Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Типы профилей доступа
|
|
В коммутаторах D-Link существует три типа профилей доступа: Ethernet, IP и Packet Content Filtering (фильтрация по содержимому пакета).
Профиль Ethernet (Ethernet Profile) позволят фильтровать кадры по следующим типам критериев:
• VLAN;
• MAC-адрес источника;
• MAC-адрес назначения;
• 802.1p;
• тип Ethernet.
Профиль IP (IP Profile) поддерживает следующие типы критериев фильтрации:
• VLAN;
• маска IP-источника;
• маска IP-назначения;
• DSCP;
• протокол (ICMP, IGMP, TCP, UDP);
• номер порта TCP/UDP.
Профиль фильтрации по содержимому пакета (Packet Content Filtering Profile) используется для идентификации пакетов, путем побайтного исследования их заголовков Ethernet.
| Внимание: не все модели коммутаторов поддерживают Packet Content Filtering Profile. За информацией о поддержке функции необходимо обратиться к документации на используемый коммутатор. |
Процесс создания профиля доступа
Процесс создание профиля доступа можно разделить на следующие основные шаги:
· Проанализируйте задачи фильтрации и определитесь с типом профиля доступа – Ethernet, IP или Packet Content Filtering.
· Определите стратегию фильтрации.
Например:
¾ отбрасывать пакеты некоторых узлов и принимать пакеты от всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, для которых необходимо выполнять фильтрацию;
¾ принимать пакеты от некоторых узлов и отбрасывать пакеты всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, пакеты от которых разрешены в сети. Трафик остальных узлов будет отбрасываться.
· Основываясь на выбранной стратегии, определите, какая маска профиля доступа (Access Profile Mask) необходима, и создайте ее (команда create access_profile). Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/UDP и т.д. должны проверяться в пакете, а какие игнорироваться.
· Добавьте правило профиля доступа (Access Profile Rule), связанное с этой маской (команда config access_profile).
· Правила профиля доступа проверяются в соответствии с номером access_id. Чем меньше номер, тем раньше проверяется правило. Если ни одно правило не сработало, пакет пропускается.
· В среде QoS, после того как срабатывает правило, перед отправкой пакета биты 802.1p/DSCP могут быть заменены на новые низко/высокоприоритетные значения.
|
|