2018-02-13
243
Функция IP-MAC-PortBinding (IMPB), реализованная в коммутаторах D-Link, позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Администратор сети может создать записи («белый лист»), связывающие МАС- и IP-адреса компьютеров с портами подключения коммутатора. На основе этих записей, в случае совпадения всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В том случае, если при подключении клиента, связка MAC-IP-порт будет отличаться от параметров заранее сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла с занесением его в «черный лист».
Функция IP-MAC-PortBinding специально разработана для управления подключением узлов в сетях ETTH (Ethernet-To-The-Home) и офисных сетях. Помимо этого функция IMPB позволяет бороться с атаками типа ARPSpoofing, во время которых злонамеренные пользователи перехватывают трафик или прерывают соединение, манипулируя пакетами ARP.
Функция IP-MAC-Port Binding включаеттрирежимаработы: ARP mode (поумолчанию), ACL mode и DHCP Snooping mode.
|
|
|
ARPmode является режимом, используемым по умолчанию, при настройке функции IP-MAC-PortBinding на портах. При работе в режиме ARP коммутатор анализирует ARP-пакеты и сопоставляет параметры IP-MACARP-пакета с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то МАС-адрес узла будет занесен в таблицу коммутации с отметкой «Drop» (Отбрасывать). Если все параметры совпадают, МАС-адрес узла будет занесен в таблицу коммутации с отметкой «Allow» (Разрешен).
При функционировании в ACLmode, коммутатор на основе предустановленного администратором «белого листа» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в «белом листе», будет блокироваться ACL. Если режим ACL отключен, правила для записей IMPB будут удалены из таблицы ACL. Следует отметить, что этот режим не поддерживается коммутаторами, в которых отсутствуют аппаратные таблицы ACL (информацию о поддержке или отсутствии режима ACL можно найти в спецификации на соответствующую модель коммутатора).
Режим DHCPSnooping используется коммутатором для динамического созданиязаписей IP-MAC на основе анализа DHCP-пакетов и привязки их к портам с включеннойфункцией IMPB (администратору не требуется создавать записи вручную). Таким образом,коммутатор автоматически создает «белый лист» IMPB в таблице коммутации илиаппаратной таблице ACL (если режим ACL включен). При этом для обеспечения корректнойработы, сервер DHCP должен быть подключен к доверенному порту с выключеннойфункцией IMPB. Администратор может ограничить максимальное количество создаваемых впроцессе автоизучения записей IP-MAC на порт, т.е. ограничить для каждого порта сактивизированной функцией IMPB количество узлов, которые могут получить IP-адрес cDHCP-сервера. При работе в режиме DHCPSnooping коммутатор не будет создавать записиIP-MAC для узлов с IP-адресом установленным вручную.
|
|
|
При активизации функции IMPB на порте администратор должен указать режим его работы:
· Strict Mode – в этом режиме порт по умолчанию заблокирован. Прежде чем передаватьпакеты он будет отправлять их на ЦПУ для проверки совпадения их параметров IP-MACс записями в «белом листе». Таким образом, порт не будет передавать пакеты до тех пор,пока не убедится в их достоверности. Порт проверяет все IP и ARP-пакеты.
· Loose Mode – в этом режиме порт по умолчанию открыт. Порт будет заблокирован, кактолько через него пройдет первый недостоверный пакет. Порт проверяет только пакетыARP и IP Broadcast.
Аутентификация пользователей 802.1x
Стандарт IEEE 802.1х (IEEE Std 802.1x-2010) описывает использование протоколаEAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью серверааутентификации и определяет процесс инкапсуляции данных ЕАР, передаваемых междуклиентами (запрашивающими устройствами) и серверами аутентификации. Стандарт IEEE802.1х осуществляет контроль доступа и не позволяет неавторизованным устройствамподключаться к локальной сети через порты коммутатора.
СервераутентификацииRemoteAuthenticationinDial-InUserService (RADIUS)проверяет права доступа каждого клиента, подключаемого к порту коммутатора, прежде чемразрешить доступ к любому из сервисов, предоставляемых коммутатором или локальнойсетью.До тех пор, пока клиент не будет аутентифицирован, через порт коммутатора, ккоторому он подключен, будет передаваться только трафик протокола ExtensibleAuthenticationProtocoloverLAN (EAPOL). Обычный трафик начнет передаваться через порткоммутатора сразу после успешной аутентификации клиента.
Х Guest VLAN
Функция 802.1x Guest VLAN используется для создания гостевой VLAN сограниченными правами для пользователей не прошедших аутентификацию. Когда клиентподключается к порту коммутатора с активизированной аутентификацией 802.1х и функциейGuest VLAN, происходит процесс аутентификации (локально или удаленно сиспользованием сервера RADIUS). В случае успешной аутентификации клиент будетпомещен в VLAN назначения (Target VLAN) в соответствии c предустановленным насервере RADIUS параметром VLAN. Если этот параметр не определен, то клиент будетвозвращен в первоначальную VLAN.
В том случае, если клиент не прошел аутентификацию, он помещается в Guest VLANс ограниченными правами и доступом.Более наглядно данный процесс приведен на блок-схеме
Члены Guest VLAN могут взаимодействовать друг с другом в пределах этой VLAN,даже если они не прошли аутентификацию 802.1х. После успешного прохожденияаутентификации, член Guest VLAN может быть перемещен в VLAN назначения (TargetVLAN) в соответствии с атрибутом VLAN, указанном на сервере RADIUS.
Следует отметить, что, используя функцию 802.1x Guest VLAN, клиентам можнопредоставлять ряд ограниченных сервисов до прохождения процесса аутентификации802.1x. Например, клиент может загрузить с сервера и установить необходимое программноеобеспечение 802.1x.
