|
|
Контроль полосы пропускания.Подразумевает два механизма: ограничение трафика – служит для ограничения скорости трафика получаемого и отправляемого с интерфейса коммутатора (когда эта функция активна, администратор задает пороговое значение для каждого порта. Трафик, скорость которого или равна значению – передается, иначе – обрабатывается в соответствии с политикой(отбрасываться или помечаться приоритетом)) и выравнивание трафика – вносит задержку в передачу трафика, что критично для некоторых видов сервиса, но более лоялен к TCP соединениям, но на данное время практически не применяется. Основным средством для выравнивания трафика является алгоритм «корзина маркеров». Алгоритм подразумевает наличие следующих параметров: - согласование скорости передачи; - согласование размеров всплеска; - расширенный размер всплеска. Размер стандартной корзины маркеров, т.е. число маркеров в ней равно согласованному размеру всплеска. Маркеры генерируются и помещаются в корзину с огромной скоростью. Если корзина полна, то суб-ые маркеры отбрасываются. Для того чтобы передать пакет из корзины, вынимается число маркеров равное пакету в битах. Если маркеров в корзине достаточно, то пакет передается. Если пакет больше кол-ва маркеров – он сегментируется. Стандартная корзина не поддерживает экстренное увеличение размера всплеска.
ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ, ACL End-to-End Security (E2E5) (защита конечного пользователя) – защита внутренней сети от внутренних атак. Gateway Security (защита средствами межсетевых экранов) – защите внутренней сети от внешних атак. Join Security (объединенная безопасность) – связующее звено между End-to-End Security и Gateway Security. Аутентификация – процедура проверки подлинности субъекта на основе предоставляемых им данных. Авторизация – предоставление определенных прав лицу на выполнение некоторых действий. Access Control List (Списки управления доступом) –мощное средство фильтрации потоков данных без потери производительности, т.к. проверка содержимого пакетов выполняется на аппаратном уровне. Критерии фильтрации м.б. определены на основе следующей фильтрации: 1. Порт коммутатора; 2. Тип Ethernet; 3. MAC-IP; 4. VLAN; 5. 802.1p 6. Порт TCP/UDP; 7. Первые 80 байт пакета, включая поле данных. Профили доступа и правила Access Control List(ACL): · Access Profil определяет типы критериев фильтрации, к-е д\проверяться в пакете данных (MAC адресов, IP адресов, номера порта, VLAN и т.д.) · Идентификатор правила Rule – указывается значение параметров текущих критериев. Принцип работы ACL:
3 основных профиля доступа: 1. Профиль Ethernet: - проверка на VLAN; - проверка на MAC: источника и назначения; - проверка на 802.1р; - тип Ethernet. 2. Профиль IP: - проверка на VLAN; - маска IP источника - маска IP назначения; - DSCP; - протоколы TCP, IGMP, UDP; - номер порта TCP\UDP. 3. Профиль фильтрации по содержимому пакета (Packet Content filtering) Процесс создания профиля доступа: 1) Анализ задач фильтрации и определение типа профиля; 2) Определение стратегии фильтрации; 3) Определение маски профиля доступа. Маска профиля доступа используется для указания какие биты значений полей IP-адрес, MAC-адрес, порт TCP\UDP должны проверяться в пакете данных, а какие игнорироваться. 4) Добавление правил связанных с этой маской и применение профиля. Значение битов маски: 1 – игнорирование; 2 – проверка значения; Пример использования ACL – правила сверху-вниз. PORT SECURITY, IMPB Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. 3 режима работы: - постоянный; - удалить при истечении времени; - удалить при сбросе настроек. Постоянный. Занесенные в таблицу коммутации MAC-адреса никогда не устаревают, даже если истекло время установленное таймером AgingTime (время старения) или коммутатор был перезагружен. 2 ) удалить при истечении времени. Занесенные в таблицу коммутации MAC-адреса устареют после истечения времени, установленного AgingTime, затем будут удалены. 3) удалить при сбросе настроек. MAC-адреса удаляются при сбросе настроек коммутатора.
Функция IP-MAC-PORT-BINDING (IMPB) позволяет контролировать доступ компьютеров в сеть на основе их IP, MAC адресов, а также порта подключения. Режимы работы IMPB: - ARP-mode (режим по умолчанию), коммутатор анализирует ARPпакеты и сопоставляет MAC адрес в ARP запросе с предустановленной администратором связкой IP-MAC (белым листом). - - ACL-mode. Коммутатор на основе предустановленного белого листа создает правила ACL. - DHCP Snooping mode – используется коммутатором для динамического создания записи IP-MAC на основе анализа DHCP-пакетов и привязки их к портам, на которых включена функция IMPB. Режимы работы порта: - Strict mode – по умолчанию заблокирован порт, прежде чем передать пакет порт отправит этот пакет на CPU для проверки с белым листом. - Loose mode – в этом режиме порт по умолчанию открыт и будет в последствии заблокирован, если через него пройдет первый недостоверный пакет. Strict mode проверяет все IP и ARP пакеты, а Loose mode – ARP и BroadCast IP.
СТАНДАРТ 802.1X
  Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом...  Что делает отдел по эксплуатации и сопровождению ИС? Отвечает за сохранность данных (расписания копирования, копирование и пр.)...  Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...  ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|
