https://ns.opennet.ru/openforum/vsluhforumID6/23669.html Братцы, Хелп!<br>Надо сделать такую конфигурацию.<br>Разрешать работать в сети конторы хостам, чьи маки известны и лежат в некой БД. Это БД или ДХЦП сервера или некая отдельная БД, куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать никак нельзя.<br>Имеется куча каталистов и ДХЦП-сервер.<br><br>Можно dhcp snooping на каталистах заставить делать то что мне надо?<br>Или таки с фрирадиус морочиться?<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#13 Fri, 06 Apr 2012 06:40:22 GMT <br>&gt; Т.е. то что производитель эту технологию похоронил никого не смущает?<br><br>то что ее похоронил производитель еще не значит что она не работает и нею нельзя воспользоваться, и 2950 и 2960 и более старшие модели могут работать в режиме клиента, а для сервера и шеститонник не нужен ибо есть OpenVMPS http://vmps.sourceforge.net/<br><br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#12 Thu, 05 Apr 2012 07:00:41 GMT &gt;&gt; Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со <br>&gt;&gt; скриптами захода на киски?<br>&gt; еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, <br>&gt; отсутствующий в базе в рабочий вилан не попадет <br><br>Т.е. то что производитель эту технологию похоронил никого не смущает?<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#11 Tue, 03 Apr 2012 12:40:16 GMT &gt; Вообще никак!<br>&gt; MAC меняется 2-мя кликами мышки, <br><br>В постановке задачи считаем что юзвери этого делать неумеют/небудутмамойклянуться :)<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#10 Tue, 03 Apr 2012 10:43:32 GMT &gt;&gt; Опция 82 и привязка не к МАС-у а порту железки и пусть <br>&gt;&gt; меняют мас-и сколько влезет...<br>&gt; т.е. привязка ип-адреса делается к порту?<br>&gt; Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а <br>&gt; нет правила, то не работает?<br>&gt; Правильно я Вашу мысль понял?<br>&gt; И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!<br>&gt; Сколько всего нового-то узнаешь %) <br>&gt; НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из <br>&gt; дома не должен работать! как быть? Я так понимаю, никак.<br><br>Вообще никак!<br>MAC меняется 2-мя кликами мышки,<br>802.1x- юзеру известны авторизационные данные.<br><br>Кроме как собирать ноуты при входе - больше никак.<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#9 Tue, 03 Apr 2012 09:44:23 GMT &gt; Опция 82 и привязка не к МАС-у а порту железки и пусть <br>&gt; меняют мас-и сколько влезет...<br><br>т.е. привязка ип-адреса делается к порту?<br>Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а нет правила, то не работает?<br>Правильно я Вашу мысль понял?<br>И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!<br>Сколько всего нового-то узнаешь %)<br><br>НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из дома не должен работать! как быть? Я так понимаю, никак.<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#8 Mon, 02 Apr 2012 05:13:56 GMT <br>&gt; Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со <br>&gt; скриптами захода на киски?<br><br>еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, отсутствующий в базе в рабочий вилан не попадет<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#7 Sat, 31 Mar 2012 08:28:02 GMT &gt; Да уж извращение %) требования безопасности сейчас релизовано с помощью port security. <br>&gt; Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) <br>&gt; имеют лавинный характер. Нужна автоматизация процесса.<br>&gt;&gt; IP DHCP snooping + IP source guard + IP arp inspection <br>&gt; Да, Красивое решение, ничего не скажешь! Спасибо.<br>&gt; Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а <br>&gt; у меня их половина. Остальное 2960 "нормальные" и 3550. :( <br>&gt; Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со <br>&gt; скриптами захода на киски?<br><br>Опция 82 и привязка не к МАС-у а порту железки и пусть меняют мас-и сколько влезет...<br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#6 Fri, 30 Mar 2012 18:23:35 GMT Да уж извращение %) требования безопасности сейчас релизовано с помощью port security.<br>Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) имеют лавинный характер. Нужна автоматизация процесса.<br><br>&gt; IP DHCP snooping + IP source guard + IP arp inspection<br><br>Да, Красивое решение, ничего не скажешь! Спасибо.<br><br>Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а у меня их половина. Остальное 2960 "нормальные" и 3550. :(<br><br>Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со скриптами захода на киски?<br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23669.html#5 Fri, 30 Mar 2012 11:57:11 GMT &gt; Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и <br>&gt; почти 300 подсетей.<br><br>Городить такое в подобной сети - Мисье знает толк в извращениях ))))<br>Без комментариев в общем...<br><br>&gt;&gt; IP source guard <br>&gt; Хм... А этот зачем?<br><br>IP DHCP snooping - ведет базу полученных адресов по DHCP и фильтрует левые DHCP запросы/ответы<br>IP source guard - создает динамические IP ACL по этой базе <br>IP arp inspection - по этой же базе проверяет arp общение и дропает соответсвующие атаки<br><br><br>&gt; dot1x замороченный какой то и клиентскую часть небось придется переделывать? а это не <br>&gt; хотелось бы.<br><br>В вариант без сертификатов - не такой уж и замороченный.<br><br>