Теперь после первой смены MAC-адреса на первом компьютере он по-прежнему имел доступ к сети (второй адрес был занесен в динамическую таблицу коммутатора), а задав ему третий MAC-адрес, отличный от первых двух, мы убедились, что доступ к сети стал ему запрещен.
К сожалению, нам не удалось ни найти в документации, ни обнаружить самостоятельно способа настройки статической таблицы MAC-адресов коммутатора, несмотря на то, что такая возможность заявлена в описании устройства на сайте производителя.
Конфигурирование сегментации трафика нами выполнялось посредством веб-интерфейса коммутатора, в разделе «QoS/Traffic Segmentation» (см. рис. 5).
Рис. 5. Веб-интерфейс настройки сегментации трафика
Требовалось изолировать первый и второй компьютеры друг от друга, но разрешить им общий доступ к файловому серверу локальной сети и интернет-шлюзу. Для этого портам коммутатора были заданы следующие настройки сегментации (см. рис. 6, слева):
· для портов 1 и 24 передача трафика разрешена только на порт 9;
· для порта 9 передача трафика разрешена только на порты 1 и 24.
Проверка при помощи утилиты ping показала, что требование было выполнено: пакеты между первым и вторым компьютером не проходили, а доступ к ресурсам локальной сети был успешно получен с обоих компьютеров. Однако данное ограничение доступа оказалось легко обойти: достаточно подключить кабель, соединяющий компьютер с коммутатором, к другому свободному порту, и тогда снова становится разрешен неограниченный доступ этого компьютера к сети. Чтобы устранить этот недостаток, для всех портов, кроме 1, 9 и 24 передача трафика была запрещена на любой порт, то есть фактически эти порты были отключены (см. рис. 6, справа). Теперь разграничение доступа к сети стало невозможно обойти без изменения настроек коммутатора.
Рис. 6. Таблицы сегментации трафика: слева незадействованные порты остались без внимания при настройке; справа передача трафика на них запрещена
Конфигурирование сегментации трафика нами выполнялось посредством веб-интерфейса коммутатора, в разделе «Access Profile Table» (см. рис. 7).
Рис. 7. Веб-интерфейс профилей управления доступом
Требовалось разрешить доступ к интернет-шлюзу локальной сети только первому компьютеру (по MAC-адресу), а всем остальным компьютерам доступ в интернет надо было запретить. Это было сделано при помощи последовательного создания на коммутаторе двух профилей доступа:
1) Первый профиль содержит единственное правило, разрешающее первому компьютеру (с MAC-адресом 00-0D-61-83-A3-AC) доступ к интернет – шлюзу (его MAC-адрес – 00-11-95-61-CF-E0). По нажатию кнопки «Add» в разделе настройки профилей доступа, изображенном на рис. 7, появился диалог задания параметров профиля, в котором были заданы следующие значения (см. рис. 8): Profile ID – 1 (уникальный идентификатор профиля); Type – Ethernet (поскольку профиль будет работать на канальном уровне); критерии (поля, отмеченные галочками) – Source MAC и Destination MAC с маской FF-FF-FF-FF-FF-FF, то есть сравнению по MAC-адресам источника и получателя будут подвергаться все пакеты канального уровня, проходящие через коммутатор.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.