Устройство безопасности порта в узле Ethernet

Обновлено: 21.11.2024

Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.

Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..

На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.

Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.

Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.

Слой 2 содержит два подслоя:

Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.

Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.

Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:

Порты

режима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.

Порты

Tagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:

Порты

магистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.

Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс. Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты. Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют 802.Заголовок 1Q (тег). Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.

Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:

Одноадресный, многоадресный и широковещательный трафик.

VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.

Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.

Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети

Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG

.

Агрегация каналов не поддерживается на устройствах NFX150.

Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки

Управление штормом не поддерживается на устройствах NFX150.

Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard

См. также

Обзор коммутации Ethernet и прозрачного режима уровня 2

Прозрачный режим уровня 2 позволяет развернуть брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.

Устройство работает в прозрачном режиме, если есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.

Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки. Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.

В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.

Шлюзы прикладного уровня (ALG)

Аутентификация пользователя брандмауэра (FWAUTH)

Обнаружение и предотвращение вторжений (IDP)

Единое управление угрозами (UTM)

Преобразование сетевых адресов (NAT)

На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.

Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:

Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.

Отслеживание протокола управления группами Интернета (IGMP) — протокол передачи сигналов между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.

Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.

Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX квалифицировано; то есть используются как идентификатор VLAN, так и MAC-адрес.

Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:

G-ARP на интерфейсе уровня 2

Мониторинг IP-адресов на любом интерфейсе

Транзит трафика через IRB

Интерфейс IRB в экземпляре маршрутизации

Интерфейс IRB, обрабатывающий трафик уровня 3

Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.

Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000

Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.

Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.

Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.

Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме. После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.

Потоки IPv6 в прозрачном режиме на устройствах безопасности

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве. Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.

По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.

В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:

Кластеры шасси уровня 2 в прозрачном режиме.

Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:

Обзор:
Switch — это сетевое устройство, настроенное для подключения и поддержания канала связи между различными устройствами. Порты Ethernet присутствуют на коммутаторе, который используется для подключения таких устройств, как маршрутизатор, компьютерная система и ноутбук в сети. Для соединения всей этой сети используются кабели Ethernet. MAC-адрес этих подключенных устройств используется коммутатором для их идентификации и предоставления им запрошенной услуги. Крайне важно защитить эти порты, чтобы только авторизованные пользователи могли подключать свои системы к сети через коммутатор. Перед настройкой любого коммутатора в сети организации рассматривается безопасность порта, поскольку она гарантирует, что подлинный и авторизованный пользователь подключен к сети. Эту функцию безопасности коммутаторов Cisco IOS можно настроить только для портов доступа, и по умолчанию эта функция отключена.

Включение защиты портов на коммутаторе Cisco.
Приведенные ниже шаги и команды можно использовать для включения защиты портов на коммутаторе Cisco, что гарантирует сохранение конфиденциальности, подлинности и целостности данных.

Конфигурация-1:
Конфигурация безопасности порта —

Шаг 1:
Сначала осуществляется доступ к интерфейсу командной строки коммутатора Cisco, и порт Gigabit Ethernet 0/1 подключается с помощью команды «interface Gigabit Ethernet 0/1». Затем выполняются команды «switchport mode access» и «switchport port-security», чтобы изменить режим порта на доступ и включить безопасность соответственно. Эти команды должны выполняться всякий раз, когда подключается любой другой порт и для него необходимо включить защиту порта.

Шаг 2.
По умолчанию коммутатор Cisco разрешает использовать только 1 MAC-адрес на одном порту, и если какое-либо другое устройство пытается подключиться через этот порт, коммутатор автоматически отключает свой порт, чтобы ограничить несанкционированный доступ. Чтобы увеличить количество пользователей на одном порту, выполняется команда «switchport port-security максимум 5». Таким образом, теперь к порту можно подключить пять устройств и выполнять свои функции.

1. Режим защиты.
   В этом режиме пакеты данных с определенных MAC-адресов передаются только внутри сети.
   
2. Ограниченный режим.
   Когда этот режим включен и нарушается безопасность порта, вся передача данных блокируется, а пакеты отбрасываются. Также одновременно генерируются журналы, чтобы проверить, какое устройство было подключено к коммутатору Cisco.
   
3. Режим отключения.
   Этот режим включен по умолчанию, а состояние порта изменяется на отключенное из-за ошибки, что запрещает подключенному устройству выполнять какие-либо функции, а также отключает этот конкретный порт.

Настройка предопределенного режима нарушения безопасности

Конфигурация-2:
Безопасность порта MAC-адреса —

Шаг 1:
Чтобы разрешить подключение к коммутатору Cisco только устройству с определенным MAC-адресом, можно использовать команду «switchport port-security mac-address mac_address_of_device». При успешном выполнении этой команды устройство с указанным MAC-адресом будет авторизовано коммутатором только для подключения через доступный порт Ethernet.

Шаг 2.
Другой режим команды mac address известен как прилипание. Этот режим включен, чтобы позволить коммутатору узнать новые MAC-адреса и сохранить их в памяти. MAC-адрес подключенного устройства автоматически собирается и сохраняется коммутатором.

Конфигурация-3:
Проверьте конфигурацию безопасности порта —

Шаг 1.
Чтобы проверить и проанализировать конфигурацию безопасности порта на коммутаторе, пользователю необходимо получить доступ к привилегированному режиму интерфейса командной строки. Команда show port-security address выполняется для проверки текущего состояния безопасности порта.

Команда для проверки состояния безопасности порта

Шаг 2.
Если пользователь хочет проверить безопасность порта определенного интерфейса, доступного на коммутаторе, можно использовать команду «show port-security interface interface_name».

Шаг 3.
В этом сценарии безопасность на интерфейсе GigabitEthernet настроена, а выполненная команда показана ниже для справки.

Задача злоумышленников относительно проста, когда они могут войти в сеть, которую хотят атаковать. Локальные сети Ethernet очень уязвимы для атак, поскольку порты коммутатора открыты для использования по умолчанию. Могут иметь место различные атаки, такие как Dos-атака на уровне 2, подмена адреса. Если администратор имеет контроль над сетью, то очевидно, что сеть безопасна. Чтобы получить полный контроль над портами коммутатора, пользователь может использовать функцию, называемую безопасностью портов. Если каким-то образом предотвратить использование этих портов неавторизованным пользователем, то безопасность значительно повысится на уровне 2.

1. Ограничение количества MAC-адресов для одного порта коммутатора, т. е. если из одного порта получено больше MAC-адресов, чем ограничение, будут предприняты соответствующие действия.
2. Если обнаружен несанкционированный доступ, трафик следует отклонить с помощью любого из параметров или, что более уместно, пользователь должен создать сообщение журнала, чтобы можно было легко обнаружить несанкционированный доступ.

Безопасность порта.
Коммутаторы узнают MAC-адреса, когда кадр пересылается через порт коммутатора. Используя защиту порта, пользователи могут ограничить количество MAC-адресов, которые могут быть изучены для порта, установить статические MAC-адреса и установить штрафы для этого порта, если он используется неавторизованным пользователем. Пользователи могут использовать команды ограничения, выключения или защиты портов.

• защита — в этом режиме пакеты с неизвестными MAC-адресами отправителя отбрасываются до тех пор, пока вы не удалите достаточно безопасных MAC-адресов, чтобы их значение не упало ниже максимального значения.
• restrict — этот режим выполняет ту же функцию, что и защита, т. е. отбрасывает пакеты до тех пор, пока не будет удалено достаточное количество защищенных MAC-адресов, чтобы их количество не упало ниже максимального значения. В дополнение к этому будет создано сообщение журнала, увеличено значение счетчика, а также отправлено прерывание SNMP.
• shutdown — этот режим наиболее предпочтителен по сравнению с другими режимами, поскольку он немедленно отключает порт в случае несанкционированного доступа. Он также создаст журнал, увеличит значение счетчика и отправит ловушку SNMP.Этот порт будет оставаться в выключенном состоянии, пока администратор не выполнит команду «без выключения».
• Sticky — это не режим нарушения. Используя команду sticky, пользователь обеспечивает безопасность статического Mac-адреса, не вводя абсолютный Mac-адрес. Например, если пользователь указывает максимальное ограничение, равное 2, то первые 2 адреса Mac, полученные на этом порту, будут помещены в текущую конфигурацию. После получения второго Mac-адреса, если третий пользователь захочет получить доступ, будут предприняты соответствующие действия в соответствии с примененным режимом нарушения.

Примечание. Безопасность порта будет работать только для порта доступа, т. е. для включения безопасности порта пользователь должен сначала сделать его портом доступа.

Конфигурация.
Применение защиты порта к интерфейсу fa0/1 коммутатора. Сначала преобразуйте порт в порт доступа и включите защиту порта.

Используйте команду sticky, чтобы она динамически узнавала адрес Mac и предоставляла ограничение и соответствующее действие, которое следует предпринять.

Если пользователь хочет предоставить статическую запись, настройте ее, начав с его Mac-адреса.

В этой главе описывается, как настроить безопасность портов на коммутаторах корпоративной локальной сети Catalyst.

Примечание. Полную информацию о синтаксисе и использовании команд, используемых в этой главе, см. в Справочнике по командам коммутаторов Catalyst 4500 Series, Catalyst 2948G, Catalyst 2948G-GE-TX и Catalyst 2980G. .

Эта глава состоит из следующих разделов:

• Понимание того, как работает безопасность порта

• Рекомендации по настройке безопасности порта

• Настройка порта Безопасность на коммутаторе

• Мониторинг безопасности порта

Понимание того, как работает безопасность портов

Вы можете использовать защиту порта, чтобы заблокировать вход в порт Ethernet, Fast Ethernet или Gigabit Ethernet, если MAC-адрес станции, пытающейся получить доступ к порту, отличается от любого из MAC-адресов, указанных для этого порта. Кроме того, вы можете использовать безопасность портов для фильтрации трафика, предназначенного или полученного от определенного хоста, на основе MAC-адреса хоста.

Разрешение трафика на основе MAC-адреса хоста

Общее количество MAC-адресов, которые можно указать для каждого порта, ограничено глобальным ресурсом 1024 плюс 1 MAC-адрес по умолчанию. То есть общее количество MAC-адресов на любом порту не может превышать 1025.

Максимальное количество MAC-адресов, которое можно выделить для каждого порта, зависит от конфигурации вашей сети. Допустимы следующие комбинации:

• 1025 (1 + 1024) адресов на один порт и по 1 адресу на остальные порты

• 513 (1 + 512) на каждый на два порта в системе и по 1 адресу на остальные порты

•901 (1 + 900) на один порт, 101 (1 + 100) на другой порт, 25 (1 + 24) на третьем порту и по 1 адресу на каждом из остальных портов

После того, как вы выделили максимальное количество MAC-адресов на порту, вы можете либо указать безопасный MAC-адрес для порта вручную, либо порт динамически настраивает MAC-адреса подключенных устройств. Из максимального количества MAC-адресов, выделенных для порта, вы можете вручную настроить все, разрешить автоматическую настройку всех или настроить некоторые вручную и разрешить автоматическую настройку остальных. После ручной или автоматической настройки адресов они сохраняются в энергонезависимом ОЗУ (NVRAM) и сохраняются после сброса.

Когда вы вручную изменяете максимальное количество MAC-адресов, связанных с портом, превышающее значение по умолчанию, а затем вручную введите авторизованные MAC-адреса, все оставшиеся MAC-адреса настраиваются автоматически. Например, если вы настроили безопасность порта так, чтобы он имел максимум десять MAC-адресов, но добавили только два MAC-адреса, следующие восемь новых исходных MAC-адресов, полученных через этот порт, будут добавлены в список защищенных MAC-адресов для данного порта. порт.

После того, как вы назначите максимальное количество MAC-адресов для порта, вы также можете указать, как долго адреса на порту будут оставаться безопасными. По истечении времени возраста MAC-адреса на порту становятся небезопасными. По умолчанию все адреса на порту постоянно защищены.

В случае нарушения безопасности вы можете настроить порт так, чтобы он переходил либо в режим отключения, либо в ограничительный режим. Параметр режима выключения позволяет указать, должен ли порт быть отключен навсегда или отключен только на указанное время. По умолчанию порт отключен навсегда. Ограничительный режим позволяет настроить порт таким образом, чтобы он оставался включенным во время нарушения безопасности и отбрасывал только пакеты, поступающие с незащищенных узлов.

Примечание. Если вы настроили безопасный порт в ограничительном режиме, а станция подключена к порту, MAC-адрес которого уже настроен в качестве безопасного MAC-адреса на другом порту коммутатора, порт в ограничительном режиме отключается, а не ограничивается. трафика с этой станции.Например, если вы настроите MAC-1 в качестве безопасного MAC-адреса на порту 2/1, а MAC-2 — в качестве безопасного MAC-адреса на порту 2/2, а затем подключите станцию ​​с MAC-1 к порту 2/2, когда порт 2 /2 настроен на ограничительный режим, порт 2/2 отключается вместо ограничения трафика с MAC-1.

Когда защищенный порт получает пакет, исходный MAC-адрес пакета сравнивается со списком защищенных исходных адресов, которые были настроены вручную или автоматически (узнаны) для порта. Если MAC-адрес устройства, подключенного к порту, отличается от списка безопасных адресов, порт либо отключается навсегда (режим по умолчанию), либо отключается на указанное вами время, либо отбрасывает входящие пакеты с незащищенного хоста. .

Поведение порта зависит от того, как вы настроите его для реагирования на нарушение безопасности. Если происходит нарушение безопасности, индикатор Link для этого порта становится оранжевым, а диспетчеру протокола SNMP отправляется сообщение об отключении канала. Ловушка SNMP не отправляется, если вы настроили порт для ограничительного режима нарушения. Ловушка отправляется, только если вы настроили отключение порта во время нарушения безопасности.

Ограничение трафика на основе MAC-адреса хоста

Вы можете фильтровать трафик на основе MAC-адреса хоста, чтобы пакеты, помеченные определенным MAC-адресом источника, отбрасывались. Когда вы указываете фильтр MAC-адресов с помощью команды set cam filter, входящий трафик с этого MAC-адреса хоста отбрасывается, а пакеты, адресованные этому хосту, не пересылаются. С помощью этой команды вы не можете фильтровать трафик для многоадресных адресов.

Примечание. Команда set cam filter позволяет фильтровать только одноадресные адреса.

Блокировка одноадресных флуд-пакетов на защищенных портах

Вы можете заблокировать одноадресные лавинные пакеты на безопасном порту Ethernet, отключив функцию одноадресной лавинной рассылки. Если вы отключите одноадресную лавинную рассылку для порта, порт будет отбрасывать одноадресные лавинные пакеты, когда порт достигает максимально допустимого количества MAC-адресов.

Порт автоматически перезапускает изучение одноадресных лавинных пакетов, когда количество MAC-адресов падает. ниже максимально допустимого числа. Счетчик изученных MAC-адресов уменьшается при удалении настроенного MAC-адреса или достижении счетчика времени жизни (TTL).

Для получения дополнительной информации об одноадресных лавинных пакетах см. Глава 17, «Настройка блокировки одноадресных флудов». "

Руководство по настройке безопасности портов

В этом разделе перечислены рекомендации по настройке безопасности порта:

• Не настраивайте безопасность порта на порте назначения SPAN.

• Не настраивайте назначение SPAN на защищенном порту.

• Не настраивайте динамические, статические или постоянные записи CAM на защищенном порту.

Настройка безопасности портов на коммутаторе

В следующих разделах описано, как настроить безопасность порта.

Включение безопасности порта

Безопасность портов настраивается автоматически или включается вручную путем указания MAC-адреса. Если MAC-адрес не указан, исходный адрес из входящего трафика автоматически настраивается и защищается до максимально допустимого количества MAC-адресов. Эти автоматически настроенные MAC-адреса остаются защищенными в течение некоторого времени, в зависимости от установленного таймера устаревания. Автоматически настроенные MAC-адреса удаляются из порта в случае обрыва связи.

Когда вы включаете защиту порта для порта, все динамические записи CAM, связанные с этим портом, удаляются. Если на том же порту есть какая-либо настроенная статическая или постоянная запись CAM, возможно, вы не сможете включить защиту порта на этом порту. В этом случае очистите настроенные статические и постоянные записи Earl для этого порта, а затем включите защиту порта.

Чтобы включить защиту порта, выполните эту задачу в привилегированном режиме:

В этом примере показано, как включить защиту порта с помощью изученного MAC-адреса порта:

Режим переключения. uPIM отображается в списке интерфейсов как единый интерфейс, который является первым интерфейсом в uPIM. Например, ge-2/0/0. При желании вы можете настроить каждый порт uPIM только для автосогласования, скорости и дуплексного режима. uPIM в режиме переключения может выполнять следующие функции:

Переадресация уровня 3 — направляет трафик, предназначенный для интерфейсов WAN и других PIM, присутствующих в корпусе.

Переадресация уровня 2 – переключение трафика внутри локальной сети с одного узла в локальной сети на другой узел в локальной сети (один порт uPIM на другой порт того же uPIM).

Расширенный режим коммутации. Каждый порт можно настроить для режима коммутации или маршрутизации. Это использование отличается от режимов маршрутизации и коммутации, в которых все порты должны быть либо в режиме коммутации, либо в режиме маршрутизации. uPIM в расширенном режиме коммутации обеспечивает следующие преимущества:

Преимущества расширенного режима переключения:

Поддерживает настройку различных типов сетей VLAN и маршрутизацию между сетями VLAN.

Поддерживает протокол уровня управления 2, такой как протокол управления агрегацией каналов (LACP).

Поддерживает управление доступом к сети на основе портов (PNAC) с помощью серверов аутентификации.

Устройства SRX300 и SRX320 поддерживают только расширенный режим переключения. Когда вы устанавливаете многопортовый uPIM в расширенный режим коммутации, все функции коммутации уровня 2 поддерживаются в uPIM. (Поддержка платформы зависит от версии ОС Junos в вашей установке.)

Многопортовый модуль uPIM Gigabit Ethernet на устройстве можно настроить либо на режим коммутации, либо на расширенный режим коммутации.

Когда вы устанавливаете многопортовый uPIM в режим переключения, uPIM отображается как единый объект для целей мониторинга. Единственные параметры физического порта, которые вы можете настроить, — это автосогласование, скорость и дуплексный режим для каждого порта uPIM, и эти параметры являются необязательными.

Обзор переключения портов Ethernet для устройств безопасности

Некоторые порты на устройствах Juniper Networks могут функционировать как коммутаторы доступа Ethernet, которые коммутируют трафик на уровне 2 и маршрутизируют трафик на уровне 3.

Поддерживаемые устройства можно развернуть в филиалах в качестве коммутатора доступа или настольного коммутатора со встроенной функцией маршрутизации, что позволит исключить промежуточные коммутаторы доступа из топологии вашей сети. Порты Ethernet обеспечивают коммутацию, а модуль маршрутизации обеспечивает функции маршрутизации, что позволяет использовать одно устройство для обеспечения маршрутизации, коммутации доступа и интерфейсов глобальной сети.

Эта тема содержит следующие разделы:

Поддерживаемые устройства и порты

Juniper Networks поддерживает функции коммутации на различных портах и ​​устройствах Ethernet (см. Таблицу 1). Поддержка платформы зависит от выпуска ОС Junos в вашей установке. Включены следующие порты и устройства:

Встроенные порты Ethernet (встроенные порты Gigabit и Fast Ethernet) на устройствах SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M и SRX1500.

Многопортовый Gigabit Ethernet XPIM на устройстве SRX650.

Встроенные порты Fast Ethernet (fe-0/0/0 и fe-0/0/7)

Встроенные порты Gigabit Ethernet (ge-0/0/0 и ge-0/0/1) и 1 порт Gigabit Ethernet SFP Mini-PIM.

Встроенные порты Fast Ethernet (fe-0/0/2 и fe-0/0/7)

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/7) и 1 порт Gigabit Ethernet SFP Mini-PIM.

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/15) и 1 порт Gigabit Ethernet SFP Mini-PIM.

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/7)

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/7)

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/15)

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/15)

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/9, многопортовые модули XPIM Gigabit Ethernet и 1-портовый порт Gigabit Ethernet SFP Mini-PIM.

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/9 и многопортовые модули Gigabit Ethernet XPIM.

Многопортовые модули Gigabit Ethernet XPIM

На устройствах SRX650 коммутация Ethernet не поддерживается на интерфейсах Gigabit Ethernet (порты от ge-0/0/0 до ge-0/0/3).

Встроенные порты Gigabit Ethernet (от ge-0/0/0 до ge-0/0/19)

На SRX100. В устройствах SRX220, SRX240, SRX300, SRX320, SRX340 и SRX345 встроенные порты Gigabit Ethernet можно настроить для работы в качестве коммутируемых или маршрутизируемых портов. (Поддержка платформы зависит от версии ОС Junos в вашей установке.)

Интегрированный мост и маршрутизация

Встроенные функции моста и маршрутизации (IRB) обеспечивают одновременную коммутацию уровня 2 и маршрутизацию уровня 3 в одной сети VLAN. Пакеты, поступающие на интерфейс VLAN, коммутируются или маршрутизируются на основе MAC-адреса назначения пакета. Пакеты с MAC-адресом маршрутизатора в качестве пункта назначения перенаправляются на другие интерфейсы уровня 3.

Протокол обнаружения канального уровня и обнаружение конечных точек LLDP-Media

Устройства используют протокол обнаружения канального уровня (LLDP) и LLDP-Media Endpoint Discovery (MED) для получения и распространения информации устройства о сетевых каналах. Эта информация позволяет устройству быстро идентифицировать различные системы, в результате чего локальная сеть работает бесперебойно и эффективно.

Устройства с поддержкой LLDP передают информацию в сообщениях Type Length Value (TLV) соседним устройствам. Информация об устройстве может включать такие особенности, как шасси и идентификация порта, а также имя системы и возможности системы. TLV используют эту информацию из параметров, которые уже настроены в ОС Junos.

LLDP-MED делает еще один шаг вперед, обмениваясь сообщениями IP-телефонии между устройством и IP-телефоном. Эти сообщения TLV предоставляют подробную информацию о политике Power over Ethernet (PoE). TLV управления PoE позволяют портам устройств сообщать о необходимом уровне мощности и приоритете мощности. Например, устройство может сравнить мощность, необходимую IP-телефону, работающему на интерфейсе PoE, с доступными ресурсами.Если устройство не может обеспечить ресурсы, необходимые для IP-телефона, устройство может согласовать с телефоном до тех пор, пока не будет достигнут компромисс по мощности.

Поддерживаются следующие основные TLV:

Идентификатор шасси — MAC-адрес, связанный с локальной системой.

Идентификатор порта – идентификатор указанного порта в локальной системе.

Описание порта — описание порта, настроенное пользователем. Описание порта может содержать не более 256 символов.

Имя системы — заданное пользователем имя локальной системы. Имя системы может содержать не более 256 символов.

Обзор функций переключения. Эта информация не настраивается, а берется из программного обеспечения.

Возможности системы — основная функция, выполняемая системой. Возможности, которые поддерживает система; например, коммутация Ethernet или маршрутизатор. Эта информация не настраивается, а зависит от модели продукта.

Адрес управления — IP-адрес управления локальной системы.

Поддерживаются следующие LLDP-MED TLV:

Возможности LLDP-MED — TLV, который объявляет основную функцию порта. Диапазон значений от 0 до 15:

3 — Увеличенная мощность за счет оборудования источника питания интерфейса, зависящего от среды (MDI-PSE)

Значения класса устройства LLDP-MED:

0 — класс не определен

1 — устройство класса 1

2 — устройство класса 2

3—устройство класса 3

4 – устройство для подключения к сети

Начиная с Junos OS Release 15.1X49-D60 и Junos OS Release 17.3R1, протокол обнаружения канального уровня (LLDP) и LLDP-Media Endpoint Discovery (MFD) включены на устройствах SRX300, SRX320, SRX340, SRX345, SRX550M и SRX1500. .

Сетевая политика — TLV, который объявляет конфигурацию порта VLAN и связанные атрибуты уровня 2 и уровня 3. Атрибуты включают идентификатор политики, типы приложений, например голосовое или потоковое видео, теги 802.1Q VLAN, а также биты приоритета 802.1p и кодовые точки Diffserv.

Расположение конечной точки – TLV, сообщающий о физическом расположении конечной точки.

Расширенное питание через MDI — TLV, в котором сообщается тип питания, источник питания, приоритет питания и значение мощности порта. Устройство PSE (устройство сетевого подключения) отвечает за объявление приоритета мощности на порту.

LLDP и LLDP-MED должны быть явно настроены на uPIM (в расширенном режиме коммутации) на базовых портах на устройствах SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 и SRX345, а также на модулях физического интерфейса гигабитной объединительной платы (GPIM) на устройства SRX650. (Поддержка платформы зависит от версии операционной системы Junos в вашей установке.) Чтобы настроить LLDP на всех интерфейсах или на определенном интерфейсе, используйте оператор lldp на уровне иерархии [ set protocols ]. Чтобы настроить LLDP-MED на всех интерфейсах или на определенном интерфейсе, используйте оператор lldp-med на уровне иерархии [ set protocols ].

Типы портов коммутатора

Порты или интерфейсы коммутатора работают либо в режиме доступа, либо в режиме магистрали.

Интерфейс в режиме доступа подключается к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам интерфейс принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet.

Транковые интерфейсы обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов друг с другом.

uPIM в последовательной цепочке

Невозможно объединить несколько модулей uPIM в единый интегрированный коммутатор. Однако вы можете подключить uPIM к одному и тому же корпусу извне, физически подключив порт одного uPIM к порту другого uPIM по последовательной цепочке.

Настройте IP-адрес только для одного из последовательно подключенных модулей uPIM, сделав его основным модулем uPIM. Вторичный uPIM направляет трафик на первичный uPIM, который перенаправляет его в модуль маршрутизации. Это приводит к некоторому увеличению задержки и отбрасыванию пакетов из-за переподписки по внешней ссылке.

Поддерживается только одна ссылка между двумя uPIM. Соединение более чем одного канала между uPIM создает топологию петли, которая не поддерживается.

Тегирование Q-in-Q VLAN

Туннелирование Q-in-Q, определяемое стандартом IEEE 802.1ad, позволяет поставщикам услуг в сетях доступа Ethernet расширять соединение Ethernet уровня 2 между двумя сайтами клиентов.

При туннелировании Q-in-Q, когда пакет перемещается из сети VLAN клиента (C-VLAN) в сеть VLAN поставщика услуг, к пакету добавляется тег 802.1Q, специфичный для поставщика услуг. Этот дополнительный тег используется для разделения трафика по VLAN, определяемым поставщиком услуг (S-VLAN). Первоначальный тег клиента 802.1Q пакета остается и передается прозрачно, проходя через сеть поставщика услуг. Когда пакет покидает S-VLAN в нисходящем направлении, дополнительный тег 802.1Q удаляется.

Если туннелирование Q-in-Q настроено для VLAN поставщика услуг, все пакеты Routing Engine, включая пакеты из , которые передаются из клиентского порта доступа этой VLAN, всегда будут непомеченными.

Существует три способа сопоставления C-VLAN с S-VLAN:

Объединение «все в одном» — используйте оператор dot1q-tunneling на уровне иерархии [ edit vlans ] для сопоставления без указания клиентских VLAN. Все пакеты от определенного интерфейса доступа сопоставляются с S-VLAN.

Объединение «многие к одному» — используйте оператор customer-vlans на уровне иерархии [ edit vlans ], чтобы указать, какие C-VLAN сопоставляются с S-VLAN.

Сопоставление C-VLAN на определенном интерфейсе. Используйте оператор сопоставления на уровне иерархии [ edit vlans ], чтобы сопоставить конкретную C-VLAN на указанном интерфейсе доступа с S-VLAN.

В таблице 2 перечислены сопоставления C-VLAN и S-VLAN, поддерживаемые на устройствах серии SRX. (Поддержка платформы зависит от версии ОС Junos в вашей установке.)

Читайте также:

  
• Презентация Playstation, в какое время
  
• Как установить приложение ozone на компьютер
  
• Бортовой компьютер приора 1 что показывает
  
• Как играть вдвоем на Nintendo Switch
  
• Моноблок и сплит-система в чем разница