Перейти к содержимому
Калькуляторы

Защита портов на коммутаторе

Приветствую.

 

Понимаю что глупый вопрос, но вдруг есть какое-то решение. Можно ли как-то на коммутаторе защитить порты сделав так чтобы к определенному порту можно было подключить коммутатор с определенным MAC адресом на порту?

 

switch2011.thumb.jpg.693288b883fe9e4e34f5c73de8e52a84.jpg

 

Есть два офиса, в каждом по коммутатору, между ними другой коммутатор, но стоит он в чужом помещении, где есть доступ посторонним. Можно ли как-то сделать чтобы к промежуточному коммутатору в разврыв не подключили другой коммутатор, тем самым получили доступ в сеть. Сейчас промежуточным стоит микротик rb2011, но можно и cisco 2960 поставить.

Проблема в том что кол-во МАС адресов за коммутаторами с каждой стороны не известно. Но известны МАС адреса портов подключенных к RB2011.

Интересует как это сделать именно на L2, чтобы не терять в скорости.

Пока идея такая, что скриптом на rb2011 просматриваем MAC адреса на портах ether1 & ether2, и если среди них нет нужных то блокируем порт. Но если включить в разрыв другой коммутатор, то это никак не поможет.

Может есть другие варианты ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используйте нормальное управляемое оборудование, в котором есть port-security.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, alibek сказал:

Используйте нормальное управляемое оборудование, в котором есть port-security.

Можно конкретнее чем мне поможет port-security на примере cisco 2960 ?

И что в вашем понимании "нормальное управляемое оборудование"? На опережение скажу оборудование поддерживающее MacSec отсутствует.

Изменено пользователем alger

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) У коммутатора нет мака на порту

2) 2011- это маршрутизатор

3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет)

4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю)

   

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, sol сказал:

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

Практика показывает, что если у кого-то начинают чесаться руки, то выключенными портами его не остановить.

Там и перезагрузят 10 раз, и сбросят, если найдут куда "скрепкой ткнуть" и наперетыкают так, что потом не разберешься.

Только закрываемый ящик/шкаф. Решать на физическом уровне модели OSI, а не на вышестоящих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, sol сказал:

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

само собой отключены

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, VolanD666 сказал:

1) У коммутатора нет мака на порту

2) 2011- это маршрутизатор

3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет)

4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю)

   

1. есть

2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник.

3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой.

4. Второй раз пишут про c2960, но никакой конкретики. Расскажите как это сделать ! Касательно моей задачи,  что такого может c2960 что не может rb2011 ?

Изменено пользователем alger

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, alger сказал:

1. есть

2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник.

3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой.

4. вы второй раз пишите про c2960, но никакой конкретики. Так расскажите как это сделать !

1) Я имел ввиду, что если коммутатор сам ничего слать не будет- вы этот мак не увидите.

4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, VolanD666 сказал:

4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что?

Вы написали "Ставите настоящий коммутатор (например c2960)", так что такого может с2960 что не может rb2011?

Или вы думаете на rb2011 нельзя выключить порт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну насколько я помню, dot1x он не умеет. Или уже умеет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, alger сказал:

так что такого может с2960 что не может rb2011

Странный вопрос.

RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами).

Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, alibek сказал:

Странный вопрос.

RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами).

Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X.

в ROS есть аналог port-security, покрывают возможности IOS на 90%. Установить ограничение по кол-во МАС и привязать МАС делается легко.

Но мы ушли от темы.

Конкретно по моей задаче, подскажите чем мне поможет c2960? 

 

 

10 минут назад, VolanD666 сказал:

Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011

802.1X не подходит, т.к. это авторизация между коммутатором и клиентом.

 

ЗЫ: в ROS есть поддержка 802.1X

 

17 минут назад, VolanD666 сказал:

Ну насколько я помню, dot1x он не умеет. Или уже умеет?

на сколько знаю, не умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык чего вы хотите-то?

 

Выключите порты и всё. Через выключенный порт до вас никто не доберётся.

 

Если вы опасаетесь, что через выключенный порт до вас доберётся злоумышленник путём сброса железки в дефолт, то и всё ваши ухищрения с 802.1X не помогут также.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, sol сказал:

Выключите порты и всё. Через выключенный порт до вас никто не доберётся.

 

Как я писал выше, не используемые порты включены. Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

macsec не на всякой платформе есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, zhenya` сказал:

macsec

Как я писал выше, нет возможности.

во-первых у меня оборудование не поддерживает

во-вторых разве на транковом порту можно использовать macsec ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, alger сказал:

Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор!

Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы.

 

Всё остальное ерунда.

802.1X тоже не поможет, т.к.:

1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту.

2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу.

В целом, выгода гораздо меньше, чем геморрой от всего этого.

 

Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь.

 

Ну или вот:

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, sol сказал:

Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы.

 

Всё остальное ерунда.

802.1X тоже не поможет, т.к.:

1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту.

2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу.

В целом, выгода гораздо меньше, чем геморрой от всего этого.

 

Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь.

 

Ну или вот:

 

802.1Х я сразу отмел.

MacSec не могу себе позволить, слишком дорогое оборудование. Ссылка ваша интересная, но asr из-за этого ставить это как из пушки по воробьям.

Ставить невротики и пускать ipsec & eoip пока не готов. Это на крайний случай. С настройкой и сам справлюсь.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда всё просто: Христос терпел и нам велел. Оставьте как есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, anatoly сказал:

как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

А это вариант! 

Надо будет попробовать. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, anatoly сказал:

настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

А при впихивании "тупика" в этот портченнел?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.