alger Опубликовано 4 декабря, 2018 · Жалоба Приветствую. Понимаю что глупый вопрос, но вдруг есть какое-то решение. Можно ли как-то на коммутаторе защитить порты сделав так чтобы к определенному порту можно было подключить коммутатор с определенным MAC адресом на порту? Есть два офиса, в каждом по коммутатору, между ними другой коммутатор, но стоит он в чужом помещении, где есть доступ посторонним. Можно ли как-то сделать чтобы к промежуточному коммутатору в разврыв не подключили другой коммутатор, тем самым получили доступ в сеть. Сейчас промежуточным стоит микротик rb2011, но можно и cisco 2960 поставить. Проблема в том что кол-во МАС адресов за коммутаторами с каждой стороны не известно. Но известны МАС адреса портов подключенных к RB2011. Интересует как это сделать именно на L2, чтобы не терять в скорости. Пока идея такая, что скриптом на rb2011 просматриваем MAC адреса на портах ether1 & ether2, и если среди них нет нужных то блокируем порт. Но если включить в разрыв другой коммутатор, то это никак не поможет. Может есть другие варианты ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 декабря, 2018 · Жалоба Используйте нормальное управляемое оборудование, в котором есть port-security. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 4 декабря, 2018 (изменено) · Жалоба 42 минуты назад, alibek сказал: Используйте нормальное управляемое оборудование, в котором есть port-security. Можно конкретнее чем мне поможет port-security на примере cisco 2960 ? И что в вашем понимании "нормальное управляемое оборудование"? На опережение скажу оборудование поддерживающее MacSec отсутствует. Изменено 4 декабря, 2018 пользователем alger Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 4 декабря, 2018 · Жалоба А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 декабря, 2018 · Жалоба 1) У коммутатора нет мака на порту 2) 2011- это маршрутизатор 3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет) 4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 5 декабря, 2018 · Жалоба 11 часов назад, sol сказал: А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. Практика показывает, что если у кого-то начинают чесаться руки, то выключенными портами его не остановить. Там и перезагрузят 10 раз, и сбросят, если найдут куда "скрепкой ткнуть" и наперетыкают так, что потом не разберешься. Только закрываемый ящик/шкаф. Решать на физическом уровне модели OSI, а не на вышестоящих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба 12 часов назад, sol сказал: А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать? Ну или жевачкой заклеить. само собой отключены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 (изменено) · Жалоба 5 часов назад, VolanD666 сказал: 1) У коммутатора нет мака на порту 2) 2011- это маршрутизатор 3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет) 4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю) 1. есть 2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник. 3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой. 4. Второй раз пишут про c2960, но никакой конкретики. Расскажите как это сделать ! Касательно моей задачи, что такого может c2960 что не может rb2011 ? Изменено 5 декабря, 2018 пользователем alger Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 декабря, 2018 · Жалоба 5 минут назад, alger сказал: 1. есть 2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник. 3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой. 4. вы второй раз пишите про c2960, но никакой конкретики. Так расскажите как это сделать ! 1) Я имел ввиду, что если коммутатор сам ничего слать не будет- вы этот мак не увидите. 4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба Только что, VolanD666 сказал: 4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что? Вы написали "Ставите настоящий коммутатор (например c2960)", так что такого может с2960 что не может rb2011? Или вы думаете на rb2011 нельзя выключить порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 декабря, 2018 · Жалоба Ну насколько я помню, dot1x он не умеет. Или уже умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 декабря, 2018 · Жалоба Только что, alger сказал: так что такого может с2960 что не может rb2011 Странный вопрос. RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами). Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 декабря, 2018 · Жалоба Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба Только что, alibek сказал: Странный вопрос. RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами). Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X. в ROS есть аналог port-security, покрывают возможности IOS на 90%. Установить ограничение по кол-во МАС и привязать МАС делается легко. Но мы ушли от темы. Конкретно по моей задаче, подскажите чем мне поможет c2960? 10 минут назад, VolanD666 сказал: Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011 802.1X не подходит, т.к. это авторизация между коммутатором и клиентом. ЗЫ: в ROS есть поддержка 802.1X 17 минут назад, VolanD666 сказал: Ну насколько я помню, dot1x он не умеет. Или уже умеет? на сколько знаю, не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 5 декабря, 2018 · Жалоба Дык чего вы хотите-то? Выключите порты и всё. Через выключенный порт до вас никто не доберётся. Если вы опасаетесь, что через выключенный порт до вас доберётся злоумышленник путём сброса железки в дефолт, то и всё ваши ухищрения с 802.1X не помогут также. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба 10 минут назад, sol сказал: Выключите порты и всё. Через выключенный порт до вас никто не доберётся. Как я писал выше, не используемые порты включены. Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 декабря, 2018 · Жалоба macsec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 декабря, 2018 · Жалоба macsec не на всякой платформе есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба 5 минут назад, zhenya` сказал: macsec Как я писал выше, нет возможности. во-первых у меня оборудование не поддерживает во-вторых разве на транковом порту можно использовать macsec ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 5 декабря, 2018 · Жалоба 1 час назад, alger сказал: Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор! Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы. Всё остальное ерунда. 802.1X тоже не поможет, т.к.: 1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту. 2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу. В целом, выгода гораздо меньше, чем геморрой от всего этого. Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь. Ну или вот: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 5 декабря, 2018 · Жалоба как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба 16 минут назад, sol сказал: Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы. Всё остальное ерунда. 802.1X тоже не поможет, т.к.: 1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту. 2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу. В целом, выгода гораздо меньше, чем геморрой от всего этого. Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь. Ну или вот: 802.1Х я сразу отмел. MacSec не могу себе позволить, слишком дорогое оборудование. Ссылка ваша интересная, но asr из-за этого ставить это как из пушки по воробьям. Ставить невротики и пускать ipsec & eoip пока не готов. Это на крайний случай. С настройкой и сам справлюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 5 декабря, 2018 · Жалоба Тогда всё просто: Христос терпел и нам велел. Оставьте как есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 5 декабря, 2018 · Жалоба 13 минут назад, anatoly сказал: как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется А это вариант! Надо будет попробовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 5 декабря, 2018 · Жалоба 20 минут назад, anatoly сказал: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется А при впихивании "тупика" в этот портченнел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...