2015-02-24
463
Процесс создание профиля доступа можно разделить на следующие основные шаги:
· Анализ задачи фильтрации и определение типа профиля доступа – Ethernet, IP или Packet Content Filtering.
· Определение стратегии фильтрации. Например:
o отбрасывать пакеты данных некоторых узлов и принимать пакеты данных от всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, для которых необходимо выполнять фильтрацию;
o принимать пакеты данных от некоторых узлов и отбрасывать пакеты данных всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, пакеты данных от которых разрешены в сети. Трафик остальных узлов будет отбрасываться.
Основываясь на выбранной стратегии, необходимо определить, какая маска профиля доступа (Access Profile Mask) требуется, и создать ее (команда create access_profile). Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/UDP и т.д. должны проверяться в пакете данных, а какие игнорироваться.
· Добавить правило профиля доступа (Access Profile Rule), связанное с этой маской (команда config access_profile).
· Правила профиля доступа проверяются в соответствии с номером access_id. Чем меньше номер, тем раньше проверяется правило. Если ни одно правило не сработало, пакет данных пропускается.
· В среде QoS, после того как срабатывает правило, перед отправкой пакета данных биты 802.1p/DSCP могут быть заменены на новые низко/высокоприоритетные значения.
