[Berlioz]

Будет работать такая схема без свича.

Есть 2 юникс бокса, сконфигурены vlan девайсы в первый vlan1, будет работать такая схема без умного свича, сквозь локалку. Свичи теги пропускают.

выйдит типа box2box vlan.

[builder]

В прынципе будет. Умный свич тут не при делах, вы его как бы вторым юнихом заменяете - одна карта вешает тэг - другая принимает кадры только с этим тэгом, т.с. терминирует. Карточки тока должны быть c 802.1q

[SergeiK]

Только если в локалке между юниксами попадется свич/бридж который режет MTU по 1500 получишь засаду. Пинги будут ходить, а полноразмерные пакеты - умрут. Вылечится обоюдным MTU на интерфейсах.

Ну, а если по дороге роутер, то конечно работать не будет.

 

И еще - в этом "влан" можно будет влезть с любого места, поэтому его секурные функции будут очень низки...

[Berlioz]

Я говорю что влан теги проходят.

Как можно влесть в этот влан, если и можно то сложнее чем поменять связку мак и ip.

Или я не прав???

Изменено 15 августа, 2006 пользователем Berlioz

[SergeiK]

Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

[builder]

И еще - в этом "влан" можно будет влезть с любого места, поэтому его секурные функции будут очень низки...

Прискорбный факт!

[Berlioz]

Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи.

Ну а если юсер уже в вилан влезет, то он не юсер а почти админ.

[Korj]

Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный.

Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи.

Ну а если юсер уже в вилан влезет, то он не юсер а почти админ.

Агащаз. Для того чтоб стать "почтиадмином" в наше время надо всего то в штатных настройках драйвера nForce-овской сетевухи выставить номер vlan. И afair intel что-то такое же простое делал, ну бродком поятжелее и достать и настроить, но опять же не проблема. Да и nForce в наше время на каждом первом игровом компе.

А номер vlan выдаст любой более-менее умный автоматический сниффер или "ломатель сети out-of-the-box".

Защита не бОльшая, чем алиас на интерфейсе повесить. И уж совершенно не понимаю, почему бы между двумя юнихами хоть какой самый примитивный VPN не поднять...

 

Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать...

[Reanimator++]

гхм, а не проще ли для секурной передачи че-нить типа OpenVPN сделать?

[desperado]

ересь какая-то...

гонять тэги по тупым свитчам имеет смысл только в пределах DMZ. Еще один дебилизм в компанию софтварных привязок IP-MAC и пр.

[Barsick]

Ну почему... IP и MAC - да, уже дети менять научились, а поставить тэг под виндой на, например, RTL8139 - не каждый админ сможет :)

[desperado]

Ну почему... IP и MAC - да, уже дети менять научились, а поставить тэг под виндой на, например, RTL8139 - не каждый админ сможет :)

я вот щас не поленился проверил, моя встроенная сетевуха на домашнем компе при отключенной поддержке влан, вообще тэги игнорирует... т.е. видит весь трафик...

 

надо еще 8139 воткнуть проверить...

[Yokodzun]

Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать...

Это Вы про нейтив?

Так он на всех нормальных коммутаторах изменяется на произвольный.

Так что ИМХО это не проблема.