch Y

VID : 2

Tag Egress : Port 1



VLAN B : Computer B1, B2, B3 & B4Switch X

VID : 3

Tag Egress : Port 5



Switch Y

VID : 3

Tag Egress : Port 1



1 2 3 4 5

Switch Y

1 2 3 4 5

Switch X

A1 A2

B1

B2

A3

A4

B3

B4

VLAN схема 3

Деление сети на две VLAN.

1 2 3 4 5

A1 A2 B1 B2

VLAN A

Computer : A1 & A2VID : 2



VLAN B

Computer : B1 & B2VID : 3



Объединение портов в транк Link Aggregation

• Увеличение полосы пропускания• Обеспечение отказоустойчивости• Баланс нагрузки• Все избыточные связи задействованы

•Группы могут объединять только порты с одинаковой скоростью и одинаковой средой передачи

•Для настройки транка достаточно настроить «связывающий порт»

•Для STP транк – это один канал

Объединенные в транкканалы

Распределение потоков по каналам транков

Настройка транков

Параметры настройки транков

• Anchor (Master) port - для настройки портов в группе необходимо только настроить “связывающий” порт

• Name - задайте имя транка• Members – включите выбранные порты в

транк• State – состояние: включен, выключен или

очистить

Транк между коммутатором и сервером

• Устранение «узких» мест в сети

• Повышение производительности для систем клиент-сервер

• Вся настройка осуществляется только на стороне сервера с помощью программного обеспечения D-Link

• Возможность создавать транк между сервером и коммутатором, не поддерживающим транки

DFE-580TX

Spanning Tree Protocol

• Резервные связи между коммутаторами• Обеспечение единственного маршрута без

логических петель• Стандартизованный протокол • Автоматическое изменение конфигурации

при отказе линий без вмешательства оператора

Основные определения в STP

• Root Switch - Корневой коммутатор, от него строится дерево

• Root Port - Корневой порт - порт, который имеет по сети кратчайшее расстояние до корневого коммутатора

• Designated Port - Назначенный порт - порт, который имеет кратчайшее расстояние от данного сегмента сети до корневого коммутатора

• Path Cost – Метрика, суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора

Перед применением протокола STP

B

Port 2 Port 3

Port 1

Bridge ID=30C

Port 2 Port 3

Port 1

Bridge ID=20

LAN 1

Port Cost=19

Port Cost=19 Port Cost=19

Port Cost=19

LAN 3LAN 2

A

Port 1 Port 2

Port 3

Bridge ID=15

Port Cost=4Port Cost=4

После применения протокола STP

B

Port 2 Port 3

Port 1 C

Port 2 Port 3

Port 1

Desigmated Bridge

LAN 1

LAN 3LAN 2

A

Port 1 Port 2

Port 3

Root Bridge

Root PortRoot Port

Designated PortDesignated Port

Blocked

Пакеты BPDU содержат информацию для построения топологии сети без петель

Пакеты BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet. Они содержат несколько полей, определяющих работу STP. Среди них наиболее важные:

• Идентификатор коммутатора• Расстояние до корневого коммутатора• Идентификатор порта

Изменение состояния портов в процессе работы STP

• Blocking – при включении все порты находятся в состоянии «Заблокирован»

• Listening - порт генерирует, принимает и передает BPDU

• Learning – «Обучение», начинает принимать пакеты и на основе адресов источника строить таблицу коммутации

• Forwarding – Начинает продвижение пакетов• Disable – Вручную отключен администратором

Основные параметры STP

• Priority – Приоритет коммутатора. От 0 до 65535• Hello Time- интервал между передачей BPDU

корневым коммутатором. От 1 до 10 с.• Max. Age - Если по истечении интервала

времени, установленного в Max.Age от корневого коммутатора все еще не пришел пакет BPDU, то ваш коммутатор начнет сам посылать пакеты BPDU.От 6 до 40 с.

Основные параметры STP (продолжение)

• Forward Delay Timer – Время перед переход порта в состояние продвижения пакетов.От 4 до 30 с.

• Port Priority – Приоритет порта. Чем меньше значение данного параметра, тем выше вероятность, что порт станет корневым.От 0 до 255.

• Port Cost – «Стоимость» порта. От 1 до 65535

• Время схождения:STP 802.1d: 30 сек. RSTP 802.1w: меньше 1 сек.

• Диаметр сети:STP 802.1d и 802.1w: 7 переходов, 14 для типа «кольцо»

RSTP 802.1w обратно совместим с STP 802.1d.

Сравнение протоколов STP 802.1d и RSTP 802.1w

Обратная совместимость RSTP 802.1w с STP 802.1d

802.1d802.1w802.1w

802.1d802.1d802.1d

RSTP BPDU STP BPDU

STP BPDU

• Дополнительный уровень безопасности• Привязка MAC-адресов к порту позволяет

предотвратить несанкционированный доступ на канальном уровне - Port Security

• Неизменяемая таблица MAC-адресов даже при длительной неактивности устройств или перегрузках сети

Настройка таблицы фильтрации коммутатора. Port Security

ETTHETTHИнтернетИнтернет

Пример:Порт 1: Максимальное кол-во адресов = 1Порт 2: Максимальное кол-во адресов = 1 Порт 3: Максимальное кол-во адресов = 1 Порт 4: Максимальное кол-во адресов = 8 И т.д.

Функция Port Security• На каждом порту Ethernet можно контролировать максимальное

кол-во MAC-адресов, которое может быть изучено. Это полезно в решениях ETTH для контроля за тем, какие пользователи и сколько могут одновременно подключаться к Интернет.

Max. User = 1

Max. user = 1

Max. user = 8

Mac1Mac2Mac3Mac4

• Включить блокировку автообучения на каждом порту (DES-3226S)

•Ввести список разрешенных MAC-адресов в статическую таблицу MAC-адресов. Максимальное кол-во записей для DES-3226S= 128. Данное значение может варьироваться в зависимости от модели коммутатора.

Mac5Mac6Mac7

СерверыMac8Mac9mac10

Защита от несанкционированного доступа

Задача: MAC-адреса, не внесенные в список на порту не могут получить доступа к сети

Магистраль сети

Стандарт IEEE 802.1p определяет приоритет пакета при помощи тэга в его заголовке. Можно задать до 8 уровней приоритета от 0 до 7. Уровень 7 определяет самый высокий приоритет.

Коммутаторы поддерживают 4 очереди Class of Service на каждом порту. Для маркированных пакетов приоритет может быть изменен на одну из четырех очередей CoS. Для немаркированных пакетов приоритет выставляется исходя из приоритета, выставленного на данном порту.

Протокол IEEE 802.1P

Как работаетКак работает 802.1p

Приоритет:

Очередь:

Порт:

Class-0 Class-1 Class-2 Class-3

0 1 2 3 4 5 6 7

1 2 3 4 5 6 7 …………………………….

4 очереди приоритета

Данный пример показывает настройку приоритета по умолчанию для пакетов, которым не было еще присвоено никакое значение приоритета.

802.1P приоритет по умолчанию

Данный экран показывает возможность настройки класса приоритета для трафика, указывая значения класса от 0 до 3 в соответствии с 8-ю уровнями приоритета коммутатора.

802.1P приоритет, определяемый настройкой

QoS

• STRICT (строгий) режим

• Round Robin (круговой) режим

Когда поступают данные с высоким уровнем приоритета, устройство передает их первыми. Только после того, как завершена передача данных с высоким уровнем приоритета, начинается передача данных с более низким уровнем приоритета.

QOS включает два режима работы:

Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS.

Max. Packets Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS.

В данном поле может быть введено значение от 0 до 255. Если введен 0, коммутатор будет продолжать обрабатывать пакеты пока в очереди не останется больше пакетов.

Max. Latency Максимальное время, в течении которого пакет будет оставаться в очереди QoS. Пакет в данной очереди не может задерживаться дольше указанного времени. Таймер отключен, если значение установлено в 0. Каждая единица данного таймера эквивалентна 16 миллисекундам.

Настройка QoS

ETTHETTH

Пример:Порт 1: Upstream = 1 Мбит/с, Downstream = 1 Мбит/сПорт 2: Upstream = 1 Мбит/с, Downstream = 10 Мбит/сПорт 3: Upstream = 1 Мбит/с, Downstream = 50 Мбит/сПорт 4: Upstream = 5 Мбит/с, Downstream = 100 Мбит/с

Контроль полосы пропускания

На каждом порту Ethernet можно настроить ограничение скорости на входящий/исходящий трафик.

U/D=1/50

U/D=1/10

U/D=5/100

Настройка полосы пропускания

Настройка полосы пропускания для входящего и исходящего трафика на каждом порту

Определение протокола IEEE 802.1xПротокол определяет доступ на основе модели Клиент/Сервер и протокол аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора. Сервер аутентификации (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

Сервер аутентификации RADIUS

……..

Клиент

Коммутатор

КлиентКлиентКлиент

•Клиент

Роли устройств в протоколе 802.1x

Клиент:

Это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1x, например то, которое встроено в ОС Microsoft Windows XP

Рабочая станция(Клиент)

Сервер RADIUS

(Сервер аутентификации )


(Authenticator)

•Сервер аутентификации

Сервер аутентификации:

Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сетиa.. RADIUS работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером и клиентами RADIUS.

* Remote Authentication Dial-In User Service (RADIUS)



(Authenticator)

Сервер RADIUS(Сервер аутентификации)


•Authenticator

Authenticator:

Authenticator работает как посредник между Клиентом и Сервером аутентификации, получая запрос на проверку подлинности от Клиента, проверяет данную информацию при помощи Сервера аутентификации, и пересылает ответ Клиенту.



(Authenticator)Рабочая станция(Клиент)



(Authenticator)

Порт авторизован

Порт не авторизован

Процесс аутентификации в 802.1X

EAPOL-Start

EAP-Request/Identity

EAP-Response/Identity RADIUS Access-Request

RADIUS Access-ChallengeEAP-Request/OTP

EAP-Response/OTP RADIUS Access-Request

RADIUS Access-AcceptEAP-Success

EAPOL-Logoff

* OTP (One-Time-Password)

RADIUS Account-Stop

RADIUS Ack



Рабочая станция: клиент 802.1x встроен в ОС Window XP. Иначе требуется клиентское ПО для 802.1x.

Коммутатор: 1. Активировать 802.1x на устройстве enable 802.1x 2. Настроить 802.1x на портах config 802.1x capability Портs 1-24 authenticator 3. Настроить параметры для сервера Radius config radius add 1 10.40.9.200 key 04009 defaultСервер Radius: Windows NT или Windows 2000 Server

Radius Server Service.

Настройка 802.1x

802.1x на основе портов

После того, как порт был авторизован, любой пользователь, подключенный к порту может получить доступ к локальной сети.

802.1x на основе MAC-адресов

Не только проверяет имя пользователя/пароль, но и проверяет максимальное кол-во MAC-адресов, доступных для работы. Если предел достигнут, то блокирует новый MAC-адрес.

Сравнение 802.1x на основе портов и на основе MAC-адресов

Сегментация трафика

Сегментация трафика служит для разграничения доменов на уровне 2.Данная функция позволяет настраивать порты таким образом, чтобы они были изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения сервером и магистрали сети провайдера. Данная функция может быть использована при построении сетей провайдеров.

…………

PC2…………………..

PC24

Все компьютеры (PC2 - PC24) имеют доступ к порту uplink, но не имеют доступа друг к друг на уровне 2

Решение можно использовать для:1. В проектах ETTH для изоляции портов2. Для предоставления доступа к общему серверу

Сегментация трафика

ETTH или Общий сервер

ETTH – Ethernet To The Home

Настройка сегментации трафика

Des-3226: Disable/Enable

Des-3226S: Настройка таблицы сегментации на каждом порту

Управление при помощи SNMP

Проблемы протокола SNMP версии 1• Обеспечение безопасности только на основе параметра Community String. Параметр передается в текстовом незашифрованном виде.• Содержание пакетов SNMP также в виде plain-text.• Если параметр Community String корректен, все дерево MIB может быть просмотрено или изменено.

Решение: SNMP v3

D-View IP=10.1.1.1/8SNMP community StringДля чтения = publicДля чтения/записи = private

IP=10.1.1.2/8Для чтения = publicДля чтения/записи = private

Что означает 1.3.6.1.2.1.1.1

1.3.6.1.2.1.1.1 = “Des3226”

Новые возможности в SNMPv3

• Обеспечение функций безопасности• Шифрация/Дешифрация пакетов• Возможность настройки уровня привилегий

пользователя• SNMP v3 включает следующие 4 модели:

• MPD(RFC2572)• TARGET(RFC2573)• USM(RFC2574): User-based Security Model• VACM(RFC2575): View-based Access Control Model

• D-View 5.1 поддерживает SNMPv1 и SNMP V3.• Управляемые устройства D-Link также поддерживают

SNMP v1 & V3.

• Access Control Profile обеспечивает ограничение прохождения трафика через коммутатор. Для включения функции Access Control Profile пользователь должен сначала создать маску профиля для определения того, какое поле пакета содержит признак, используемый для фильтрации и затем применить правило фильтрации, сопоставленное с маской.

• Поддержка до 10 профилей и до 50 правил.

(Des-3226S, Des-3326S)

Access Control Profile

Типы профилей доступа

Ethernet:

• Profile ID

• VLAN

• MAC-адрес источника

• MAC-адрес назначения

• 802.1p

• Тип Ethernet

• Разрешить илизапретить

IP:

• ID профиля

• VLAN

• Маска IP-адреса источника

• Маска IP-адреса получателя

• DSCP

• Протоколы (ICMP, IGMP, TCP, UDP)

• Порты TCP/UDP

• Разрешить илизапретить

Профили и правила доступа на уровне Ethernet

Профили доступа на уровне IP

Руководство по настройке профиля доступа

• Проанализируйте задачи фильтрации и определите какой профиль доступа использовать: Ethernet или IP

• Определитесь со стратегией и запишите ее

• Основываясь на стратегии, определите какие нужны маски профиля доступа - “access profile mask” и создайте их

• Добавьте правила - “access profile rule” связанные с маской

• Профили доступа проверяются последовательно, в соответствии с их ID. Профили с меньшими ID, проверяются первыми. Если не подходит ни один профиль, применяется политика по умолчанию

• Если необходимо, при совпадении профиля, значения тега для 802.1p может быть заменено новым, меняющим приоритет пакета

Internet

PC-1 Другие компьютеры

Интернет-шлюз:IP=10.254.254.251/800-50-BA-00-00-19

PC1: Разрешен доступ в ИнтернетIP 10.1.1.1/8, 0050ba6b18c8 gw=10.254.254.251

Остальные компьютеры (Запрещен доступ в Интернет)IP: 10.x.x.x/8

Интенет-шлюз

Коммутатор уровня 2 Ethernet ACL – Пример 1

DES-3226S

Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на MAC-адресах

# MAC 0050ba6b18c8 может получать доступ в Интернет и к другим компьютерам. # Компьютеры с другими MAC-адресами не могут получить доступ к Интернет, но могут получить доступ друг к другу

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF permit profile_id 10config access_profile profile_id 10 add access_id 11 ethernet source_mac 00-50-ba-6b-18-c8 destination_mac 00-50-ba-00-00-19# add other permitted MAC rule here.

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF deny profile_id 20config access_profile profile_id 20 add access_id 21 ethernet destination_mac 00-50-ba-00-00-19

Правила:Если MAC-адрес назначения = шлюза и MAC-адрес источника = разрешенный компьютер, то

разрешить (можно ввести несколько таких правил для других компьютеров, которым разрешен доступ)

Если MAC-адрес назначения = шлюза, то запретитьИначе (разрешить все остальное по умолчанию)

Тест: PC1 может обмениваться пакетами icmp с Интернет. (Разрешенный MAC-адрес имеет доступ в Интернет)PC2 не может обмениваться пакетами icmp с Интернет. (Другие компьютеры не имеет доступ в Интернет)PC1 и PC2 могут обмениваться пакетами icmp друг с другом. (Intranet OK)


IP: 192.168.1.254/32

.1 ~ .63

• Доступ в Интернет разрешен:192.168.1.1 ~ 192.168.1.63

• Остальным компьютерам разрешен доступ только в локальную сеть

Интенет-шлюз

Другие компьютеры

Сеть: 192.168.1.x

Des-3226S

Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на IP-адресах

Internet


Правила:• Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.1/26, то доступ разрешен• Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.1/24, то доступ запрещен• Иначе, по умолчанию разрешить доступ для всего остального

Тест:1. 192.168.1.1 ~ 192.168.1.63 имеют доступ в Интернет (через.254) и имеют доступ

друг к другу .64 ~ .253 PC2. .64 ~ .253 PC имеют доступ ко всем компьютерам .1~.253 PC, но не имеют доступ к

шлюзу .254

# разрешить доступ с адресов .1 ~ .63 на шлюз .254create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.192 permit profile_id 10config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.254 source_ip 192.168.1.1

# запретить доступ с адресов .1~.253 на шлюз .254create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.0 deny profile_id 20Config access_profile profile_id 20 add access_id 21 ip destination_ip 192.168.1.254 soruce_ip 192.168.1.1

# Иначе, по умолчанию разрешить доступ


Net4192.168.4.xGw192.168.4.1

• Подсеть 1(192.168.1.x) может быть доступной из подсети 2, подсети 3, подсети 4.

• Подсеть 2, подсеть 3, подсеть 4 не имеют доступ друг к другу

Des-3326S

Net3192.168.3.xGw192.168.3.1

СерверыNet1192.168.1.xGw192.168.1.1

Net2192.168.2.xGw192.168.2.1

Сценарий: Только одна подсеть IP может быть доступной из других подсетей

Коммутатор уровня 3 IP ACL – Пример 1

# создадим правила доступа# разрешить доступ только к подсети 192.168.1.x из других подсетейcreate access_profile ip destination_ip_mask 255.255.255.0 permit profile_id 10config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.2create access_profile ip source_ip_mask 255.255.255.0 permit profile_id 20config access_profile profile_id 20 add access_id 21 ip source_ip 192.168.1.2# разрешить доуступ внутри подсетей 192.168.2.x, 192.168.3.x и 192.168.2.x.create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 permit profile_id 30config access_profile profile_id 30 add access_id 31 ip source_ip 192.168.2.2 destination_ip 192.168.2.2config access_profile profile_id 30 add access_id 32 ip source_ip 192.168.3.2 destination_ip 192.168.3.2config access_profile profile_id 30 add access_id 33 ip source_ip 192.168.4.2 destination_ip 192.168.4.2#### здесь можно добавить другие сети, при необходимости# запретить все остальное.create access_profile ip source_ip_mask 0.0.0.0 deny profile_id 40config access_profile profile_id 40 add access_id 41 ip source_ip 0.0.0.0

Правила:1. Если Dest. IP=192.168.1.x, то разрешить доступ2. Если Src. IP=192.168.1.x, то разрешить доступ3. Если DestIP=192.168.2.x и destIP=192.168.2.x, то разрешить доступ4. Если DestIP=192.168.3.x и SrcIP=192.168.3.x, то разрешить доступ5. Если DestIP=192.168.4.x и SrcIP=192.168.4.x, то разрешить доступ6. Запретить все остальное

Тест:1. Net2 (192.168.2.x), Net3, Net4 имеют доступ к Net1 (192.168.1.x).2. Net2, Net3, Net4 не имеют доступ друг к другу

Коммутатор уровня 3IP ACL – Пример 1

СпасибоСпасибо

Служба технической поддержки: [email protected]

Documents

Технологии, применяемые при построении сетей на основе коммутаторов D-Link