5.1. Общие сведения об AM
Функционал AM (Access Management) - управление доступом, заключается в сравнении информации из полученного сообщения (IP-адрес источника или IP-адрес источника + MAC-адрес источника) с записью в пуле адресов. При обнаружении совпадения сообщение передается, в противном случае – отбрасывается. Существует возможность сконфигурировать как список соответствия IP-адреса порту, так и IP-aдреса и MAC-адреса одновременно.
5.2. Конфигурация AM
- Включить функцию AM;
- Настроить записи в IP-таблице;
- Настроить MAC-IP таблице;
- Удалить таблицы AM;
- Просмотр информации о настроенной функции AM.
- Включить функцию AM:
Команда | Описание |
|---|---|
am enable no am enable ! В режиме глобальной конфигурации | Включить функцию AM. Команда no отключает эту функцию. |
am port no am port ! В режиме конфигурации интерфейса | Включить функцию AM на порту. Команда no отключает эту функцию. |
2. Настроить записи в IP-таблице:
Команда | Описание |
|---|---|
am ip-pool <ip-address> <num> no am ip-pool <ip-address> <num> ! В режиме конфигурации интерфейса | Добавить IP-адрес <ip-address> в таблицу разрешения доступа AM. Для добавления группы адресов необходимо указать количество адресов <num>, следующих за указанным <ip-address> по порядку. Команда no удаляет эту запись. |
3. Настроить MAC-IP таблице:
Команда | Описание |
|---|---|
am mac-ip-pool <mac-address> <ipaddress> no am mac-ip-pool <mac-address> <ip-address> ! В режиме конфигурации интерфейса | Добавить соответствие IP-адреса <ip-address> MAC-адресу <mac-address> в таблице разрешения доступа AM. Команда no удаляет эту запись. |
4. Удалить таблицы AM:
Команда | Описание |
|---|---|
no am all [ip-pool|mac-ip-pool] ! В режиме глобальной конфигурации | Удалить все записи для таблиц ip-pool или mac-ip-pool. |
5. Просмотр информации о настроенной функции AM.
Команда | Описание |
|---|---|
show am [interface <interface-name>] ! В режиме глобальной конфигурации | Просмотр информации об AM на интерфейсе <interface-name> |
5.3. Пример конфигурации AM
Рисунок 54.1 - Конфигурация AM
Как показано на рисунке 54.1, 30 ПК подключены через концентратор к коммутатору через интерфейс Ethernet1/0/1. IP-адреса этих ПК находятся в диапазоне от 10.0.0.1 до 10.0.0.30. Согласно политике безопасности, администратор настраивает легальными только эти 30 адресов. Коммутатор будет пересылать только пакеты от этих IP-адресов, а пакеты от других адресов отбрасывать.
Конфигурация будет выглядеть следующим образом:
Switch(config)#am enable Switch(config)#interface ethernet1/0/1 Switch(Config-If-Ethernet 1/0/1)#am port Switch(Config-If-Ethernet 1/0/1)#am ip-pool 10.0.0.1 10
5.4. Решение проблем с конфигурацией AM
- По-умолчанию после включения функция AM отбрасывает сообщения от всех адресов. Для пропуска сообщений необходимо настроить IP-pool или MAC-IP-pool.
- Для просмотра детальной информации о настроенном функционале AM используйте команду show am [interface <interface-name>].