https://m.opennet.dev/openforum/vsluhforumID6/900.html Добрый день. Есть ли какой-нибудь best practice по настройке портов уровня доступа на коммутаторах с точки зрения безопасности. Я имею ввиду защита от петель, шторм-контроль и т.д. <br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#6 Fri, 09 Aug 2013 11:32:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; - storm-contrl unicast 20-70K pps (зависит от роли порта); <br>&gt;&gt;&gt; - dhcp snooping (защита от левого DHCP); <br>&gt;&gt;&gt; - swi unicast block (в отдельных случаях); <br>&gt;&gt;&gt; - protected (или private-vlan); <br>&gt;&gt;&gt; - mls qos cos override <br>&gt;&gt;&gt; Опишите типовой порт (функции), который Вам нужно защитить.<br>&gt;&gt; Порты, на которых сидят пользователи. Два мака на порт - телефон и <br>&gt;&gt; рабочая станция. В общем-то большинство из того, что вы описали уже <br>&gt;&gt; включил.<br>&gt; Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше. <br><br>Да всё правильно, я имею ввиду, что 2 мака стандартно видно на порту. А так ограничение у нас вообще на 10 стоит.<br> <br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#5 Fri, 09 Aug 2013 06:30:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; - storm-control broadcast/multicast = 5.0% <br>&gt;&gt; - storm-contrl unicast 20-70K pps (зависит от роли порта); <br>&gt;&gt; - dhcp snooping (защита от левого DHCP); <br>&gt;&gt; - swi unicast block (в отдельных случаях); <br>&gt;&gt; - protected (или private-vlan); <br>&gt;&gt; - mls qos cos override <br>&gt;&gt; Опишите типовой порт (функции), который Вам нужно защитить.<br>&gt; Порты, на которых сидят пользователи. Два мака на порт - телефон и <br>&gt; рабочая станция. В общем-то большинство из того, что вы описали уже <br>&gt; включил.<br><br>Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше. <br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#4 Fri, 09 Aug 2013 05:14:45 GMT &gt;[оверквотинг удален]<br>&gt; - port-security (лимит количества MAC) + sticky если нужно; <br>&gt; - portfast; <br>&gt; - bpduguard; <br>&gt; - storm-control broadcast/multicast = 5.0% <br>&gt; - storm-contrl unicast 20-70K pps (зависит от роли порта); <br>&gt; - dhcp snooping (защита от левого DHCP); <br>&gt; - swi unicast block (в отдельных случаях); <br>&gt; - protected (или private-vlan); <br>&gt; - mls qos cos override <br>&gt; Опишите типовой порт (функции), который Вам нужно защитить.<br><br>Порты, на которых сидят пользователи. Два мака на порт - телефон и рабочая станция. В общем-то большинство из того, что вы описали уже включил. <br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#3 Thu, 08 Aug 2013 17:16:05 GMT Добрый день, коллеги в целом правы.<br><br>Но access port - это:<br> - port-security (лимит количества MAC) + sticky если нужно;<br> - portfast;<br> - bpduguard;<br> - storm-control broadcast/multicast = 5.0%<br> - storm-contrl unicast 20-70K pps (зависит от роли порта);<br> - dhcp snooping (защита от левого DHCP);<br> - swi unicast block (в отдельных случаях);<br> - protected (или private-vlan);<br> - mls qos cos override<br><br>Опишите типовой порт (функции), который Вам нужно защитить.<br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#2 Wed, 31 Jul 2013 20:22:04 GMT &gt;&gt; Добрый день. Есть ли какой-нибудь best practice <br><br>Зависит от того, что вы туда подключаете. Абонент - одно, Сервер в вашем ДЦ - другое.)<br>Не маловажный фактор играет и зона ответственности.<br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/900.html#1 Wed, 31 Jul 2013 08:49:32 GMT &gt; Добрый день. Есть ли какой-нибудь best practice <br><br>Да. Основное правило это не включать функции которых вы не понимаете.<br>