Berlioz Опубликовано 15 августа, 2006 · Жалоба Будет работать такая схема без свича. Есть 2 юникс бокса, сконфигурены vlan девайсы в первый vlan1, будет работать такая схема без умного свича, сквозь локалку. Свичи теги пропускают. выйдит типа box2box vlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 15 августа, 2006 · Жалоба В прынципе будет. Умный свич тут не при делах, вы его как бы вторым юнихом заменяете - одна карта вешает тэг - другая принимает кадры только с этим тэгом, т.с. терминирует. Карточки тока должны быть c 802.1q Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 15 августа, 2006 · Жалоба Только если в локалке между юниксами попадется свич/бридж который режет MTU по 1500 получишь засаду. Пинги будут ходить, а полноразмерные пакеты - умрут. Вылечится обоюдным MTU на интерфейсах. Ну, а если по дороге роутер, то конечно работать не будет. И еще - в этом "влан" можно будет влезть с любого места, поэтому его секурные функции будут очень низки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Berlioz Опубликовано 15 августа, 2006 (изменено) · Жалоба Я говорю что влан теги проходят. Как можно влесть в этот влан, если и можно то сложнее чем поменять связку мак и ip. Или я не прав??? Изменено 15 августа, 2006 пользователем Berlioz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 15 августа, 2006 · Жалоба Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 15 августа, 2006 · Жалоба И еще - в этом "влан" можно будет влезть с любого места, поэтому его секурные функции будут очень низки... Прискорбный факт! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Berlioz Опубликовано 15 августа, 2006 · Жалоба Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный. Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи. Ну а если юсер уже в вилан влезет, то он не юсер а почти админ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korj Опубликовано 15 августа, 2006 · Жалоба Чуть сложнее, наверно. Зависит от задачи. Прослушать - любой снифер разберет, а вот включится - надо железку, которые тэги повесит/снимет. Unix-ом на ура, Вянда - не знаю точно, и свич любой разумный. Вот это то чно нужно, главное чтобы юсер самовольно невключился, даже типа умный сподменой мака и айпи. Ну а если юсер уже в вилан влезет, то он не юсер а почти админ. Агащаз. Для того чтоб стать "почтиадмином" в наше время надо всего то в штатных настройках драйвера nForce-овской сетевухи выставить номер vlan. И afair intel что-то такое же простое делал, ну бродком поятжелее и достать и настроить, но опять же не проблема. Да и nForce в наше время на каждом первом игровом компе.А номер vlan выдаст любой более-менее умный автоматический сниффер или "ломатель сети out-of-the-box". Защита не бОльшая, чем алиас на интерфейсе повесить. И уж совершенно не понимаю, почему бы между двумя юнихами хоть какой самый примитивный VPN не поднять... Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanimator++ Опубликовано 15 августа, 2006 · Жалоба гхм, а не проще ли для секурной передачи че-нить типа OpenVPN сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 16 августа, 2006 · Жалоба ересь какая-то... гонять тэги по тупым свитчам имеет смысл только в пределах DMZ. Еще один дебилизм в компанию софтварных привязок IP-MAC и пр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 18 августа, 2006 · Жалоба Ну почему... IP и MAC - да, уже дети менять научились, а поставить тэг под виндой на, например, RTL8139 - не каждый админ сможет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 18 августа, 2006 · Жалоба Ну почему... IP и MAC - да, уже дети менять научились, а поставить тэг под виндой на, например, RTL8139 - не каждый админ сможет :) я вот щас не поленился проверил, моя встроенная сетевуха на домашнем компе при отключенной поддержке влан, вообще тэги игнорирует... т.е. видит весь трафик... надо еще 8139 воткнуть проверить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yokodzun Опубликовано 18 августа, 2006 · Жалоба Кстати vlan с тэгом 1 очень не рекомендую - новые свичи его без тега гонят - раньше без тега 0 считался, а вот последних лет выпуска - стабильно 1. Может и какой "умный" драйвер униха так же сделать... Это Вы про нейтив? Так он на всех нормальных коммутаторах изменяется на произвольный. Так что ИМХО это не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...