2015-03-27
454
Многие модели коммутаторов позволяют администраторам задавать дополнительные условия фильтрации кадров наряду со стандартными условиями их фильтрации в соответствии с информацией адресной таблицы.
Пользовательские фильтры предназначены для создания дополнительных барьеров на пути кадров, позволяющих ограничивать доступ определенных групп пользователей к отдельным службам сети.
Наиболее простыми являются пользовательские фильтры на основе МАС-адресов станций. Так как МАС-адреса – это та информация, с которой работает коммутатор, то он позволяет создавать такие фильтры в удобной для администратора форме, возможно, проставляя некоторые условия в дополнительном поле адресной таблицы, подобно тем, которые были указаны в адресной таблице коммутатора на рис. 15.7 (например, условие отбрасывать кадры с определенным адресом). Таким способом пользователю, работающему на компьютере с данным МАС-адресом полностью запрещается доступ к ресурсам другого сегмента сети.
|
|
|
Часто администратору требуется задать более тонкие условия фильтрации, например, запретить некоторому пользователю печатать свои документы на сервере печати Windows, находящемся в чужом сегменте, а остальные ресурсы этого сегмента сделать доступными. Для реализации подобного фильтра нужно запретить передачу кадров, которые удовлетворяют следующим условиям: во-первых, имеют определенный МАС-адрес, во-вторых, содержат в поле данных SMB-пакеты, в-третьих, в соответствующем поле этих пакетов указан тип сервиса «печать». Коммутаторы не анализируют протоколы верхних уровней, такие как SMB, поэтому администратору приходится для задания условий фильтрации «вручную» определять поле, по значению которого нужно осуществлять фильтрацию. В качестве признака фильтрации администратор указывает пару «смещение-размер» относительно начала поля данных кадра канального уровня, а затем еще приводит шестнадцатеричное значение этого поля.
Сложные условия фильтрации обычно записываются в виде булевых выражений, формируемых с помощью логических операторов AND и OR.
