[Roman Ivanov]

Лучше вместо 2950 поищите 3550-24 или 3550-48. Выйдет ненамного дороже, особенно за юзаные, а вкусностей намного больше.

 

Ненамного, раза в 3 как минимум

 

3550 нечего делать на access layer, если мы о нем ;)

2950 - это end user ports.

[Гость]

Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет

1) от другого ip со своим src mac (ip acl)

2)от другого mac со своим src ip(port securiti)

или там всё подругому?

[Shiva]

Roman Ivanov,

За такие деньги, я лучше оставлю 2950T.

Я не про железку, я про решение.

[Roman Ivanov]

Roman Ivanov,

За такие деньги, я лучше оставлю 2950T.

Я не про железку, я про решение.

 

Решение плохое.

90% юзеров не знают, что такое "аутентификация в 802.1x".

На 2950T есть dhcp snooping + option 82 ingormation insert.

Я по ней ip выдаю.

[Гость]

Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет

1) от другого ip со своим src mac (ip acl)

2)от другого mac со своим src ip(port securiti)

или там всё подругому?

знающие люде не сочтите за труд напишите ответ на вопрос , где тут грабли я, тоже думал что на свитчах с ip acl i mac port security arp spoofing невозможен, где грабли?

[MisterY]

Может кто предложет used?

http://4isp.ru

 

ЗЫ. А мне нортели нравятся все больше и больше. ;-)

Через недельку покручу живьем их BPS 2000... Как замену 2950Т.

 

Читал я пост про доблестного прохожего, научившегося строить супер-метро :)))

Есть там много из передвиганий условий в свою сторону ...

 

 

Дык когда будут BPS 2000 у тебя на складе ?

[Roman Ivanov]

Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет

1) от другого ip со своим src mac (ip acl)

2)от другого mac со своим src ip(port securiti)

или там всё подругому?

знающие люде не сочтите за труд напишите ответ на вопрос , где тут грабли я, тоже думал что на свитчах с ip acl i mac port security arp spoofing невозможен, где грабли?

 

Возможен. arp - это не ip traffik.

Man in the middle на основе arp spoof - невозможен.

В случае arp spoof на 2950T (при правильныйх настройках) - найти поганца ПРОСТО.

[Shiva]

Roman Ivanov,

90% юзеров не знают, что такое "аутентификация в 802.1x".

На 100% Win2k+ она активизирована по умолчанию.

[Прохожий]

Может кто предложет used?

http://4isp.ru

 

ЗЫ. А мне нортели нравятся все больше и больше. ;-)

Через недельку покручу живьем их BPS 2000... Как замену 2950Т.

 

Читал я пост про доблестного прохожего, научившегося строить супер-метро :)))

Есть там много из передвиганий условий в свою сторону ...

 

 

Дык когда будут BPS 2000 у тебя на складе ?

 

Ну, на счет передвиганий условий в свою сторону - это Вы маханули! Я почти обиделся... :)

 

BTW, я никогда не говорил, ни что это решение для домашних сетей в том виде, в каком они существуют сейчас, и тем более не решение тех задач, которые они перед собою ставят. Это даже не альтернатива 2950->3550->Linux_host/7206VXR, такой схеме вообще альтернатива одна - то же на делинке :) Я говорил только об альтернативе схеме 3550/2950->C65xx/SUP3-> и далее MPLS.

 

Да, конечно, можно на моей схеме и хомячков подключать, но приблизительно 200 енотов на порт чисто комплекс оборудования магистраль-концентрация-доступ без инфраструктуры - это не для домашних сетей. Для городских скорее.

 

Да, я конкретно не люблю С65хх! И не тащусь от Cisco, просто потому, что знаю НЕ только ее оборудование :))) И всякая дискуссия полезна хотя бы потому, что заставляет ДУМАТЬ и РАЗБИТАТЬСЯ, где реальность, а где маркетинговый bullshit, который ВСЕ льют тугой струей, кроме, разве что, китайцев, у которых маркетинг развит относительно слабо.

 

Желаю удачи!

[MisterY]

Прохожий

Знаете, я вас уважаю только за то что вы пытались нам объяснить что такое метро от нортел :))

Я тоже не в восторге от 65хх, и знаю что без пары модулей 720 это откровенно слабое решение. И эти 720-е еще и бывает отказывают :( У нас вот счас одна 65хх на одном модуле, второй бракованный.

 

Маркетинг - это тоже хорошая вещь, если она не разнится с реальностью. В реальности все проблемы, а не в рекламе ...

 

Для городских говорите ...

только до сих пор никто не строит городские сети (окромя наверное Москвы и Питера), не тот бюджет.... корпоративные бывают действительно. Просто если и целить на город нужен и город небедный(чтоб окупить) и инвесторы нехудые (чтоб построить)...

 

А вообще Нортэл это интересно. Хотелось бы пощупать :)))

[Roman Ivanov]

Roman Ivanov,

90% юзеров не знают, что такое "аутентификация в 802.1x".  

На 100% Win2k+ она активизирована по умолчанию.

 

Логин и пароль тоже прописан?

А win98, winme ?

[Shiva]

Roman Ivanov,

Логин и пароль тоже прописан?  

Ну уж извините, это может каждый вбить... Если сами VPN настраивают.

 

А win98, winme ?

Альтернативный софт, да и тем более я уже не видел этих ОС у клиентов.

[Roman Ivanov]

Ну уж извините, это может каждый вбить... Если сами VPN настраивают.

Альтернативный софт, да и тем более я уже не видел этих ОС у клиентов.

 

Не может. Не все умеют устанавливать. Не все умеют настраивать VPN.

Возми женщину 40 лет, которая интернет видет в 7-й раз.

[Shiva]

Roman Ivanov,

У нас крупнейший провайдер в области заставляет настривать ВПН самим и диалам с вводом учётных данных в терминальном окне и ничего настраивают, в комплекте только бумажка со скриншотами.

[olebedev]

Вернемся к 802.1x

 

Если у Вас стадо клиентов на управляемом порту, тогда ставите железо которое умеет MAC-based 802.1x и наслаждаетесь (3Com 7700, HP не помню какой, D-Link 3226S), в этом случае авторизуется каждый MAC который лезет через порт. Мало того, что Вы авторизуете пользователя, но Вы авторизуете его для пары MAC+IP потому, что в случае MAC-based 802.1x на RADIUS передается и IP клиента тоже!

Кроме того, свич будет периодически переавторизовывать клиента (винда будет отвечать на это так что пользователь не замечает - если пароль верный), что избавит Вас от возможности другому пользователю работать на этом же порту с MAC'ом клиента после ухода владельца. И понятно, что простой MD5 спасает от возможности воспроизвести пароль.

Ну, а если у Вас вообще каждый клиент включается в управляемый порт, то тут 802.1х возможен, но не обязателен.

[Solo]

802.1x поддерживается в делинках (3226S, например) и аналогичных коробках.

 

Да, поддерживается. Тестировали. Интересная штука. Только вот проблема в том, что но не поддерживается оперционками ниже выньХП... Без доп установки.. Да еще и всё железо низких уровней (свичи L2-L3) -Compex (CGX3224+GSM8308). Так вот сгх не умеют по радиусу авторизировать. Поэтому использовали связку: на сгх - привязка порта по мак (до 20 маков на порт) + авторизация пользователя через програмку на компе. Вот и не стали применять.

[olebedev]

Да, поддерживается. Тестировали. Интересная штука. Только вот проблема в том, что но не поддерживается оперционками ниже выньХП...  

Без доп установки.. Да еще и всё железо низких уровней (свичи L2-L3) -Compex (CGX3224+GSM8308).

Поддерживается, есть не только фирменный клиент для всего семейства Windows 9x (в муках вытрясается из M$), но и куча бесплатного, условно бесплатного и платного софта для реализации 802.1х Правильные ОС - Linux, FreeBSD, MacOS имеют встроеную поддержку.

А при чем здесь железо? Или Вы и железо хотите авторизовать?

[Solo]

Немного неправильно выразился. Свичи низких уровней - перед пользователями - стоят CGX, которые не имеют поддержки аутетификации по радиусу. А менять все железо в сети на 7-8 тысяч пользователей... :-) Плюс - для домохозяек с ВинХП - никаких проблем, там все поддерживается. Но вот для домохозяйки с Вин98 - надо доутанавливать клиент аутотентификации. Что не совсем хорошо. Вот и решили отказаться от этой затеи. Плюс еще пару небольших минусов...

И сделали проверку пользователя из двух частей - привязка его MAC на порту и авторизатора на самом компьютере.

[olebedev]

Немного неправильно выразился. Свичи низких уровней - перед пользователями - стоят CGX, которые не имеют поддержки аутетификации по радиусу. А менять все железо в сети на 7-8 тысяч пользователей... :-) Плюс - для домохозяек с ВинХП - никаких проблем, там все поддерживается. Но вот для домохозяйки с Вин98 - надо доутанавливать клиент аутотентификации. Что не совсем хорошо. Вот и решили отказаться от этой затеи. Плюс еще пару небольших минусов...

И сделали проверку пользователя из двух частей - привязка его MAC на порту и авторизатора на самом компьютере.

 

Ну как я уже Вам показал это решается с помощью MAC-based 802.1x, вы просто втыкаете свои CGX в D-Link и все, тогда он будет авторизовать конкретные MAC'и и даже больше если кто то не хочет этого делать, то Вы можете просто прописать его MAC статикой на порту D-Link'а и авторизовать по Вашей старой схеме.

Если Вам не хватает мощностей D-Link'а, то тогда берете 3Com или HP ставите его в центр сети и всех неохваченых D-Link'ами вытаскиваете на него.

На счет установки клиента, а авторизатор Ваш с неба падает домохозяйке? А как он работает под Linux, FreeBSD и MacOS?

[Shiva]

Solo,

Плюс еще пару небольших минусов...  

Например?

[kisa]

Shiva,

 

Берём Dlink 3526 или классом по выше, ставим ACL, что никуда ломится не надо, далее после авторизации по 802.1х прога по SNMP настраивает ACL так как надо. В этом случае можно поддерживать роуминг пользователей и много других вкусностей

 

Вы тестировали такой вариант с DES 3526?

В документации сказано, что из-за ограничений чипа возможно настроить только 9 access profiles, а портов 24 или 48 в случае 3550.

[Solo]

4Shiva:

Эксперементировали на DES3226S, через некоторое время веб-интерфейс начинал заметно тормозить.

Далее, самая большая проблема среднего пользователя (все еще использующие WinME & Win98) - форматнул винт, установил по новой ось... Клиентской части для аутотентификации по Радиусу не осталось. Дискеты и диски давным давно пропил/потерял. Звонит в службу тех. поддержки, тем приходится отключать на его порту проверку по радиусу, чтобы он смог скопировать его по сети (ночью офисы не работают :-) )... Потом снова включать.

Да и перестраивать сеть на почти 8000 пользователей... С Компексов на Д-линк+3Com... :-)

А так при сотрудничестве с Compex, на свичи под наши требования выпускаются специализированные прошивки, самими изготавителями.

[olebedev]

А ничего перестраивать не надо, достаточно в голову поставить HP или 3Com и всех авторизовать на нем, с постепенной заменой Compex'ов на D-Link'и

[Shiva]

kisa,

Вы тестировали такой вариант с DES 3526?  

Ещё нет, жду прошивку... Обещали 500 ACL в ней.

[sirmax]

Обрящаюсь к уважаемому Roman Ivanov

Заранее прошу прощения за "ламерский" вопрос, но чтение здесь

http://www.cisco.com/en/US/products/hw/swi...008007e8ab.html

не помогло, опыта общения с коммутаторами у меня немного (пока).

 

Будьте столь любезны, окажите мне помощь в начальной конфирурации свитча

cisco Catalyst 2950-24 (Standart Image)

 

Есть желание получить следующее

1. Привязка МАК-Порт, или несколько маков-порт (на некоторые порты будет подключены неуправляемые комутаторы)

2. Port-security, блокирование неизвестных маков и запись в syslog

3. Возможно, ваши рекомендации по поводу дополнительных фич

 

Привожу пример конфига на одном из портов

На указанный порт подключены 2 пользователя через неуправляемый свитч.

!

interface FastEthernet0/24

switchport access vlan 2

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security violation restrict

switchport port-security mac-address 0030.4f23.fd26

switchport port-security mac-address 0030.4f24.0042

no ip address

shutdown

no cdp enable

!

 

 

Что еще посоветуете?

Заранее спасибо.