URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 900
[ Назад ]

Исходное сообщение
"Best practice по настройке access-портов"
Отправлено fomik2 , 31-Июл-13 12:42

Добрый день. Есть ли какой-нибудь best practice по настройке портов уровня доступа на коммутаторах с точки зрения безопасности. Я имею ввиду защита от петель, шторм-контроль и т.д.

Содержание

Best practice по настройке access-портов,eek, 12:49 , 31-Июл-13
- Best practice по настройке access-портов,Merridius, 00:22 , 01-Авг-13
Best practice по настройке access-портов,QRSa, 21:16 , 08-Авг-13
- Best practice по настройке access-портов,fomik2, 09:14 , 09-Авг-13
  - Best practice по настройке access-портов,Merridius, 10:30 , 09-Авг-13
    - Best practice по настройке access-портов,fomik2, 15:32 , 09-Авг-13

Сообщения в этом обсуждении

"Best practice по настройке access-портов"
Отправлено eek , 31-Июл-13 12:49

> Добрый день. Есть ли какой-нибудь best practice
Да. Основное правило это не включать функции которых вы не понимаете.

"Best practice по настройке access-портов"
Отправлено Merridius , 01-Авг-13 00:22

>> Добрый день. Есть ли какой-нибудь best practice
Зависит от того, что вы туда подключаете. Абонент - одно, Сервер в вашем ДЦ - другое.)
Не маловажный фактор играет и зона ответственности.

"Best practice по настройке access-портов"
Отправлено QRSa , 08-Авг-13 21:16

Добрый день, коллеги в целом правы.
Но access port - это:
- port-security (лимит количества MAC) + sticky если нужно;
- portfast;
- bpduguard;
- storm-control broadcast/multicast = 5.0%
- storm-contrl unicast 20-70K pps (зависит от роли порта);
- dhcp snooping (защита от левого DHCP);
- swi unicast block (в отдельных случаях);
- protected (или private-vlan);
- mls qos cos override
Опишите типовой порт (функции), который Вам нужно защитить.

"Best practice по настройке access-портов"
Отправлено fomik2 , 09-Авг-13 09:14

>[оверквотинг удален]
>  - port-security (лимит количества MAC) + sticky если нужно;
>  - portfast;
>  - bpduguard;
>  - storm-control broadcast/multicast = 5.0%
>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>  - dhcp snooping (защита от левого DHCP);
>  - swi unicast block (в отдельных случаях);
>  - protected (или private-vlan);
>  - mls qos cos override
> Опишите типовой порт (функции), который Вам нужно защитить.
Порты, на которых сидят пользователи. Два мака на порт - телефон и рабочая станция. В общем-то большинство из того, что вы описали уже включил.

"Best practice по настройке access-портов"
Отправлено Merridius , 09-Авг-13 10:30

>[оверквотинг удален]
>>  - storm-control broadcast/multicast = 5.0%
>>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>>  - dhcp snooping (защита от левого DHCP);
>>  - swi unicast block (в отдельных случаях);
>>  - protected (или private-vlan);
>>  - mls qos cos override
>> Опишите типовой порт (функции), который Вам нужно защитить.
> Порты, на которых сидят пользователи. Два мака на порт - телефон и
> рабочая станция. В общем-то большинство из того, что вы описали уже
> включил.
Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.

"Best practice по настройке access-портов"
Отправлено fomik2 , 09-Авг-13 15:32

>[оверквотинг удален]
>>>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>>>  - dhcp snooping (защита от левого DHCP);
>>>  - swi unicast block (в отдельных случаях);
>>>  - protected (или private-vlan);
>>>  - mls qos cos override
>>> Опишите типовой порт (функции), который Вам нужно защитить.
>> Порты, на которых сидят пользователи. Два мака на порт - телефон и
>> рабочая станция. В общем-то большинство из того, что вы описали уже
>> включил.
> Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.
Да всё правильно, я имею ввиду, что 2 мака стандартно видно на порту. А так ограничение у нас вообще на 10 стоит.