tonny_bennet писал(а):
Если есть адекватные мануалы о том как у D-Link работает эта система? Или может кто-то на пальцах сможет рассказать как это всё функционирует? А то там 6 профилей, в которых вроде бы задаётся один фильтр, а внутри ещё 256 правил, в которых фильтра нет но начинают работать действия.
Пожалуйста помогите разобраться.
Цитата:
Списки управления доступом (Access Control List, ACL) являются средством фильтрации потоков данных без потери производительности, так как проверка содержимого пакетов данных выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться. Также ACL могут использоваться для определения политики QoS путем классификации трафика и переопределения его приоритета.
ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL, и выполняет над пакетами одно из действий: Permit (Разрешить) или Deny (Запретить). Критерии фильтрации могут быть определены на основе следующей информации, содержащейся в пакете данных:
* порт коммутатора;
* MAC/IP-адрес;
* тип Ethernet /тип протокола;
* VLAN ;
* 802.1p/DSCP ;
* порт TCP/UDP (тип приложения);
* первые 80 байт пакета, включая поле данных.
Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указываются значения их параметров. Каждый профиль может состоять из множества правил.
Когда коммутатор получает кадр, он проверяет его поля на совпадение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор проверяет кадр на совпадение с параметрами фильтрации, определяется порядковым номером профиля (Profile ID) и порядковым номером правила (Rule ID). Профили доступа и правила внутри них работают последовательно, в порядке возрастания их номеров, т.е. кадр проверяется на соответствие условиям фильтрации, начиная с первого профиля и первого правила в нем. Так, кадр сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры кадра не подходят под условия проверки, то далее кадр будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами кадра, то коммутатор продолжит проверку на совпадение параметров кадра с условиями правила 1 следующего профиля. При первом совпадении параметров кадра с правилом, к нему будет применено одно из действий, определенных в правиле: «Запретить», «Разрешить» или «Изменить содержимое поля пакета» (приоритет 802.1р/ DSCP). Далее кадр проверяться не будет. Если ни одно из правил не подходит, то применяется политика по умолчанию, разрешающая прохождение всего трафика.
Вход
Регистрация
FAQ
Поиск
