Ноу Інти, лекція, функції забезпечення безпеки й обмеження доступу до мережі

Функція IP-MAC-Port Binding

Ноу Інти, лекція, функції забезпечення безпеки й обмеження доступу до мережі


Мал. 19.8. Функція IP-MAC-Port Binding

Функція IP-MAC-Port Binding спеціально розроблена для управління підключенням вузлів в мережах ETTH (Ethernet-To-The-Home) і офісних мережах. Крім цього функція IMPB дозволяє боротися з атаками типу ARP Spoofing. під час яких зловмисні користувачі перехоплюють трафік або переривають з'єднання, маніпулюючи пакетами ARP.

Функція IP-MAC-Port Binding включає три режими роботи: ARP mode (за замовчуванням), ACL mode і DHCP Snooping mode.

При функціонуванні в ACL mode комутатор на основі встановленого адміністратором "білого аркуша" IMPB створює правила ACL. Будь-пакет, зв'язка IP-MAC якого відсутній в "білому аркуші", буде блокуватися ACL. Якщо режим ACL відключений, правила для записів IMPB будуть видалені з таблиці ACL. Слід зазначити, що цей режим не підтримується комутаторами, в яких відсутні апаратні таблиці ACL (інформацію про підтримку або відсутності режиму ACL можна знайти в специфікації на відповідну модель комутатора).

Увага. режим DHCP Snooping окремо від режимів ARP або ACL не використовується.

При активізації функції IMPB на порте адміністратор повинен вказати режим його роботи:

  • Strict Mode - в цьому режимі порт за замовчуванням заблокований. Перш ніж передавати пакети, він буде відправляти їх на ЦПУ для перевірки збігу їх параметрів IP-MAC з записами в "білому аркуші". Таким чином, порт не передаватиме пакети до тих пір, поки не переконається в їх достовірності. Порт перевіряє всі IP і ARP-пакети;
  • Loose Mode -в цьому режимі порт за замовчуванням відкритий. Порт буде заблокований, як тільки через нього пройде перший недостовірний пакет. Порт перевіряє тільки пакети ARP і IP Broadcast.
Приклад налаштування функції IP-MAC-Port Binding

Ноу Інти, лекція, функції забезпечення безпеки й обмеження доступу до мережі


Мал. 19.9. Приклад роботи функції IP-MAC-Port Binding в режимі ARP

  • Активізувати функцію на необхідних портах і вказати режим роботи портів.

    Ноу Інти, лекція, функції забезпечення безпеки й обмеження доступу до мережі


    Мал. 19.10. Приклад роботи функції IP-MAC-Port Binding в режимі DHCP Snooping

    • Активізувати функцію IP-MAC-Port Binding в режимі DHCP Snooping глобально на комутаторі.
  • Вказати максимальну кількість створюваних в процесі автоізученія записів IP-MAC на порт.
  • Активізувати функцію IP-MAC-Port Binding в режимі DHCP Snooping на відповідних портах.

    Аутентифікація користувачів 802.1х

    Сервер аутентифікації Remote Authentication in Dial-In User Service (RADIUS) перевіряє права доступу кожного клієнта, що підключається до порту комутатора, перш ніж дозволити доступ до будь-якого з сервісів, що надаються комутатором або локальною мережею.

    До тих пір, поки клієнт не аутентифікований, через порт комутатора, до якого він підключений, буде передаватися тільки трафік протоколу Extensible Authentication Protocol over LAN (EAPOL). Звичайний трафік почне передаватися через порт комутатора відразу після успішної аутентифікації клієнта.

    Ноу Інти, лекція, функції забезпечення безпеки й обмеження доступу до мережі


    Мал. 19.11. Мережа з аутентифікацією 802.1х

    Увага. протокол 802.1х не підтримує роботу на агрегованих каналах зв'язку.