Рассмотрены вопросы безопасности жизнедеятельности и условие

37 

 

B

Port 2

Port 3

Port 1

C

Port 2

Port 3

Port 1

Desigmated Bridge

LAN 1

LAN 3

LAN 2

A

Port 1

Port 2

Port 3

Root Bridge

Root Port

Root Port

Designated Port

Designated Port

Blocked

 

 

2.10 сурет – Spanning Tree хаттамасын қолдану 

2.12 Өткізу жолағын бақылау 

Әдетте  өткізу  жолағын  бақылау    кез-келген  порт  үшін  беру  және 

қабылдау биттерінің жылдамдыгына  шектеу  қою үшін қолданылады. 

 

 

 

 

2.11 сурет  –  Коммутатордағы  өткізу жолағын бақылау 

 

38 

 

2.13 Желіге қатынауға  шектеу қою 

2.13.1  Port Security және коммутатордың сүзгі кестесі 

Коммутаторда коммутатор арқылы өтетін дестелерді тексеріп отыратын  

МАС-адресінің статистикалық кестесі орындалады.  

Біріншіден,  коммутатор  мекен-жайы  белгісіз  адрестен  түсетін  барлық 

дестелерді алып тастайды.  

Екіншіден,  коммутатор  портына  анықталған    бір  ғана  МАС-адресті 

орнатады.  D-Link  коммутаторлары  256  жазылымға  дейінгі  МАС-адресті 

статистикалық кестені орындай алады.      

Коммутаторлар  МАС-адресін  анықтайтын    қондыргымен  МАС-адресті 

сүзгі  кестесін  ұолданады.  Сол  арқылы  көрсетілген  адрестердегі  кіріс  және 

шығыс  дестелерін  алып  тастап  отырады.    Алдында  айтылған  функцияларды 

ескере отырып санкционерлы емес қатынаулардан желіні қорғайды.  Мысалы, 

желідегі  компьютердің  МАС-адрестерін  коммутатор  портына  қосып, 

коммутатор  кестесін  тқйықтайтын  болсақ,  онда  белгісіз  адресті  дестелерді 

өткізбеуге  болады.    Мұндай  функция  ғаламтордағы  провайдер  желісін  және 

жоғарғы талапты ұсынатын локалды желіні құруда өте қолайлы.    

2.13.2  Трафикті сегменттеу әдістері 

Трафикті  сегменттеу  екінші  деңгейдегі  домендерге    шектеу  қояды. 

Мұндай әдісте коммутатор порттары бір-бірін тани алмайды, бірақ,  магистрал 

желісіндегі  провайдер  мен  серверге  шығу  мүмкіндігі  болады.    Бұл  әдіс  желі 

провайдерлерін құруда өте қолайлы.   

 

 

 

2.12 сурет – Traffic Segmentation функциясын қолдану 

                        

  

Барлық  компьютерлердің  (PC2  -  PC24)  uplink  портына  қосылуға 

мүмкіндіктері  бар,  бірақ  олар  екінші  денгейде  бір-бірін  тани  алмайды.  Бұл 

әдісті ETTH  жобасындағы портты шектеуде және ортақ серверге қатынауды 

ұсыну үшін қолдануға болады. 

39 

 

2.14   IEEE 802.1х хаттамасы 

Тұтынушы-сервер  моделінде  IEEE  802.1х    хаттамасы    қатынау  мен 

коммутатор  порты  аркылы  авторы  жоқ  қондырғылардын  локалды  желіге 

енбейтін  аутентификация  хаттамасын    анықтайды.  Аутентификация  сервері  

(RADIUS)  коммутатор  немесе  локалды  желі  ұсынған  әрбір  тұтынушының 

қатынау  құқығын  тексереді.      Ол  тұтынушы  аутенфикациядан  өтпейінше 

қайта-қайта  тексеріле  береді.  Содан  кейін    802.1х  хаттамасының  қатынауды 

басқаруы  арқылы  тұтынушыға    Extensible  Authentication  Protocol  over  LAN 

(EAPOL)  хаттама  трафигіне  қосылуға  рұқсат  беріледі.    Аутентификация 

орындалғаннан соң ғана трафик порт арқылы жіберіледі.  

 

 

 

2.13 сурет – IEEE 802.1х  хаттамасын қолданатын тұтынушы-сервер 

қатынасы 

Қондырғының    жұмыс  істеу  принципі.  802.1х  порт  негізіндегі  

аутентификацияда  желідегі қондырғы анықталған бір қызметті атқарады.   

 

 

 

2.14 сурет – Radius сервері мен жұмысшы станциясының қатынасы 

 

40 

 

Тұтынушы  (клиент)  –  бұл  жұмысшы  станция  болып  есептелінеді,  ол 

локалды желіден және коммутатордан желі  қатынастарын сұрайды, сонымен 

қатар ол  коммутатор талаптарына  жауап бере алады.  Жұмысшы станцияға  

тұтынушының бағдарламамен қамтамасыз етілуі  ұйымдастырылады, мысалы, 

Microsoft Windows XP операциондық жүйесі.  

 

 

2.15 сурет – Сервер мен жұмысшы стансасының қатынасы 

 

Тұтынушының аутентификациясын аутентификация сервері орындайды. 

Ол  тұтынушыны  тексеруден  өткізеді  және  оған  ,  коммутатордан    локалды 

желіге  қосылуы    немесе  қосылмауы  туралы  өабар  береді.  RADIUS 

тұтынушы/серверы бойынша жұмыс режимін қолдайды, яғни тұтынушы мен 

сервер арасындағы байланысты орнатады.   

 

 

 

          2.14 сурет –  Коммутатор аутентификациясының қолданылуы 

 

Коммутатор  тұтынушының  аутентификациясына  байланысты  желідегі 

физикалық 

қатынауды 

басқарады. 

Коммутатор 

тұтынушы 

мен 

аутентифиқация  серверы  аралығында  жұмыс  істей  алады.  Аутентификация 

операциясын  коммутатор  немесе  тұтынушының  өзі  инициализациялайды. 

Тұтынушы    EAPOL-start  кадрларын  коммутатор  көмегімен  серверге  

жібереді,  ал  коммутатор  оған  серверден  түскен  идентификатор  номерін 

41 

 

жібереді.  Содан  кейін    инициализация  орындалады.    Егер  аутентификация 

дұрыс аякталса, онда коммутатор порты авторизацияланады.  

802.1х аутентификациясы порт негізінде немесе МАС-адресі базасында  

орындалады: 

-  МАС-адрес  базасындағы  802.1x    аутентификацияда  тұтынушының 

паролы  тексерілмейді,  тек  жүмыс  істейтін  МАС-адрестерінің  саны 

есептелінеді.    Егер  олардың  саны  толық  толтырылса,  онда    МАС-  адрес 

алынып тасталынады.  

- 

802.1x 

порт 

базасындағы 

 

аутентификацияда 

порт  

авторизацияланғаннан  кейін  ғана  портқа  қосылатын  кез-келген  тұтынушыға 

локалды желіге қосылуға мүмкіндік береді.  

2.15 Қатынау  жолдарын құру  

 

 

 

2.15 сурет – Қатынау кескін жолдарының кескіні  

           1-ші мысал. Бұл мысалда қатынау жолы тек ғаламторға енетін МАС-

адресті жұмысшы станцияларына ғана қосылуға рұқсат беріледі.  Желідегі 

басқа стансалардың  трафигі тұйықталады.   

Ғаламтор -шлюз: 

IP=10.254.254.251/8 

МАС: 00-50-BA-00-00-19 

PC1: ғаламторға рұқсат