Jump to content

Evgeny Mirhasanov

Пользователи
  • Posts

    263
  • Joined

  • Last visited

About Evgeny Mirhasanov

  • Rank
    SNR-Team
    Студент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @Sidler Добрый день. Данная возможность не реализована на коммутаторах SNR-S4550X.
  2. @grinnZli Приведенный выше ACL, если его изменить под синтаксис SNR, не решает данных задач? Там только TCP established. А что добавлять из широкого имеющегося функционала - решать вам. Можем проконсультировать конкретно по каждой настройке.
  3. Речь про некий абонентский порт. Цель-то какая? Нужно больше конкретики. Что за портом? Wi-fi AP?
  4. Добрый день. Боюсь, что такой возможности на коммутаторах SNR нет. Придется упрощать ACL.
  5. @AndreyUA Наверное, с этим вопросом лучше обратиться в техподдержку Касперского.
  6. Добрый день. Да, мы в новых версиях ПО ввели более сильные алгоритмы шифрования. Ведь браузеры так сильно заботятся о нашей безопасности и простого HTTPS им уже мало.
  7. @sorokin.a Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему?
  8. @sorokin.a Нет, таково поведение portbased и это прямо написано в документации. А условный VmWare не умеет подменять MAC-адреса своих виртуалок?
  9. @ATX-250 privilege config level 15 all и privilege interface-ether level 15 all Тут логика такая: вы "отбираете" все команды у 1-14, в пользу 15. Затем выдаете только лишь необходимые для 1-14. Запланируем написать заметку про это на nag.wiki
  10. @sorokin.a Давайте рассмотрим пример с macbased? 1) Имеем такие настройки порта на SW1: SW1#sh run int e1/0/3 ! Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 ip access-group 1 in dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 ! 2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов: SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 25 fc-3f-db-5e-c0-cc STATIC App Ethernet1/0/3 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере.
  11. @ATX-250 Вы не полностью скопировали команды: username test5 privilege 5 password 7 e3d704f3542b44a621ebed70dc0efe13 privilege config level 1 interface ethernet all privilege exec level 5 config privilege config level 5 interface ethernet 1/0/1 privilege interface-ether level 5 no shutdown privilege interface-ether level 5 shutdown
  12. @ATX-250 Добрый день, такая возможность есть. Приведу пример настройки некоторых фич. Создадим двух пользователей с разными привилегиями и разграничим их права: switch(config)#username test1 privilege 1 password test1 switch(config)#username test5 privilege 5 password test5 switch(config)#privilege config level 15 all switch(config)#privilege interface-ether level 15 all switch(config)#privilege exec level 5 config switch(config)#privilege config level 5 interface ethernet 1/0/1 switch(config)#privilege interface-ether level 5 no shutdown switch(config)#privilege interface-ether level 5 shutdown switch(config)#privilege exec level 1 show run switch(config)#privilege exec level 1 show ver Установим пароль на admin режим, дающий привилегию 15: switch(config)#enable password sUpEr-AdMiN++ Проверим права пользователя с привилегией 1: switch>sh privilege Current privilege level is 1 switch>show ver | i SoftWare SoftWare Package Version 7.5.3.2(R0004.0377) switch>show run | i sysLocation sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia switch>conf ^ % Invalid input detected at '^' marker. Проверим права пользователя с привилегией 5: switch>conf switch(config)>? Configure commands: show Show running system information end End current mode and change to EXEC mode exit End current mode and down to previous mode help Description of the interactive help system interface Select an interface to configure switch(config)>interface ethernet 1/0/5 switch(config-if-ethernet1/0/5)>? commands: show Show running system information end End current mode and change to EXEC mode exit End current mode and down to previous mode help Description of the interactive help system no Negate a command or set its defaults shutdown Shutdown the selected interface
  13. @sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде?
  14. @sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X: Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 Должно отработать корректно.