sirmax Posted September 25, 2006 Posted September 25, 2006 Добрый день! Прошу прощения за (вероятно) много раз задававшийся вопрос, но ответа на него я не нашел :( Есть свичи 3ком суперстек 2 3300 Насколько я смог выяснить после чтения документации,, ситуация с ними следующяя В режиме секюрити можно - прописать разрешенные маки - прописать действие на порт при получении неизвестного мака (отключить порт, отключить на 20 сек, ничего не делать) Каким образом запретить все маки кроме прописаных (не выключаяя порт, а-ля как делается на каталистах) я не нашел. (я понимаю, что это идеологически неверно, но все же..) Если такая возможность есть - подскажите плз, или ткните где почитать. Если нет - скажите тоже, что б не мучался. Спасибо. Вставить ник Quote
Korj Posted September 25, 2006 Posted September 25, 2006 (edited) Это полностью неверно и если б это было возможно, был бы ликвидирован эффект не только от port security но и, скорее всего, появилась бы возможность переполнения mac и превращения в хаб. В современных свичах с trap-ами ещё б какой-то смысл был бы, а на уровне 3300 - только блокировать. И это правильно. Edited September 25, 2006 by Korj Вставить ник Quote
Nag Posted September 25, 2006 Posted September 25, 2006 http://nag.ru/goodies/hak/ps_3com/ps_3com.html Вставить ник Quote
Korj Posted September 25, 2006 Posted September 25, 2006 По network director-у, указанному в статье, если кому сильно нужно будет им долговременно пользоваться, можете меня распинать, я найду - делал когда-то кейген. Правда после этого сам нетворк директор выкинул, увидив, что реально схему сети он ни сам создать ни поддерживать не в состоянии -- вообще жалко столько работы 3com-овцев, а такая тупая imho программа... Кстати, а нет ли у 3300 трапов на это дело? - сам не помню - уже пару лет как 3300 в кладовку сложены - лежат в качестве подменных на случай чего... Вставить ник Quote
sirmax Posted September 25, 2006 Author Posted September 25, 2006 Nag Спасибо за ссылку, читал В случае обнаружения постороннего MAC-адреса, можно: выключать порт, ничего не делать (вероятно в этом случае коммутатор отбрасывает пакеты с неизвестными маками), и выключать порт на 20 секунно, собственно. проблема в том что "ничего не делать" - значит именно ничего не делать, т.е пропустить пакет с "несекюрным" МАК-ом. А хотелось бы все же дропать такой пакет (т.е. отключить изучение новых маков на секъюрном порту) (http://forum.nag.ru/index.php?showtopic=10033&st=20) PS Если у кго-то есть полная дока, напредмет "добавить VLAN, добавить порт в VLAN " по SNMP - поделитесь плз. Вставить ник Quote
foboss Posted September 26, 2006 Posted September 26, 2006 А можно поподробнее насчет кейгена? Он был бы очень кстати... Вставить ник Quote
Korj Posted September 26, 2006 Posted September 26, 2006 Видимо уже сейчас не судьба - ложусь в больницу дней на 10, а кейген на работе - уже туда не зайду. Через 2 недели в личку напомните... Вставить ник Quote
st_re Posted September 26, 2006 Posted September 26, 2006 но, собственно. проблема в том что "ничего не делать" - значит именно ничего не делать, т.е пропустить пакет с "несекюрным" МАК-ом. А хотелось бы все же дропать такой пакет (т.е. отключить изучение новых маков на секъюрном порту) Он при этом мак пропускает и мак не учит, т.е. в данном месте ответ идет не в этот порт, а во все..., сответственно "отключить изучение новых маков на секъюрном порту" выполняется ;) Смысл только в том, что приписанный к порту мак нет смысла втыкать в другой порт, ответов он не получит. А поменять карточку на нигде не прописанную в этом свитче ничто не мешает (разве что ответы будут валиться всем портам.) А жаль.. Вставить ник Quote
Осипов Posted September 27, 2006 Posted September 27, 2006 Ответ на ваш вопрос: НЕТ Сами используем ~300 шт. 3com SS2. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.