Jump to content
Калькуляторы

dvb2000

Пользователи
  • Content Count

    61
  • Joined

  • Last visited

About dvb2000

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Можно например такое: https://www.engeniustech.com/online-store/product/durafon-pro-long-range-cordless-phone-system/ если линии аналоговые, а если SIP, то можно такое: https://www.engeniustech.com/online-store/product/durafon-sip-long-range-sip-cordless-phone-system/ и не забыть внешнюю антенну на мачту вынести от базовой станции.
  2. Во первых нужны коммутаторы которые вменяемо поддерживают протокол который будет переключать линки между собой. Такой протокол это например MSTP или же в худшем случае RSTP. И это конечно же не могут быть микротики. Кроме того нужно два устройства которые создадут L2 шифрованной туннель, например OpenVPN в режиме TAP. Это могут быть два специализированных компьютера на которых установлен PFSense например. Есть конечно и другие опции как скажем MACSec, но они менее приемлемы.
  3. Проще всего взять пару VDSL2 модемов, которые поддерживают режимы работы CO / CPE , а так-же G.vectoring и G.INP, для работы с зашумлёнными линиями, профиль 30a , симметричный режим и низкий Noise Margin в 8dB. Пара таких модемов, на исправной линии около километра даст приблизительно 50Mbps . Из самых дешёвых есть например такое: https://planetechusa.com/vc-231g-1-port-101001000t-ethernet-vdsl2-bridge-30a-profile-w-g-vectoring/
  4. vPRO, AMT … и иже с ним, это всего лишь кастрированный IP KVM с минимальными возможностями на уровне чипсета от Intel, но даже он поддерживает 802.1x уже более десяти! лет. Так как и в других случаях всего лишь стоит заглянуть в User'S Guide. Весь документ не буду приводить, а добавлю лишь скриншот релевантной страницы.
  5. И. И... какое же отношение имеет AMT к тому что тут обсуждалось вообще в этом топике ( защита от несанкционированного подключения к корпоративной сети ) или к 802.1х в частности?
  6. И... какое же отношение он имеет о том что тут обсуждалось вообще или к 802.1х в частности?
  7. Не ясно при чём тут AMT, но вот в 802.1х так там можно пользоваться не только корпоративным сертификатом, ни и любым self signed.
  8. Ну по поводу "популярности" оного. Например в различных ОС от Микрософта, так там например он присутствует повсеместно уже более десяти лет, начиная от Windows 7. Кстати, драйвера к нему отношения не имеют. Про то что во всех дистрибутивах линокса и фрибиэсди то там тоже всё нормально с ним. А по поводу работоспособной его поддержки в разных железяках, так в принтерах разных вендоров он тоже уже десятилетие как присутствует не только в оборудовании Enterprise класса и не только в SMB, но даже в домашних струйных принтомыльницах. О камерах и NVRs я вообще не говорю, там он есть даже в махровой китайщине. А в телефонах, то и подавно. А вот про админов, так среди админов это один из базовых элементов сети, если речь идёт об админах, а не об эникейщиках которые только могут втыкать кабель в розетку. Прилагаются пару скринов от первого попавшего под руку оборудования.
  9. 802.1x не только не влечёт за собой кучу неизбежного административного гемора, но ещё и разгребает и избавляет от множества таких куч которые были до его внедрения и развёртывания. И речь не идёт только об обрубании возможности для пользователей тянуть в корпоративную сеть весь свой домашний хлам создающий хаос, и даже не только о на порядок повышение общей сетевой безопасности, а даже о таких аспектах как то что больше не требуется в ручную привязывать нужные виланы к портам доступа, и теперь это всё происходит динамически при помощи соответствующих радиус атрибутов учётной записи. Теперь телефону подключенному в порт коммутатора присваивается соответствующий Voice VLAN, камере присваивается surveillance vlan, а компьютеру или принтеру присваивается VLAN того отдела к которому они относятся. Всё, с нескончаемой ручной настройкой портов доступа теперь покончено и во время переездов из места на место юзер не морочит больше голову. И это только один из примеров о чём идёт речь.
  10. Ну раз так, то к чему тогда все эти вопросы о поисках релевантных тривиальных команд об отображений событий dhcp spoof и о обнаружений левых DHCP серверов в киско? И откуда тогда эти утверждения что что-бы обнаружить эти левые DHCP серверы, то необходимо делать такие страшные извращения описанные вами до того? например тут: On 4/25/2019 at 5:49 PM, YuryD said: Отловить левый dhcp в сегменте(влане) достаточно просто. Включаемся в сегмент с dhcp-клиентом, получаем IP. Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход.
  11. В киске нечего искать команд от других вендоров, команд которых в киске нет отродясь, так же как в оборудовании других производителей нечего искать команд используемых только в киске. В киске достаточно знать хотя-бы команды используемые в ней, например такие как: DHCP snooping spurious server detection Или такие как: debug ip dhcp snooping И знать как выглядит синтаксис релевантных сообщений о событиях в сислоге, для того что-бы за секунду при помощи нужного фильтра увидеть всё что важно по теме и понять о каком порте какого коммутатора идёт речь и в каком вилане происходит непотребное.
  12. Когда нужно чтобы найти виновного например, то тогда тоже нечего городить огород и подключаться в сегмент чем либо, DHCP snooping делает это всё стандартно, автоматически и кроме того что присылает логи со всеми данными, во время события, так он ещё и даёт увидеть любую статистику и в реальном времени, где будет расписано всё предельно ясно. Например, так: # show ip-security dhcp-snooping violations vlan <vlan-name> ------------------------------------ Port Violating MAC ------------------------------------ 39 00:50:56:2b:98:e0 А так может выглядеть лог: [date time] <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN <vlan-name> with IP <ip-address> was detected on port <client-port> [date time] <Warn:ipSecur.drpPkt> DHCP violation occurred on port <client-port> Packet was dropped. Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами.
  13. Его не отлавливать нужно. После того как настроен DHCP snooping, левого DHCP просто не появится, ни в одном сегменте (влвне), он просто блокируется уже на порте коммутатора к которому подключено устройство с левым DHCP сервером. Непонятно зачем люди осознанно оставляют места для проблем в тех местах где их можно избежать тривиальными средствами, а потом пытаются искать их и героически бороться с ними.
  14. Топик стартер довольно просто и внятно описал свою задачу: "в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы" Именно от этого защитит его 802.1х. Ни "венда", не "домен" не имеют к этому ни какой связи. 802.1х настраивается в "венде" и без какой либо привязки к домену и при помощи RADIUS сервера, который может быть любой, а авторизация может быть как при помощи учётной записи и пароля ( не известных пользователям ), так и при помощи сертификатов, до которых пользователи не могут тоже добраться сами. А вот то что юзер: "подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить", это так же на предприятии на уровне юзеровских фантазий, так как политики в корпоративных машинах на дают даже близко возможности юзерам такого творить. Про "дхцп снупинг" и почему он именно в тему разъясню по простому. Если его нету, а юзер воткнул свой домашний роутер в сеть организации портом LAN, в которой в добавок ещё и нет 802.1х, то этот его домашний роутер станет в корпоративной сети левым DHCP сервером, который положит эту сеть.