Implementace řízení přístupu koncových zařízení k access switchům

Popis funkcionality

Řízení access switchů lze využít při provozování ETTH/FTTH (Ethernet/Fiber To The Home) sítí tzn. k připojování zákaznických zařízení pomocí přístupových switchů. Klientské zařízení (síťové zakončení) získá IP z DHCP na základě id switche a portu, přes který je připojen. Tyto informace přidává do parametru Option 82 v DHCP Requestu přístupový switch. Přidělení IP není závislé na MAC klientského zařízení tzn. je možné zařízení měnit bez nutného zásahu administrátora. Na daném portu je umožněna komunikace pouze pro tu IP adresu, ktera byla přidělena DHCP serverem, což zajišťuje ochranu proti podvržení IP např. statickou konfigurací IP adresy.

Požadavky na HW

Pro bezproblémový provoz je na přepínači vyžadována funkce DHCP Snooping, která umožňuje definovat na jakých portech lze komunikovat jako DHCP server, filtruje nedůvěryhodné DHCP zprávy a na základě validních DHCP odpovědí vytváří tabulku připojení na portu (ID portu, IP, MAC, VLAN) . Dále pro zajištění komunikace pouze pro správnou IP adresu, je využívána funkce IP Source Guard (pojmenování se může lišit podle výrobce), která využívá tabulku připojení a blokuje na portech nepovolené IP adresy resp. adresy, které nebyly přiděleny DHCP serverem. Pokud není tato funkce k dispozici tak lze obdobného výsledku dosáhnout konfigurací ACL na jednotlivých portech.

Další vlastnost, kterou by měl dispovat použitý přepínač, je možnost poslat SNMP Trap při změně stavu portu UP/DOWN. Funkce je potřeba pro okamžité uvolnění přidělené IP adresy koncovému zařízení. Bez této funkce je nutné nastavit krátké délky zapůjčky (Lease Time) na DHCP serveru. Nevýhodou je pak nutnost čekat na vypršení zápůčky IP při změně koncového zařízení a možná vyšší zátěž DHCP serveru.

Otestovaný HW

Cisco 3750, 2960, ME3400
SMC 6128
Allied AT-8000s

Nastavení v CIBS

Na zařízení switch je potřeba nadefinovat parametr DHCP Remote ID, což je MAC adresa switche. Parametr Konfigurace zařízení chatskriptem určuje, zda bude switch automaticky konfigurován při aktualizaci zařízení v CIBSu (např. z důvodu definice ACL na portech). Pokud má být switch konfigurován je vyžadováno zadání přístupových údajů (login a heslo). Konfigurace probíhá zasíláním příkazů přes Telnet/SSH. Swich musí mít také nastavenou roli AP (ikona ), aby bylo možné pod něj připojovat klienty resp. síťová zakončení.

Dále je potřeba nadefinovat rozhraní switche a zadat správný název odpovídající názvu, který je použit v konfiguraci switche.

Na každém rozhraní, za kterým bude připojeno klientské zařízení (síťové zakončení), je nutné nadefinovat parametr DHCP Circuit ID (číslo portu 1, 2, 3 apod.). Tento je pak porovnán s hodnotou z pole Option 82 v DHCP reguestu.

Paramert DHCP Circuit ID se při vytvoření síťového zakončení přenáší do parametru DHCP Circuit ID na rozhraní vytvořeného síťového zakončení. Je proto vhodné kontrolovat shodu těchto parametrů na rozhraní switche [v tabulce Interface u switche kliknout na řádek s eth 1/x (neklikat na název interface)] a síťového zakončení [v tabulce Interface u síťového zakončení kliknout na řádek s eth0 (neklikat na název interface)] při přesunech a manipulaci se síťovým zakončením.

Za jednotlivé porty switche jsou pak připojeny síťová zakončení s parametrem DHCP Client. Je potřeba dát pozor na správné nastavení uplinkových portů u síťových zakončení a pro uplink vlastního switche - tento port pak není konfigurován při zvolení parametru Konfigurace zařízení chatskriptem na daném přepínači.

Konfigurace DHCP v CIBSu

Pro správné přidělování IP adres je nutné nakonfigurovat dhcp podsítě. Rozsahy se nastavují per interface v sadě parametrů Nastavení DHCP.