Roman Ivanov Опубликовано 22 января, 2005 · Жалоба Лучше вместо 2950 поищите 3550-24 или 3550-48. Выйдет ненамного дороже, особенно за юзаные, а вкусностей намного больше. Ненамного, раза в 3 как минимум 3550 нечего делать на access layer, если мы о нем ;) 2950 - это end user ports. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 22 января, 2005 · Жалоба Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет 1) от другого ip со своим src mac (ip acl) 2)от другого mac со своим src ip(port securiti) или там всё подругому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 22 января, 2005 · Жалоба Roman Ivanov, За такие деньги, я лучше оставлю 2950T. Я не про железку, я про решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 22 января, 2005 · Жалоба Roman Ivanov, За такие деньги, я лучше оставлю 2950T. Я не про железку, я про решение. Решение плохое. 90% юзеров не знают, что такое "аутентификация в 802.1x". На 2950T есть dhcp snooping + option 82 ingormation insert. Я по ней ip выдаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 23 января, 2005 · Жалоба Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет 1) от другого ip со своим src mac (ip acl) 2)от другого mac со своим src ip(port securiti) или там всё подругому? знающие люде не сочтите за труд напишите ответ на вопрос , где тут грабли я, тоже думал что на свитчах с ip acl i mac port security arp spoofing невозможен, где грабли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MisterY Опубликовано 23 января, 2005 · Жалоба Может кто предложет used? http://4isp.ru ЗЫ. А мне нортели нравятся все больше и больше. ;-) Через недельку покручу живьем их BPS 2000... Как замену 2950Т. Читал я пост про доблестного прохожего, научившегося строить супер-метро :))) Есть там много из передвиганий условий в свою сторону ... Дык когда будут BPS 2000 у тебя на складе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 23 января, 2005 · Жалоба Помогите разобраться с port securiti, я так понял что это привязка конкретного mac к порту коммутатора, следовательно он не должен пропускать пакеты с src mac отличним от забитого в привязку, а ето в сочетании с ip acl в свою очередь решает проблему arp spoofing т.к клиент не может отправить пакет 1) от другого ip со своим src mac (ip acl) 2)от другого mac со своим src ip(port securiti) или там всё подругому? знающие люде не сочтите за труд напишите ответ на вопрос , где тут грабли я, тоже думал что на свитчах с ip acl i mac port security arp spoofing невозможен, где грабли? Возможен. arp - это не ip traffik. Man in the middle на основе arp spoof - невозможен. В случае arp spoof на 2950T (при правильныйх настройках) - найти поганца ПРОСТО. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 23 января, 2005 · Жалоба Roman Ivanov, 90% юзеров не знают, что такое "аутентификация в 802.1x". На 100% Win2k+ она активизирована по умолчанию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 24 января, 2005 · Жалоба Может кто предложет used? http://4isp.ru ЗЫ. А мне нортели нравятся все больше и больше. ;-) Через недельку покручу живьем их BPS 2000... Как замену 2950Т. Читал я пост про доблестного прохожего, научившегося строить супер-метро :))) Есть там много из передвиганий условий в свою сторону ... Дык когда будут BPS 2000 у тебя на складе ? Ну, на счет передвиганий условий в свою сторону - это Вы маханули! Я почти обиделся... :) BTW, я никогда не говорил, ни что это решение для домашних сетей в том виде, в каком они существуют сейчас, и тем более не решение тех задач, которые они перед собою ставят. Это даже не альтернатива 2950->3550->Linux_host/7206VXR, такой схеме вообще альтернатива одна - то же на делинке :) Я говорил только об альтернативе схеме 3550/2950->C65xx/SUP3-> и далее MPLS. Да, конечно, можно на моей схеме и хомячков подключать, но приблизительно 200 енотов на порт чисто комплекс оборудования магистраль-концентрация-доступ без инфраструктуры - это не для домашних сетей. Для городских скорее. Да, я конкретно не люблю С65хх! И не тащусь от Cisco, просто потому, что знаю НЕ только ее оборудование :))) И всякая дискуссия полезна хотя бы потому, что заставляет ДУМАТЬ и РАЗБИТАТЬСЯ, где реальность, а где маркетинговый bullshit, который ВСЕ льют тугой струей, кроме, разве что, китайцев, у которых маркетинг развит относительно слабо. Желаю удачи! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MisterY Опубликовано 24 января, 2005 · Жалоба Прохожий Знаете, я вас уважаю только за то что вы пытались нам объяснить что такое метро от нортел :)) Я тоже не в восторге от 65хх, и знаю что без пары модулей 720 это откровенно слабое решение. И эти 720-е еще и бывает отказывают :( У нас вот счас одна 65хх на одном модуле, второй бракованный. Маркетинг - это тоже хорошая вещь, если она не разнится с реальностью. В реальности все проблемы, а не в рекламе ... Для городских говорите ... только до сих пор никто не строит городские сети (окромя наверное Москвы и Питера), не тот бюджет.... корпоративные бывают действительно. Просто если и целить на город нужен и город небедный(чтоб окупить) и инвесторы нехудые (чтоб построить)... А вообще Нортэл это интересно. Хотелось бы пощупать :))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 24 января, 2005 · Жалоба Roman Ivanov, 90% юзеров не знают, что такое "аутентификация в 802.1x". На 100% Win2k+ она активизирована по умолчанию. Логин и пароль тоже прописан? А win98, winme ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 24 января, 2005 · Жалоба Roman Ivanov, Логин и пароль тоже прописан? Ну уж извините, это может каждый вбить... Если сами VPN настраивают. А win98, winme ? Альтернативный софт, да и тем более я уже не видел этих ОС у клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 24 января, 2005 · Жалоба Ну уж извините, это может каждый вбить... Если сами VPN настраивают.Альтернативный софт, да и тем более я уже не видел этих ОС у клиентов. Не может. Не все умеют устанавливать. Не все умеют настраивать VPN. Возми женщину 40 лет, которая интернет видет в 7-й раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 24 января, 2005 · Жалоба Roman Ivanov, У нас крупнейший провайдер в области заставляет настривать ВПН самим и диалам с вводом учётных данных в терминальном окне и ничего настраивают, в комплекте только бумажка со скриншотами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 24 января, 2005 · Жалоба Вернемся к 802.1x Если у Вас стадо клиентов на управляемом порту, тогда ставите железо которое умеет MAC-based 802.1x и наслаждаетесь (3Com 7700, HP не помню какой, D-Link 3226S), в этом случае авторизуется каждый MAC который лезет через порт. Мало того, что Вы авторизуете пользователя, но Вы авторизуете его для пары MAC+IP потому, что в случае MAC-based 802.1x на RADIUS передается и IP клиента тоже! Кроме того, свич будет периодически переавторизовывать клиента (винда будет отвечать на это так что пользователь не замечает - если пароль верный), что избавит Вас от возможности другому пользователю работать на этом же порту с MAC'ом клиента после ухода владельца. И понятно, что простой MD5 спасает от возможности воспроизвести пароль. Ну, а если у Вас вообще каждый клиент включается в управляемый порт, то тут 802.1х возможен, но не обязателен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Solo Опубликовано 24 января, 2005 · Жалоба 802.1x поддерживается в делинках (3226S, например) и аналогичных коробках. Да, поддерживается. Тестировали. Интересная штука. Только вот проблема в том, что но не поддерживается оперционками ниже выньХП... Без доп установки.. Да еще и всё железо низких уровней (свичи L2-L3) -Compex (CGX3224+GSM8308). Так вот сгх не умеют по радиусу авторизировать. Поэтому использовали связку: на сгх - привязка порта по мак (до 20 маков на порт) + авторизация пользователя через програмку на компе. Вот и не стали применять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 24 января, 2005 · Жалоба Да, поддерживается. Тестировали. Интересная штука. Только вот проблема в том, что но не поддерживается оперционками ниже выньХП... Без доп установки.. Да еще и всё железо низких уровней (свичи L2-L3) -Compex (CGX3224+GSM8308). Поддерживается, есть не только фирменный клиент для всего семейства Windows 9x (в муках вытрясается из M$), но и куча бесплатного, условно бесплатного и платного софта для реализации 802.1х Правильные ОС - Linux, FreeBSD, MacOS имеют встроеную поддержку. А при чем здесь железо? Или Вы и железо хотите авторизовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Solo Опубликовано 25 января, 2005 · Жалоба Немного неправильно выразился. Свичи низких уровней - перед пользователями - стоят CGX, которые не имеют поддержки аутетификации по радиусу. А менять все железо в сети на 7-8 тысяч пользователей... :-) Плюс - для домохозяек с ВинХП - никаких проблем, там все поддерживается. Но вот для домохозяйки с Вин98 - надо доутанавливать клиент аутотентификации. Что не совсем хорошо. Вот и решили отказаться от этой затеи. Плюс еще пару небольших минусов... И сделали проверку пользователя из двух частей - привязка его MAC на порту и авторизатора на самом компьютере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 25 января, 2005 · Жалоба Немного неправильно выразился. Свичи низких уровней - перед пользователями - стоят CGX, которые не имеют поддержки аутетификации по радиусу. А менять все железо в сети на 7-8 тысяч пользователей... :-) Плюс - для домохозяек с ВинХП - никаких проблем, там все поддерживается. Но вот для домохозяйки с Вин98 - надо доутанавливать клиент аутотентификации. Что не совсем хорошо. Вот и решили отказаться от этой затеи. Плюс еще пару небольших минусов...И сделали проверку пользователя из двух частей - привязка его MAC на порту и авторизатора на самом компьютере. Ну как я уже Вам показал это решается с помощью MAC-based 802.1x, вы просто втыкаете свои CGX в D-Link и все, тогда он будет авторизовать конкретные MAC'и и даже больше если кто то не хочет этого делать, то Вы можете просто прописать его MAC статикой на порту D-Link'а и авторизовать по Вашей старой схеме. Если Вам не хватает мощностей D-Link'а, то тогда берете 3Com или HP ставите его в центр сети и всех неохваченых D-Link'ами вытаскиваете на него. На счет установки клиента, а авторизатор Ваш с неба падает домохозяйке? А как он работает под Linux, FreeBSD и MacOS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 25 января, 2005 · Жалоба Solo, Плюс еще пару небольших минусов... Например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 25 января, 2005 · Жалоба Shiva, Берём Dlink 3526 или классом по выше, ставим ACL, что никуда ломится не надо, далее после авторизации по 802.1х прога по SNMP настраивает ACL так как надо. В этом случае можно поддерживать роуминг пользователей и много других вкусностей Вы тестировали такой вариант с DES 3526? В документации сказано, что из-за ограничений чипа возможно настроить только 9 access profiles, а портов 24 или 48 в случае 3550. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Solo Опубликовано 26 января, 2005 · Жалоба 4Shiva: Эксперементировали на DES3226S, через некоторое время веб-интерфейс начинал заметно тормозить. Далее, самая большая проблема среднего пользователя (все еще использующие WinME & Win98) - форматнул винт, установил по новой ось... Клиентской части для аутотентификации по Радиусу не осталось. Дискеты и диски давным давно пропил/потерял. Звонит в службу тех. поддержки, тем приходится отключать на его порту проверку по радиусу, чтобы он смог скопировать его по сети (ночью офисы не работают :-) )... Потом снова включать. Да и перестраивать сеть на почти 8000 пользователей... С Компексов на Д-линк+3Com... :-) А так при сотрудничестве с Compex, на свичи под наши требования выпускаются специализированные прошивки, самими изготавителями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 26 января, 2005 · Жалоба А ничего перестраивать не надо, достаточно в голову поставить HP или 3Com и всех авторизовать на нем, с постепенной заменой Compex'ов на D-Link'и Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 26 января, 2005 · Жалоба kisa, Вы тестировали такой вариант с DES 3526? Ещё нет, жду прошивку... Обещали 500 ACL в ней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 5 февраля, 2005 · Жалоба Обрящаюсь к уважаемому Roman Ivanov Заранее прошу прощения за "ламерский" вопрос, но чтение здесь http://www.cisco.com/en/US/products/hw/swi...008007e8ab.html не помогло, опыта общения с коммутаторами у меня немного (пока). Будьте столь любезны, окажите мне помощь в начальной конфирурации свитча cisco Catalyst 2950-24 (Standart Image) Есть желание получить следующее 1. Привязка МАК-Порт, или несколько маков-порт (на некоторые порты будет подключены неуправляемые комутаторы) 2. Port-security, блокирование неизвестных маков и запись в syslog 3. Возможно, ваши рекомендации по поводу дополнительных фич Привожу пример конфига на одном из портов На указанный порт подключены 2 пользователя через неуправляемый свитч. ! interface FastEthernet0/24 switchport access vlan 2 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation restrict switchport port-security mac-address 0030.4f23.fd26 switchport port-security mac-address 0030.4f24.0042 no ip address shutdown no cdp enable ! Что еще посоветуете? Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...