Please enable JavaScript.
Coggle requires JavaScript to display documents.
Функции обеспечения безопасности и ограничения доступа к сети - Coggle…
Функции обеспечения безопасности и ограничения доступа к сети
Аутентификация пользователей 802.1Х
Сервер аутентификации Remote Authenticationin Dial-In User Service (RADIUS) проверяет права доступа клиента, прежде чем разрешить доступ к сервисам, предоставляемых коммутатором или локальной сетью
пока клиент не будет аутентифицирован, через порт коммутатора будет передаваться только трафик протокола Extensible Authentication Protocolover LAN (EAPOL)
Роли устройств
Клиент (Client/Supplicant) – рабочая станция, которая запрашивает доступ к локальной сети и отвечает на запросы коммутатора
Сервер аутентификации (AuthenticationServer) выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор о предоставлении или отказе клиенту в доступе к локальной сети.
Аутентификатор (Authenticator) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации
При аутентификации 802.1X на основе портов (Port-Based 802.1X) после того как порт был авторизован любой компьютер, подключенный к нему, может получить доступ к сети
аутентификация 802.1Х на основе МАС-адресов (MAC-Based 802.1Х)– это аутентификация клиентов на одном порте коммутатора. При аутентификации 802.1Х на основе МАС-адресов проверяются имя пользователя/пароль, их количество.
Состояние портов коммутатора
определяется успехом или неудачей аутентификации
Если клиент, не поддерживающий 802.1X, подключается к неавторизованному порту 802.1X, коммутатор посылает клиенту запрос на авторизацию
когда клиент с поддержкой 802.1X подключается к порту, на котором не поддерживается протокол 802.1X, он начинает процесс аутентификации, посылая кадр 20EAPOL-start
При завершении клиентом сеанса работы он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состояние
802.1Х Guest VLAN
используется для создания гостевой VLAN с ограниченными правами для пользователей не прошедших аутентификацию
если клиент не прошел аутентификацию, он помещается в Guest VLAN с ограниченными правами доступа
Функции защиты ЦПУ коммутатора
Safeguard Engine
разработана для обеспечения доступности коммутатора в ситуациях, когда в результате наводнения сети вредоносным трафиком его ЦПУ испытывает сильную загрузку и не может надлежащим образом обработать пакеты протоколов
режим высокой загрузки (Exhausted mode)
прекратить получение всех ARP-пакетов и широковещательных IP-пакетов
ограничить полосу пропускания для получаемых ARP-пакетов и широковещательных IP-пакетов путем ее динамического изменения
Interface Filtering
ограничивает пакеты,поступающие для обработки на ЦПУ путем фильтрации нежелательного трафика на программном уровне