[man781]

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

 

Для ограничения доступа к свичу юзается сложный пасс и authentication ip access-class acl_name

Вот так исторически сложилось.

Свичей реально тысячи и переделывать не так уж и просто.

 

Знаю, что это очень некрасиво - но чем реально плохо?

[disappointed]

MitM атакой на телнет сессию до коммутатора,

Если жёстко прибить связки маков и айпишников свитчей на железе куда всё сводится,

то наверное ещё останется опасной возможность л2 флуда.. шторма, петель,

что может привести CPU свитча в полку и как следствие отвалу управления.

Вообщем подводя итог - всё зависит от применяемых ACL-ей на абонских портах.

[pppoetest]

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

Потерей управления, достаточно пофлудить арп.

 

Вообщем подводя итог

Как бы небыло геморно, управление всё таки лучше вынести.

[disappointed]

А ну да, свитч же тоже можно залить arp-isit пакетами, так, что он настоящего

мака своего гейта вжизнь не получит. И даже если это пофиксить статической записью у него в FDB,

то объём такой работы будет больше, чем просто нормально довести managment изолированно.

[man781]

а не помогает от всего этого? :

dhcp snooping

arp inspection

arp rate limit

loop detection

и тому подобные рючешки?

 

 

И даже если потеряли управление на время (не часто нужно управление на домовом свиче вот прям щас)

- юзерский трафик то все равно по идее в это время форвардится.

[pppoetest]

а не помогает от всего этого? :

dhcp snooping

arp inspection

arp rate limit

loopback-detection

и тому подобные рючешки?

Сколько займёт времени настройка этих рюшечек? Я думаю всяко меньше, чем вынесение управления в отдельный влан/ы.

[man781]

эти рюшечки настроены изначально.

 

Кстати - недавно нужно было на всех свичах изменить настройки игмп.

Скрипт на баше + expect = очень помогает - запускаешь и идешь курить на пару часов.

 

А вот адрес управления так просто поменять не получится...

И много чего еще завязано.

[xcme]

И даже если потрели управление на время (не часто нужно управление на домовом свиче вот прям щас)

- юзерский трафик то все равно по идее в это время.

Некоторые функции все равно реализованы программно. IGMP Snooping, DHCP Relay, Storm Control и т.п. вещи. Юзерский трафик будет ходить, но будет проблема с телевидением и получением IP-адресов.

К тому же трафик, который летит прямиком на интерфейс коммутатора, имеет некоторый приоритет по отношению к остальному. Во всяком случае на проц он будет попадать, пусть даже ACL его в итоге дропнут.

На D-Link не нашел способа защитить коммутатор собственными средствами и это при том, что управление в отдельном vlan. А если нет, то вообще беда.

То есть либо вариант с управляющим влан и отсутствие маршрутизации туда для абонентов, либо вариант с управляющим влан и ACL на доступе для абонентов.

Хоть коммутатор и не может спасти себя от флуда, но он может спасти соседей, в то время как соседи защищают его.

 

Если имеете какие то странности на доступе и не всегда понятное поведение - выносите управление отдельно и результат вас приятно удивит.

[man781]

странности есть всегда )

конечно - если есть шанс их уменьшить - лучше уменьшить

[alexaaa]

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

 

Для ограничения доступа к свичу юзается сложный пасс и authentication ip access-class acl_name

Вот так исторически сложилось.

Свичей реально тысячи и переделывать не так уж и просто.

 

Знаю, что это очень некрасиво - но чем реально плохо?

что за дебилизм, управление свича выноситься в отдельный влан всегда, даже если у вас их тысячи, можно по 20 штук реально перенастроить в день.

[man781]

Это и Капитану Очевидность ясно - что нужно выносить управление.

Вопрос даже не об этом стоит.

Вопрос топика про РЕАЛЬНЫЕ грабли.

Просто это интересно.

Вот Вы напишите конкретные реальные грабли из вашей жизни, а не теоретические предположения.

Или у всех сразу было сделано правильно и никто даже и не знает реальные грабли....

Просто у меня управление в юзерском влан - и вроде с большего все работает.

А там хз...

[xcme]

Вот Вы напишите конкретные реальные грабли из вашей жизни, а не теоретические предположения.

Конкретно это выглядит так: коммутатор недоступен или безбожно тормозит по неизвестной причине. Когда его отпускает и доступ появляется, то измерять там уже нечего. Почесали репу, пожали плечами и забыли.

И тут речь даже не о предположениях, а об понимании общих принципов работы. Не обязательно СНАЧАЛА наступать на грабли, а потом устранять их. Можно ведь и заранее их спрятать. =)

 

p.s. Бывает еще карта "мигает". Свичик не ответил на арп из-за давления на проц - время жизни на роутере устарело и коммутатор отметился "упавшим" на карте. А на следующий арп уже есть ответ и свичик "поднимается".

Edited November 29, 2015 by xcme

[pppoetest]

Или у всех сразу было сделано правильно и никто даже и не знает реальные грабли....

Именно, я месяца три интернеты штудировал, прежде чем что-либо начинать строить.

[man781]

все понял. всем спасибо

[Negator]

а еще есть snmp, которое тоже включено наверняка.