37
B
Port 2
Port 3
Port 1
C
Port 2
Port 3
Port 1
Desigmated Bridge
LAN 1
LAN 3
LAN 2
A
Port 1
Port 2
Port 3
Root Bridge
Root Port
Root Port
Designated Port
Designated Port
Blocked
2.10 сурет – Spanning Tree хаттамасын қолдану
2.12 Өткізу жолағын бақылау
Әдетте өткізу жолағын бақылау кез-келген порт үшін беру және
қабылдау биттерінің жылдамдыгына шектеу қою үшін қолданылады.
2.11 сурет – Коммутатордағы өткізу жолағын бақылау
38
2.13 Желіге қатынауға шектеу қою
2.13.1 Port Security және коммутатордың сүзгі кестесі
Коммутаторда коммутатор арқылы өтетін дестелерді тексеріп отыратын
МАС-адресінің статистикалық кестесі орындалады.
Біріншіден, коммутатор мекен-жайы белгісіз адрестен түсетін барлық
дестелерді алып тастайды.
Екіншіден, коммутатор портына анықталған бір ғана МАС-адресті
орнатады. D-Link коммутаторлары 256 жазылымға дейінгі МАС-адресті
статистикалық кестені орындай алады.
Коммутаторлар МАС-адресін анықтайтын қондыргымен МАС-адресті
сүзгі кестесін ұолданады. Сол арқылы көрсетілген адрестердегі кіріс және
шығыс дестелерін алып тастап отырады. Алдында айтылған функцияларды
ескере отырып санкционерлы емес қатынаулардан желіні қорғайды. Мысалы,
желідегі компьютердің МАС-адрестерін коммутатор портына қосып,
коммутатор кестесін тқйықтайтын болсақ, онда белгісіз адресті дестелерді
өткізбеуге болады. Мұндай функция ғаламтордағы провайдер желісін және
жоғарғы талапты ұсынатын локалды желіні құруда өте қолайлы.
2.13.2 Трафикті сегменттеу әдістері
Трафикті сегменттеу екінші деңгейдегі домендерге шектеу қояды.
Мұндай әдісте коммутатор порттары бір-бірін тани алмайды, бірақ, магистрал
желісіндегі провайдер мен серверге шығу мүмкіндігі болады. Бұл әдіс желі
провайдерлерін құруда өте қолайлы.
2.12 сурет – Traffic Segmentation функциясын қолдану
Барлық компьютерлердің (PC2 - PC24) uplink портына қосылуға
мүмкіндіктері бар, бірақ олар екінші денгейде бір-бірін тани алмайды. Бұл
әдісті ETTH жобасындағы портты шектеуде және ортақ серверге қатынауды
ұсыну үшін қолдануға болады.
39
2.14 IEEE 802.1х хаттамасы
Тұтынушы-сервер моделінде IEEE 802.1х хаттамасы қатынау мен
коммутатор порты аркылы авторы жоқ қондырғылардын локалды желіге
енбейтін аутентификация хаттамасын анықтайды. Аутентификация сервері
(RADIUS) коммутатор немесе локалды желі ұсынған әрбір тұтынушының
қатынау құқығын тексереді. Ол тұтынушы аутенфикациядан өтпейінше
қайта-қайта тексеріле береді. Содан кейін 802.1х хаттамасының қатынауды
басқаруы арқылы тұтынушыға Extensible Authentication Protocol over LAN
(EAPOL) хаттама трафигіне қосылуға рұқсат беріледі. Аутентификация
орындалғаннан соң ғана трафик порт арқылы жіберіледі.
2.13 сурет – IEEE 802.1х хаттамасын қолданатын тұтынушы-сервер
қатынасы
Қондырғының жұмыс істеу принципі. 802.1х порт негізіндегі
аутентификацияда желідегі қондырғы анықталған бір қызметті атқарады.
2.14 сурет – Radius сервері мен жұмысшы станциясының қатынасы
40
Тұтынушы (клиент) – бұл жұмысшы станция болып есептелінеді, ол
локалды желіден және коммутатордан желі қатынастарын сұрайды, сонымен
қатар ол коммутатор талаптарына жауап бере алады. Жұмысшы станцияға
тұтынушының бағдарламамен қамтамасыз етілуі ұйымдастырылады, мысалы,
Microsoft Windows XP операциондық жүйесі.
2.15 сурет – Сервер мен жұмысшы стансасының қатынасы
Тұтынушының аутентификациясын аутентификация сервері орындайды.
Ол тұтынушыны тексеруден өткізеді және оған , коммутатордан локалды
желіге қосылуы немесе қосылмауы туралы өабар береді. RADIUS
тұтынушы/серверы бойынша жұмыс режимін қолдайды, яғни тұтынушы мен
сервер арасындағы байланысты орнатады.
2.14 сурет – Коммутатор аутентификациясының қолданылуы
Коммутатор тұтынушының аутентификациясына байланысты желідегі
физикалық
қатынауды
басқарады.
Коммутатор
тұтынушы
мен
аутентифиқация серверы аралығында жұмыс істей алады. Аутентификация
операциясын коммутатор немесе тұтынушының өзі инициализациялайды.
Тұтынушы EAPOL-start кадрларын коммутатор көмегімен серверге
жібереді, ал коммутатор оған серверден түскен идентификатор номерін
41
жібереді. Содан кейін инициализация орындалады. Егер аутентификация
дұрыс аякталса, онда коммутатор порты авторизацияланады.
802.1х аутентификациясы порт негізінде немесе МАС-адресі базасында
орындалады:
- МАС-адрес базасындағы 802.1x аутентификацияда тұтынушының
паролы тексерілмейді, тек жүмыс істейтін МАС-адрестерінің саны
есептелінеді. Егер олардың саны толық толтырылса, онда МАС- адрес
алынып тасталынады.
-
802.1x
порт
базасындағы
аутентификацияда
порт
авторизацияланғаннан кейін ғана портқа қосылатын кез-келген тұтынушыға
локалды желіге қосылуға мүмкіндік береді.
2.15 Қатынау жолдарын құру
2.15 сурет – Қатынау кескін жолдарының кескіні
1-ші мысал. Бұл мысалда қатынау жолы тек ғаламторға енетін МАС-
адресті жұмысшы станцияларына ғана қосылуға рұқсат беріледі. Желідегі
басқа стансалардың трафигі тұйықталады.
Ғаламтор -шлюз:
IP=10.254.254.251/8
МАС: 00-50-BA-00-00-19
PC1: ғаламторға рұқсат
Достарыңызбен бөлісу: |