Jump to content

Vlan без свича

Berlioz
 Share

Recommended Posts

Berlioz

Berlioz

Posted
Posted

Будет работать такая схема без свича.

Есть 2 юникс бокса, сконфигурены vlan девайсы в первый vlan1, будет работать такая схема без умного свича, сквозь локалку. Свичи теги пропускают.

выйдит типа box2box vlan.

builder

builder

Posted
Posted

В прынципе будет. Умный свич тут не при делах, вы его как бы вторым юнихом заменяете - одна карта вешает тэг - другая принимает кадры только с этим тэгом, т.с. терминирует. Карточки тока должны быть c 802.1q

SergeiK

SergeiK

Posted
Posted

Только если в локалке между юниксами попадется свич/бридж который режет MTU по 1500 получишь засаду. Пинги будут ходить, а полноразмерные пакеты - умрут. Вылечится обоюдным MTU на интерфейсах.

Ну, а если по дороге роутер, то конечно работать не будет.

 

И еще - в этом "влан" можно будет влезть с любого места, поэтому его секурные функции будут очень низки...

Berlioz

Berlioz

Posted
  • Author
Posted (edited)

Я говорю что влан теги проходят.

Как можно влесть в этот влан, если и можно то сложнее чем поменять связку мак и ip.

Или я не прав???

Edited by Berlioz
SergeiK

SergeiK

Posted
Posted

Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

Berlioz

Berlioz

Posted
  • Author
Posted
Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи.

Ну а если юсер уже в вилан влезет, то он не юсер а почти админ.

Korj

Korj

Posted
Posted

Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи.

Ну а если юсер уже в вилан влезет, то он не юсер а почти админ.

Агащаз. Для того чтоб стать "почтиадмином" в наше время надо всего то в штатных настройках драйвера nForce-овской сетевухи выставить номер vlan. И afair intel что-то такое же простое делал, ну бродком поятжелее и достать и настроить, но опять же не проблема. Да и nForce в наше время на каждом первом игровом компе.

А номер vlan выдаст любой более-менее умный автоматический сниффер или "ломатель сети out-of-the-box".

Защита не бОльшая, чем алиас на интерфейсе повесить. И уж совершенно не понимаю, почему бы между двумя юнихами хоть какой самый примитивный VPN не поднять...

 

Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать...

desperado

desperado

Posted
Posted

ересь какая-то...

гонять тэги по тупым свитчам имеет смысл только в пределах DMZ. Еще один дебилизм в компанию софтварных привязок IP-MAC и пр.

desperado

desperado

Posted
Posted
Ну почему... IP и MAC - да, уже дети менять научились, а поставить тэг под виндой на, например, RTL8139 - не каждый админ сможет :)

я вот щас не поленился проверил, моя встроенная сетевуха на домашнем компе при отключенной поддержке влан, вообще тэги игнорирует... т.е. видит весь трафик...

 

надо еще 8139 воткнуть проверить...

Yokodzun

Yokodzun

Posted
Posted
Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать...

Это Вы про нейтив?

Так он на всех нормальных коммутаторах изменяется на произвольный.

Так что ИМХО это не проблема.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.