Аутентификация

• Проверка учётных данных пользователя (в том числе шифрованных) по запросу обслуживаемой системы

Авторизация

• Выдача состояния блокировки учётной записи пользователя

• Выдача разрешения к той или иной услуге

• Сортировка данных на основе анализа статистической информации (например динамическая маршрутизация) и выдача результата сортировки по запросу

Учёт (Accounting)

• Онлайн-учёт средств абонента: уведомления о начале и конце сессии со стороны обслуживаемой системы

• Промежуточные сообщения о продолжении сессии (Interim-пакеты)

• Автоматическое принудительное завершение действия сессии на обслуживаемой системе в рамках услуги (packet of disconnection)

• BOOT message — специальный пакет, который отправляется телекоммуникационной системой на RADIUS-сервер при запуске (перезапуске) системы, с целью принудительного завершения всех сессий

«Security» (меню 802.1х)

См. Руководство пользователя. Управляемые коммутаторы 10/100Мбит/с Fast Ethernet ВЕРСИЯ I. D-Link ™ DES-3028/DES-3028P/DES-3052/DES-3052P

Меню «Клиент 802.1х wpa_supplicant»

См. Руководство пользователя. Управляемые коммутаторы 10/100Мбит/с Fast Ethernet ВЕРСИЯ I. D-Link ™ DES-3028/DES-3028P/DES-3052/DES-3052P

Задание

Порядок выполнения работы:

1. Соберите сеть с топологией, представленной на рисунке.

Рисунок 57. Топология коммутируемой сети.

2. Изучите раздел 2.7 «Протокол IEEE 802.1х» теоретического пособия и раздел 4.12 «RADIUS-сервер freeradius»

3. Настроить сервер RADIUS, используя утилиту freeradius.

3.1 Установить сервер RADIUS на 2 машину. Для удобства работы с сервером используем NotePAD

3.2 Просмотрим в NotePAD файл сервера RADIUS clients.conf , строки 105, 106, 107 (для сети 10.0.0.0 пароль testing123)

4. Изучить раздел 2.5 «Security» (меню 802.1х)

5. Включите протокол 802.1х на коммутаторе. Используйте авторизацию на основе портов

5.1 Заходим на коммутатор с адресом 10.90.90.90 (* отключить прокси сервер)

5.2 Включаем протокол 802.1х

6 Переведите порт коммутатора к которому подключен клиент 802.1х, в неавторизированное состояние

Настраиваем порт 1, к которому подключена машина 1, как клиента 802.1х

7. Изучите раздел 4.13 «Клиент 802.1х wpa_supplicant»

9 Запустите клиента 802.1х

7. Настройте клиента 802.1х используя утилиту wpa_supplicant

CONECT (должна соединиться)

Пароль см в файле user.conf (строка 87 имя rfc3580 пароль demo)

10 Проверьте успешность авторизации порта путем:

10.1 Взаимодействия между машинами (при успешных настройках CONECT)

10.2 анализ журнала (логов) клиента 802.1х

10.3 Анализ журнала сервера

Вопросы для самоконтроля.

1. Перечислить функции RADIUS-сервер freeradius.

2. Какимипротоколами пользуется RADIUS-сервер freeradius?

3. Возможности 802.1х.

4. Для чего используем утилиту wpa_supplicant.

Лабораторная работа № 4

Тема: Списки контроля доступа ACL

Цель работы

Изучение технологии Access Control Lists

Используемое оборудование

Типовой комплект учебного оборудования «Корпоративные компьютерные сети» производства Научно-производственного предприятия «Учебная техника – Профи» г. Челябинск

Теоретический материал

Списки контроля доступа

Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

ACL (Access Control Lists) – списки контроля доступа, могут использоваться в большом количестве различных сетевых операций, таких как управление маршрутизацией, контроля доступа к маршрутам, фильтрации системных выводов с CLI интерфейсов и коля над параметрами внешних шлюзов, таких как BGP AS-path. ACL, также могут использоваться для контроля доступа к NAT (Network Address Translation - преобразование сетевых адресов) или фильтрации протоколов не относящихся к IP. В зависимости от опций, установленных на Cisco IOS (Internetwork Operating System — Межсетевая Операционная Система), ACL могут быть использованы для шифрования.

В коммутаторах FCoE, ACL в основном используются на уровнях доступа, они фильтруют трафик и контролируют управление маршрутизацией. Фильтрация может выполняться на основе IP, MAC, VLAN адресов, а также на основе номеров портов UDP/TCP.

ACL, представляют собой набор правил и действий, разделенных порядковыми номерами. Действия в ACL, называются ACE (Access Control Entries – записи контроля доступа). Каждая ACE запись, определяет, какое действие с пакетом разрешено или запрещено выполнять. Чтобы выполнилось правило, все условия должны быть выполненными. В каждом правиле, можно указать источник и направление трафика, который удовлетворяет правилу. Также можно указать в качестве источника и получателя определенный узел или группу узлов в сети, или сеть (подсеть) целиком.

Неявные запрещающие списки ACL, имеют неявные правила. Эти правила не видны в рабочей конфигурации. Коммутатор исполняет эти правила, когда трафик не попадает ни под одно из описанных в ACL правил. Все списки ACL для IP (IPv4), включают в себя неявное правило “deny ip any any”. Данное правило запрещает прохождение через коммутатор IP трафика, который не описан ни в одном правиле. Чтобы отменить это правило для IP ACL, нужно выполнить команду“permit ip any any”. Если данную команду не прописать в конец ACL, то всегда будет выполняться правило “deny ip any any”, которое скрыто в списке каждого ACL.

Шаблонная маска (wildcard mask)

Шаблонные маски используются для включения большого количества адресов в политику или ACE. Например:

Пример 1

deny ip 10.0.0.0 0.0.0.255

Пример 2

deny ip 10.0.0.1 0.0.0.0

В первом примере ACE, все узлы в сети с маской 10.0.0.0/24, включены в запрещающее правило.

Во втором примере ACE, узел с адресом 10.0.0.1, включен в запрещающее правило.

Шаблонная маска интерпретируется коммутатором, как двоичная маска, в которой значение бита, установленного в 1, означает совпадением с любым битом, находящегося в соответствующей позицией бита в IP адресе.

Значение бита равным 0, означает обратное. Поэтому, если требуется блокировать только один узел, то маска должна содержать одни нули, 0.0.0.0, как показано во втором примере.

Также можно заблокировать только один сетевой IP адрес в ACE, при помощи команды “ host ”. Вместо команды deny ip 10.0.0.1 0.0.0.0, можно выполнить deny ip host 10.0.0.1.

Меню «Access Control List»

См. Руководство пользователя. Управляемые коммутаторы 10/100Мбит/с Fast Ethernet ВЕРСИЯ I. D-Link ™ DES-3028/DES-3028P/DES-3052/DES-3052P

Задание

1. Собрать сеть с топологией показанной на рисунке

2. Изучить раздел «Списки контроля доступа» и «ACL» (меню «Access Control List»).

3. Настройте списки контроля таким образом, чтобы:

- ни один из коммутаторов DES-3010 не мог «пропинговать» машину 4;

- машина 1 могла «пропинговать» машину 4;

- машина 2 могла скачать файл с машины 4 (используя FTPпротокол), но не могла получить почтовые сообщения;

- только тот трафик который идет от машины 2 к машине 3 «зеркалиловался» на порт машины 4.

4. Проверить настройки.

Вопросы для самоконтроля.

1. Что такое ACL?

2. Что такое ACE?

3. Как организовать «зеркалирование»?