Добавить в корзинуПозвонить
Найти в Дзене
Сетестрой
37 подписчиков

Настройка фильтрации протоколов на портах коммутатора D-Link

2 мин
на примере коммутатора DGS-1250-28X/RU В современных управляемых коммутаторах D-Link реализована аппаратная функция фильтрации протоколов на уровне порта. Она позволяет блокировать специфичные типы кадров ещё на этапе их поступления в коммутатор, не пропуская их в общую сеть. По умолчанию механизм отключен. Ниже рассмотрены принципы работы, команды настройки и практические сценарии использования фильтров dhcp-server, pppoe-server, ipv6 и smb. Фильтрация применяется к входящему (ingress) трафику на указанном порту. Анализ пакетов выполняется на аппаратном уровне (ASIC) по заголовкам L2/L3. Совпадающие кадры отбрасываются. Функция не влияет на пропускную способность и не создаёт нагрузку на CPU коммутатора. Для включения фильтрации необходимо перейти в режим конфигурации интерфейса и применить нужные правила: DGS-1250-28X# configure terminal DGS-1250-28X(config)# interface ethernet 1/0/1 DGS-1250-28X(config-if)# protocol-filter dhcp-server DGS-1250-28X(config-if)# protocol-filter ipv6 DG
на примере коммутатора DGS-1250-28X/RU

В современных управляемых коммутаторах D-Link реализована аппаратная функция фильтрации протоколов на уровне порта. Она позволяет блокировать специфичные типы кадров ещё на этапе их поступления в коммутатор, не пропуская их в общую сеть. По умолчанию механизм отключен. Ниже рассмотрены принципы работы, команды настройки и практические сценарии использования фильтров dhcp-server, pppoe-server, ipv6 и smb.

Фильтрация применяется к входящему (ingress) трафику на указанном порту. Анализ пакетов выполняется на аппаратном уровне (ASIC) по заголовкам L2/L3. Совпадающие кадры отбрасываются.

Функция не влияет на пропускную способность и не создаёт нагрузку на CPU коммутатора.

Для включения фильтрации необходимо перейти в режим конфигурации интерфейса и применить нужные правила:

DGS-1250-28X# configure terminal
DGS-1250-28X(config)# interface ethernet 1/0/1
DGS-1250-28X(config-if)# protocol-filter dhcp-server
DGS-1250-28X(config-if)# protocol-filter ipv6
DGS-1250-28X(config-if)# protocol-filter pppoe-server
DGS-1250-28X(config-if)# protocol-filter smb
DGS-1250-28X(config-if)# end

Для просмотра настроек фильтрации протоколов на портах используется команда:

DGS-1250-28X# show interfaces protocol-filter

Назначение фильтров

  • protocol-filter dhcp-server : фильтрует пакеты DHCP-сервера, отправленный в ответ на запрос клиента с информацией о назначаемом IP-адресе.

Защита клиентских портов от поддельных DHCP-серверов. Предотвращает выдачу подменных IP, DNS, шлюзов. Идеально для портов, к которым подключаются ноутбуки, точки доступа, IoT-устройства.

  • protocol-filter pppoe-server : фильтрует пакеты PPPoE-сервера, отправленный в ответ на запрос клиента о подключении.

В сетях провайдеров или компаний с PPPoE-аутентификацией. Клиентский порт не должен видеть ответы от несанкционированных PPPoE-серверов. Блокировка PADO исключает возможность подключения к сторонним серверам.

  • protocol-filter ipv6 : фильтрует пакеты протокола IPv6.

В сетях, работающих исключительно на IPv4. Предотвращает использование поддельных роутеров, обход L3-файрволов через IPv6.

Важно: если в сети планируется или уже используется IPv6, фильтр применять нельзя.

  • protocol-filter smb : фильтрует пакеты протокола SMB (TCP 139/445, UDP 137-138)

-2

Защита от вредоносного ПО (например, WannaCry, NotPetya и т.п.), несанкционированного обмена файлами. Рекомендуется для гостевых портов, портов видеонаблюдения, принтеров, IP-телефонов и любых устройств, которым не нужен доступ к общим папкам или доменным службам.