alger Posted December 4, 2018 · Report post Приветствую. Понимаю что глупый вопрос, но вдруг есть какое-то решение. Можно ли как-то на коммутаторе защитить порты сделав так чтобы к определенному порту можно было подключить коммутатор с определенным MAC адресом на порту? Есть два офиса, в каждом по коммутатору, между ними другой коммутатор, но стоит он в чужом помещении, где есть доступ посторонним. Можно ли как-то сделать чтобы к промежуточному коммутатору в разврыв не подключили другой коммутатор, тем самым получили доступ в сеть. Сейчас промежуточным стоит микротик rb2011, но можно и cisco 2960 поставить. Проблема в том что кол-во МАС адресов за коммутаторами с каждой стороны не известно. Но известны МАС адреса портов подключенных к RB2011. Интересует как это сделать именно на L2, чтобы не терять в скорости. Пока идея такая, что скриптом на rb2011 просматриваем MAC адреса на портах ether1 & ether2, и если среди них нет нужных то блокируем порт. Но если включить в разрыв другой коммутатор, то это никак не поможет. Может есть другие варианты ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 4, 2018 · Report post Используйте нормальное управляемое оборудование, в котором есть port-security. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 4, 2018 (edited) · Report post 42 минуты назад, alibek сказал: Используйте нормальное управляемое оборудование, в котором есть port-security. Можно конкретнее чем мне поможет port-security на примере cisco 2960 ? И что в вашем понимании "нормальное управляемое оборудование"? На опережение скажу оборудование поддерживающее MacSec отсутствует. Edited December 4, 2018 by alger Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted December 4, 2018 · Report post А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted December 5, 2018 · Report post 1) У коммутатора нет мака на порту 2) 2011- это маршрутизатор 3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет) 4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted December 5, 2018 · Report post 11 часов назад, sol сказал: А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. Практика показывает, что если у кого-то начинают чесаться руки, то выключенными портами его не остановить. Там и перезагрузят 10 раз, и сбросят, если найдут куда "скрепкой ткнуть" и наперетыкают так, что потом не разберешься. Только закрываемый ящик/шкаф. Решать на физическом уровне модели OSI, а не на вышестоящих. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post 12 часов назад, sol сказал: А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. само собой отключены Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 (edited) · Report post 5 часов назад, VolanD666 сказал: 1) У коммутатора нет мака на порту 2) 2011- это маршрутизатор 3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет) 4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю) 1. есть 2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник. 3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой. 4. Второй раз пишут про c2960, но никакой конкретики. Расскажите как это сделать ! Касательно моей задачи, что такого может c2960 что не может rb2011 ? Edited December 5, 2018 by alger Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted December 5, 2018 · Report post 5 минут назад, alger сказал: 1. есть 2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник. 3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой. 4. вы второй раз пишите про c2960, но никакой конкретики. Так расскажите как это сделать ! 1) Я имел ввиду, что если коммутатор сам ничего слать не будет- вы этот мак не увидите. 4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post Только что, VolanD666 сказал: 4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что? Вы написали "Ставите настоящий коммутатор (например c2960)", так что такого может с2960 что не может rb2011? Или вы думаете на rb2011 нельзя выключить порт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted December 5, 2018 · Report post Ну насколько я помню, dot1x он не умеет. Или уже умеет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 5, 2018 · Report post Только что, alger сказал: так что такого может с2960 что не может rb2011 Странный вопрос. RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами). Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted December 5, 2018 · Report post Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post Только что, alibek сказал: Странный вопрос. RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами). Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X. в ROS есть аналог port-security, покрывают возможности IOS на 90%. Установить ограничение по кол-во МАС и привязать МАС делается легко. Но мы ушли от темы. Конкретно по моей задаче, подскажите чем мне поможет c2960? 10 минут назад, VolanD666 сказал: Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011 802.1X не подходит, т.к. это авторизация между коммутатором и клиентом. ЗЫ: в ROS есть поддержка 802.1X 17 минут назад, VolanD666 сказал: Ну насколько я помню, dot1x он не умеет. Или уже умеет? на сколько знаю, не умеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted December 5, 2018 · Report post Дык чего вы хотите-то? Выключите порты и всё. Через выключенный порт до вас никто не доберётся. Если вы опасаетесь, что через выключенный порт до вас доберётся злоумышленник путём сброса железки в дефолт, то и всё ваши ухищрения с 802.1X не помогут также. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post 10 минут назад, sol сказал: Выключите порты и всё. Через выключенный порт до вас никто не доберётся. Как я писал выше, не используемые порты включены. Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 5, 2018 · Report post macsec Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 5, 2018 · Report post macsec не на всякой платформе есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post 5 минут назад, zhenya` сказал: macsec Как я писал выше, нет возможности. во-первых у меня оборудование не поддерживает во-вторых разве на транковом порту можно использовать macsec ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted December 5, 2018 · Report post 1 час назад, alger сказал: Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор! Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы. Всё остальное ерунда. 802.1X тоже не поможет, т.к.: 1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту. 2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу. В целом, выгода гораздо меньше, чем геморрой от всего этого. Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь. Ну или вот: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted December 5, 2018 · Report post как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post 16 минут назад, sol сказал: Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы. Всё остальное ерунда. 802.1X тоже не поможет, т.к.: 1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту. 2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу. В целом, выгода гораздо меньше, чем геморрой от всего этого. Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь. Ну или вот: 802.1Х я сразу отмел. MacSec не могу себе позволить, слишком дорогое оборудование. Ссылка ваша интересная, но asr из-за этого ставить это как из пушки по воробьям. Ставить невротики и пускать ipsec & eoip пока не готов. Это на крайний случай. С настройкой и сам справлюсь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted December 5, 2018 · Report post Тогда всё просто: Христос терпел и нам велел. Оставьте как есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted December 5, 2018 · Report post 13 минут назад, anatoly сказал: как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется А это вариант! Надо будет попробовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted December 5, 2018 · Report post 20 минут назад, anatoly сказал: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется А при впихивании "тупика" в этот портченнел? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...