Рисунок 13 - Пример использования функции Traffic Segmentation

Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.

Перед выполнением работы лабораторной работы необходимо вернуть настройки коммутатора к заводским командой:

reset config

Примечание: перед созданием новой VLAN используемые в ней порты необходимо удалить VLAN по умолчанию, т. к. в соответствии со стандартом IEEE 802.1q немаркированные порты не могут одновременно принадлежать нескольким VLAN.

Настройка коммутатора 1

Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:

config vlan default delete 1-16

Настройте порт 25 маркированным во vlan default:

config vlan default add tagged 25

Создайте VLAN v2 и v3, добавьте соответствующие VLAN порты, которые необходимо настроить немаркированными. Настройте порт 25 маркированным:

create vlan v2 и v3

config vlan v2 add untagged 1-8

config vlan v3 add tagged 25

create vlan v3 tag 3

config vlan v3 add untagged 9-16

Проверьте настройку VLAN:

show vlan

Проверьте доступность соединения между рабочими станциями командой ping:

ping <ip address>

от ПК 1 к ПК 3

от ПК 2 к ПК 4

от ПК 1 к ПК 2 и ПК 4

от ПК 2 к ПК 1 и ПК 3

Настройте сегментацию трафика:

config traffic_segmentation 9-16 forward_list 25

Проверьте выполненные настройки:

show traffic_segmentation

Подключите ПК 1 к порту 9 коммутатора.

Проверьте доступность соединения между рабочими станциями командой ping:

ping <ip-address>

От ПК 1 к ПК 2

От ПК 1 к ПК 4

Запишите, что вы наблюдаете.

2.5. Лабораторная работа 5 «Списки контроля доступа (Access Control List, ACL)»

Списки контроля доступа являются средством фильтрации потоков данных без потери производительности, т. к. проверка содержимого пакетов данных выполнятся аппаратно. Фильтруя потоки данных, администратор может ограничить типы приложений разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться.

Списки контроля доступа (Access Control list, ACL) представляют собой последовательность условий проверки параметров пакетов данных. При поступлении сообщения на входной интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL и выполняет над пакетами одно из действий: permit (разрешить) или deny (запретить).

Списки контроля доступа (Access Control list, ACL) состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т. д.), а в правилах указываются непосредственно значения их параметров. Каждый профиль может состоять из множества правил. Цель работы: настроить списки контроля доступа на коммутаторе D-Link, используя в качестве критериев фильтрации MAC и IP-адреса. Оборудование: коммутатор DES-3200-10, рабочая станция консольный кабель.

Настройка ограничения доступа пользователей к серверу по IP-адресам

Рисунок 14 Ограничение доступа к серверу по IP-адресам

Разрешить доступ к серверу компьютерам с IP-адресами в диапазоне от 10.90.90.101/24 до 10.90.90.104/24. Остальным компьютерам сети 10.90.90.105/24 до 10.90.90.108/24 доступ к серверу запретить.

Правило 1

Если IP-адрес источника попадает в диапазон от 10.90.90.101 до 10.90.90.104 (подсеть 10.90.90.91/24) - доступ разрешить (permit).

Правило 2

Если IP-адрес источника попадает в диапазон 10.90.90.105 до 10.90.90.108 доступ запретить.

Правило 3

Иначе, разрешить доступ всем узлам.

Настройка коммутатора 1

Перед выполнением задания необходимо вернуть настройки коммутатора к заводским командой:

reset config

Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:

config vlan default delete 1-8

Создайте VLAN v2 и добавьте соответствующие порты, которые необходимо настроить немаркированными. Настройте порт 2 маркированным:

create vlan v2 tag 2

config vlan v2 add untagged 1-8

config vlan v2 add tagged 2

Проверьте настройки VLAN:

show vlan

Повторите процедуру настройки для коммутатора 2.

Проверьте доступность соединения между ПК 1 и ПК 2 командой ping:

Ping <ip-address>

Правило 1

Создать профиль доступа с номером 1, разрешающий доступ для подсети 10.90.90.91/24 (узлам с 101 по 104):

create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.255.0

Создать правило для профиля доступа 1:

config access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.91 port 2 permit

Правило 2

Создать профиль доступа с номером 2, запрещающий остальным станциям доступ к серверу:

create access_profile profile_id 2 profile_name 2 ip source_ip_mask 255.255.255.0

Создайте правило для профиля доступа 2:

config access_profile profile_id 2 add access_id 1 ipsource_ip 10.90.90.91 port 2 deny

Созданное правило запрещает прохождение через порт 25 трафика, который принадлежит сети 10.90.90.91/24, но не входит в разрешенный диапазон.

Правило 3

Иначе, разрешить доступ всем узлам.

Проверьте созданные профили:

show access_profile

1) Что вы наблюдаете? Сколько профилей создано, сколько в них правил?

2) Подключите рабочую станцию, как показано на рисунке (с адресом из диапазона 10.90.90.101 до 10.90.90.104) к коммутатору 2. Протестируйте командой ping соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.

3) Измените IP-адрес рабочей станции ПК 1 (задайте адрес из диапазона 10.90.90.105/24 - 10.90.90.108/24) Протестируйте соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.

Удалите профиль ACL (например, профиль 2):

delete access_profile profile_id 2

Проверьте соединение с сервером командой ping:

ping 10.90.91.91

Запишите, что вы наблюдаете.

Настройка фильтрации кадров по MAC-адресам

Настроить профиль доступа так, чтобы кадры, принимаемые на любой порт коммутатора от ПК3 (с MAC-адресом 00-50-ba-22-22-22) зеркалировались (копировались) на целевой порт коммутатора, к которому подключено устройство мониторинга сети.

Рисунок 15 Фильтрация кадров по MAC-адресам

Замените MAC-адреса, указанные в командах на реальные MAC-адреса рабочих станций, подключаемых к коммутатору.

Формулировка правила: если MAC-адрес источника равен MAC-адресу ПК 3 (00-50-ba-22-22-22) , то следует копировать кадры на целевой порт.

Создать профиль доступа 3:

create access_profile profile_id 3 profile_name 3 ethernet source_mac 00-50-ba-22-22-22

Создать правило для профиля доступа 3, в результате выполнения которого кадры, принимаемые на порт коммутатора с ПК 3, будут зеркалироваться на любой порт.

config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-50-ba-22-22-22 port all mirror

Включите функцию зеркалирования портов глобально на коммутаторе:

enable mirror

Укажите целевой порт:

config mirror port 8

Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.

Подключите рабочую станцию ПК 3 к порту 8 на коммутаторе.

Проверьте доступность соединения между ПК 2 и ПК 3 командой ping.

Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.

Удалите все профили ACL:

delete access_profile all

Отключите функцию зеркалирования портов:

disable mirror

Глава 3. Меры безопасности при работе с коммутаторами

Коммутатор является сложным техническим устройством и требует соблюдения ряда мер предосторожности при работе.

Питание прибора осуществляется от сети напряжением 220 В, которое может быть опасным для жизни, поэтому:

- не открывайте крышку включенного прибора все необходимые элементы управления и коммутационные разъемы вынесены на переднюю и заднюю сторону прибора;

- не подвергайте прибор воздействию избыточного тепла и влажности. После перевозки в зимних условиях перед включением в сеть необходимо дать ему прогреться в течение 2 - 3 часов;

- для чистки корпуса используйте сухую или слегка влажную салфетку. Не пользуйтесь растворителями, не допускайте попадания внутрь корпуса влаги, кислот и щелочей.

Особое внимание следует уделить заземлению. Пожалуйста, придерживайтесь следующих рекомендаций:

- сделайте в рабочем помещении надежную земляную шину;

- используйте трехпроводную сеть 220 В (фаза, «ноль», «земля») для питания прибора и других устройств, оснащенных европейскими розетками;

- подключите все устройства, имеющие клемму «земля», к шине заземления, для каждого устройства используйте отдельный провод;

- используйте отдельную силовую сеть для подключения мощных потребителей электроэнергии.

Заключение

Защита информации в компьютерных сетях является важным фактором, поэтому ее потеря или разглашение недопустимо. Нужно помнить, что злоумышленники ведут охоту за конфиденциальными данными. При этом личные данные сотрудников им не всегда интересны, а вот секретная информация предприятия, разглашение которой может принести непоправимый урон развитию бизнеса и чревато большими убытками,

В ходе данной дипломной работы были рассмотрены теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link. Рассмотрены назначения и функции коммутаторов, а так же рассмотрены, используемые в данной работе коммутаторы D-Lnk. Дана классификация угрозам сетевой безопасности и приведены возможности коммутаторов D-Link по обеспечению сетевой безопасности.

Разработаны методические указания к лабораторному практикуму для студентов НТГМК по следующим направлениям: базовые настройки коммутаторов по обеспечению сетевой безопасности, функция Trusted Hosts, Port Security и IP-MAC-Port Binding, списки контроля доступа (Access Control List, ACL) и сегментация трафика.

Рассмотрены основные меры безопасности при работе с коммутационным оборудованием.

Список литературы

Печатные издания:

1. Борисенко А.А. Локальная сеть. Просто как дважды два. ? Москва, 2007.

2. Гольдштейн Б., Соколов В. Автоматическая коммутация. ? Москва, 2007.

3. Григорьев В.М. Виртуальная лаборатория по компьютерным сетям. ? Днепропетровск, 2011.

4. Кузин А.В. Компьютерные сети: - 3-е изд. Москва, 2009.

5. Крейг Хант. Сетевое администрирование: - 3-е изд. - СПб - Москва, 2008.

6. Лимончелли Т., Хоган К., Чейлап С. Системное и сетевое администрирование. ? СПб: Питер, 2010.

7. Олифер В.Г., Олифер Н.А. Компьютерные сети, принципы, протоколы, технологии: - 2-е изд. - СПб: Питер, 2010.

8. Олифер В.Г., Олифер Н.А. Основы компьютерных сетей. ? СПб: Питер, 2009.

9. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. - 2-е изд. - СПб: Питер, 2009.

10. Палмер М. Проектирование и внедрение компьютерных сетей. ? СПб: Питер, 2004.

11. Пескова С.А., Кузин А.В., Волков А.Н. Сети и телекоммуникации. ? Москва, 2008.

12. Руденков Н.А., Долинер Л.И. Основы сетевых технологий. ? Екатеринбург, 2011.

13. Смирнова Е., Козик П. Технологии современных сетей Ethernet. Методы коммутации и управления потоками данных. ? СПб: Питер, 2012.

14. Смирнова Е., Пролетарский А., Ромашкина Е. Технологии коммутации и маршрутизации в локальных компьютерных сетях. ? Москва: Издательство МГТУ им. Н.Э. Баумана, 2013.

Размещено на Allbest.ur