форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"DHCP + Catalyst пускать только известные маки"	+/–
Сообщение от maxxic on 30-Мрт-12, 13:51
Братцы, Хелп! Надо сделать такую конфигурацию. Разрешать работать в сети конторы хостам, чьи маки известны и лежат в некой БД. Это БД или ДХЦП сервера или некая отдельная БД, куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать никак нельзя. Имеется куча каталистов и ДХЦП-сервер. Можно dhcp snooping на каталистах заставить делать то что мне надо? Или таки с фрирадиус морочиться?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "DHCP + Catalyst пускать только известные маки"	+/–
Сообщение от seva on 30-Мрт-12, 14:34
> Братцы, Хелп! > Надо сделать такую конфигурацию. > Разрешать работать в сети конторы хостам, чьи маки известны и лежат в > некой БД. Это БД или ДХЦП сервера или некая отдельная БД, > куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать > никак нельзя. > Имеется куча каталистов и ДХЦП-сервер. > Можно dhcp snooping на каталистах заставить делать то что мне надо? > Или таки с фрирадиус морочиться? 802.1x
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DHCP + Catalyst пускать только известные маки"	+/–
Сообщение от eek on 30-Мрт-12, 15:16
Куча каталистов это сколько? Если куча это 10, то есть не масштабируемое пионерское решение в виде mac-acl. Если же куча это сотня и решение нужно не пионерское, а более-менее стандартное, то как уже написал коллега выше 802.1x ваш выбор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DHCP + Catalyst пускать только известные маки"	+/–
Сообщение от Pve1 (ok) on 30-Мрт-12, 15:17
> Братцы, Хелп! > Надо сделать такую конфигурацию. > Разрешать работать в сети конторы хостам, чьи маки известны и лежат в > некой БД. Это БД или ДХЦП сервера или некая отдельная БД, > куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать > никак нельзя. > Имеется куча каталистов и ДХЦП-сервер. > Можно dhcp snooping на каталистах заставить делать то что мне надо? > Или таки с фрирадиус морочиться? Настроить на свичах: DHCP snooping + IP source guard + ARP dynamic inspection (последнее опционально). Это позволяет работать только с IP адресами, выданными только DHCP сервером. Затем на DHCP сервере создать резервации по нужным мак-адресам. Свободный пул адресов убрать. В результате все управление сведется к созданию резерваций - максимально удобный вариант. Тупой mac acl - решение уж очень колхозное. dot1x - хорошее решение для авторизации - но не по мак адресам)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от maxxic on 30-Мрт-12, 15:28
	Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и почти 300 подсетей. > IP source guard Хм... А этот зачем? > В результате все управление сведется к созданию резерваций - максимально удобный вариант. Да. Клева! Спасибо. Но фишка в том что хосты иногда будут перемещаться из одной подсети в другую. И удобнее было бы иметь БД с маками, которым можно работать, а ДХЦП выдал бы им ип из соответствующего пула. видимо отчего-то придется отказать... dot1x замороченный какойто и клиентскую часть небось придется переделывать? а это не хотелось бы.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от Pve1 (ok) on 30-Мрт-12, 15:57
	> Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и > почти 300 подсетей. Городить такое в подобной сети - Мисье знает толк в извращениях )))) Без комментариев в общем... >> IP source guard > Хм... А этот зачем? IP DHCP snooping - ведет базу полученных адресов по DHCP и фильтрует левые DHCP запросы/ответы IP source guard - создает динамические IP ACL по этой базе IP arp inspection - по этой же базе проверяет arp общение и дропает соответсвующие атаки > dot1x замороченный какой то и клиентскую часть небось придется переделывать? а это не > хотелось бы. В вариант без сертификатов - не такой уж и замороченный.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от maxxic on 30-Мрт-12, 22:23
	Да уж извращение %) требования безопасности сейчас релизовано с помощью port security. Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) имеют лавинный характер. Нужна автоматизация процесса. > IP DHCP snooping + IP source guard + IP arp inspection Да, Красивое решение, ничего не скажешь! Спасибо. Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а у меня их половина. Остальное 2960 "нормальные" и 3550. :( Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со скриптами захода на киски?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от fantom (ok) on 31-Мрт-12, 12:28
	> Да уж извращение %) требования безопасности сейчас релизовано с помощью port security. > Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) > имеют лавинный характер. Нужна автоматизация процесса. >> IP DHCP snooping + IP source guard + IP arp inspection > Да, Красивое решение, ничего не скажешь! Спасибо. > Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а > у меня их половина. Остальное 2960 "нормальные" и 3550. :( > Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со > скриптами захода на киски? Опция 82 и привязка не к МАС-у а порту железки и пусть меняют мас-и сколько влезет...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от maxxic on 03-Апр-12, 13:44
	> Опция 82 и привязка не к МАС-у а порту железки и пусть > меняют мас-и сколько влезет... т.е. привязка ип-адреса делается к порту? Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а нет правила, то не работает? Правильно я Вашу мысль понял? И не нужно резервирование мак ип, будет резервирование порт-ип - клёво! Сколько всего нового-то узнаешь %) НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из дома не должен работать! как быть? Я так понимаю, никак.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от fantom (ok) on 03-Апр-12, 14:43
	>> Опция 82 и привязка не к МАС-у а порту железки и пусть >> меняют мас-и сколько влезет... > т.е. привязка ип-адреса делается к порту? > Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а > нет правила, то не работает? > Правильно я Вашу мысль понял? > И не нужно резервирование мак ип, будет резервирование порт-ип - клёво! > Сколько всего нового-то узнаешь %) > НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из > дома не должен работать! как быть? Я так понимаю, никак. Вообще никак! MAC меняется 2-мя кликами мышки, 802.1x- юзеру известны авторизационные данные. Кроме как собирать ноуты при входе - больше никак.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от maxxic on 03-Апр-12, 16:40
	> Вообще никак! > MAC меняется 2-мя кликами мышки, В постановке задачи считаем что юзвери этого делать неумеют/небудутмамойклянуться :)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	8. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от Valery12 (??) on 02-Апр-12, 09:13
	> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со > скриптами захода на киски? еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, отсутствующий в базе в рабочий вилан не попадет
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от eek on 05-Апр-12, 11:00
	>> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со >> скриптами захода на киски? > еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, > отсутствующий в базе в рабочий вилан не попадет Т.е. то что производитель эту технологию похоронил никого не смущает?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "DHCP + Catalyst пускать только известные маки"	+/–
	Сообщение от Valery12 (??) on 06-Апр-12, 10:40
	> Т.е. то что производитель эту технологию похоронил никого не смущает? то что ее похоронил производитель еще не значит что она не работает и нею нельзя воспользоваться, и 2950 и 2960 и более старшие модели могут работать в режиме клиента, а для сервера и шеститонник не нужен ибо есть OpenVMPS http://vmps.sourceforge.net/
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема