[alger]

2 минуты назад, sol сказал:

А при впихивании "тупика" в этот портченнел?

 

Также сразу эта мысль пришла. Поэтому и написал что надо попробовать.

[sol]

А можете не пробовать. Поднимается.

 

[anatoly]

5 минут назад, sol сказал:

А при впихивании "тупика" в этот портченнел?

 

как бы то ни было, даже если это не разорвет портченнел - это не позволит врагу работать в сети (но не помешает поснифать трафик, но для этого врагу и коммутатор ставить не надо, тогда уж, а разрезать медь, например, и встать на нее крокодилами)

[sol]

Только что, anatoly сказал:

как бы то ни было, даже если это не разорвет портченнел - это не позволит врагу работать в сети

а это ещё почему? Ну пришлёт "тупик" фрейм. И что? На каком основании участники портченнела должны его дропнуть?

 

[sol]

Да, и зачем ASR для этого покупать?

также 3760x и 3750х могут и без модуля шифровать на гигабитных портах

[McSea]

@alger 

Физикал секьюкири никто не отменял, железный ящик с замком, чтобы нельзя было просто так кабель выдернуть и в свой

коммутатор включить.

И мониторинг на отключения более пары минут, чтобы отследить, если враг решит разрезать кабель и обжать разъемы.

 

А для экстремалов с паяльником вариант - перепаять RJ-45 в RB2011 на нестандартную разводку, соотвественно обжать кабель. Будучи переткнутым в нормальный разъем, работать не будет, 99% никто там не будет разбираться почему и оставит ваш ящик в покое :))

Изменено 5 декабря, 2018 пользователем McSea

[maxkst]

А почему вы боитесь Reset на Микротике? Сохраните свой конфиг, а потом перешейте роутер с ним же в качестве factory default, и пусть себе ресетят потом. 

[alger]

55 минут назад, McSea сказал:

@algerА для экстремалов с паяльником вариант - перепаять RJ-45 в RB2011 на нестандартную разводку, соотвественно обжать кабель. Будучи переткнутым в нормальный разъем, работать не будет, 99% никто там не будет разбираться почему и оставит ваш ящик в покое :))

 

5 балов ! 

[Saab95]

Самое простое это использовать PPPoE для авторизации подключенных устройств. Тогда без разницы какие там коммутаторы, порты и прочее.

[dengus]

С двух сторон маршрутизаторы. Между ними туннель eoip. Ipsec для пущего, но не обязательно. На маршрутизаторах сбриджевать туннели с портами в коммутаторы офисов. Теперь какой будет посередине коммутатор вообще пофиг.

[sol]

В 07.12.2018 в 11:03, dengus сказал:

. Между ними туннель eoip

Ну и чем лишний уровень энкапсуляции помешает мне вклиниться в обмен пакетами?

[alger]

В 12/7/2018 в 11:03, dengus сказал:

С двух сторон маршрутизаторы. Между ними туннель eoip. Ipsec для пущего, но не обязательно. На маршрутизаторах сбриджевать туннели с портами в коммутаторы офисов. Теперь какой будет посередине коммутатор вообще пофиг.

Вы изменили задачу. Есть коммутаторы! На маршуртизаторах каждый может :)

 

В 12/5/2018 в 15:45, sol сказал:

А можете не пробовать. Поднимается.

 

Проверил, поднялся :(

 

Остается или маршрутизаторы ставить или коммутаторы поддерживающие MacSec. Первый вариант будет дешевле, если "невротики" брать.

 

Изменено 10 декабря, 2018 пользователем alger