Jump to content

Реализация IP+MAC security...

-=ДжА=-
 Share

Recommended Posts

-=ДжА=-

-=ДжА=-

Posted
Posted

Порекоммендуйте пожалуйста коммутаторы с указанной возможностью.

Стоимостью не более 400$

 

Пока, кроме DES-3526 ничего не обнаружил.

 

И, начиная с какой серии это могут делать коммутаторы 3com?

SMH

SMH

Posted
Posted (edited)

я и переспросил, думал ошибаешься. Не помню я в Длинке этой фичи(((

В актоне вроде тоже есть, надо менеджмент полистать.

Edited by SMH
teodor

teodor

Posted
Posted

Самое дешёвое это DES 3026 от Длинка, что то около 4,5 т.р. по прайс.ру в последней прошивке умеет IP-MAC-Port Binding

Diesel

Diesel

Posted
Posted

Если интересует как обеспечить безопасность за меньшие деньги - то обычно делается MAC-секьюрити на порту коммутатора + контроль IP+MAC arp-таблицей маршрутизатора.

teodor

teodor

Posted
Posted

То Diesel, а не подскажите связочку оборудования (L2 + L3) где цена за порт с IP-MAC-port будет дешевле 200 рублей. И ссылочки не забудьте.

-=ДжА=-

-=ДжА=-

Posted
  • Author
Posted
Если интересует как обеспечить безопасность за меньшие деньги - то обычно делается MAC-секьюрити на порту коммутатора + контроль IP+MAC arp-таблицей маршрутизатора.

Мне требуется безопасность на стадии подключения.

Т.е. залез человек к свичу, воткнул патч с ноутом, а порт в коммутаторе взял и отрубился!

Вы скажете МАС-секьюрити!

Тогда другая ситуация. Пользователь авторизован, МАС разрешён, банально меняет IP, а коммутатор молча работает.

Вот потому и нужен IP-MAC-Port Binding!

vIv

vIv

Posted
Posted

Пользователь пришёл домой с ноутбуком, в два часа ночи, - а им оплаченный тырнет нифига не тырнетит. Не кузяво!

 

Речь идёт о корпоративной сети? Или об операторе связи?

Diesel

Diesel

Posted
Posted

>> Пользователь авторизован, МАС разрешён, банально меняет IP,

>> а коммутатор молча работает

маршрутизатор видит подмену ИП-адреса и SNMP-командой гасит порт на коммутаторе.

В чем проблема?

Эти системы давно работают.

Переносить управление и принятие решения на коммутатор - моветон.

vIv

vIv

Posted
Posted
ПНэт :)))

Пользователи приучены предупреждать о сменах железа в компе

и работе с ноутбуков заранее.

Не операторский подход. Не дело это, "приучать пользователей".

Nag

Nag

Posted
Posted
Не операторский подход. Не дело это, "приучать пользователей".
Да уж сколько раз говоили. ;-)

Зачем жестко фиксировать? Достаточно писать в лог.

что мас, что айпи, что пароли (человек от соседа ломится)...

1. писать лог

2. централизованно принимать решение (софтом, в основном)

3. если нужно - действия (банить, звонить..)

Например, пользователь (нормальный) будет очень доволен, если ему позвонят и попросят сделать правильно. ;-)

witch

witch

Posted
Posted (edited)
Пользователь пришёл домой с ноутбуком, в два часа ночи, - а им оплаченный тырнет нифига не тырнетит. Не кузяво!

а софтверно поменять мас на сетевухе компа сложно? клиент же не 10 ноутов имеет! :) подключает то по очерди....

Edited by witch
vIv

vIv

Posted
Posted
Пользователь пришёл домой с ноутбуком, в два часа ночи, - а им оплаченный тырнет нифига не тырнетит. Не кузяво!
а софтверно поменять мас на сетевухе компа сложно? клиент же не 10 ноутов имеет! :) подключает то по очерди....

Действительно, много раз говорили.

 

Вот ты заходишь в магазин, но не со своей обычной сумкой, а с пакетом, хочешь купить хлебушка. А продавец тебе и говорит: вали отсюда! Приходи с сумкой, - тогда продам хлеба!

 

Во-первых, осложнять пользователю возможность потратить свои деньги, - невежливо. А во-вторых это, мягко скажем, странно для коммерсанта ;-)

 

В идеале услуга должна быть не сложнее кнопки "сделать хорошо" с интегрированным купюроприёмником.

 

Если для нажатия на кнопку требуется не только иметь деньги, но и знать все танцевальные па тумба-юмба, базовые основы финского языка и плясать, напевая "порви кардиолу", перед ней минимум пол-часа, - это плохая, негодная кнопка. Пользоваться ею будут только, если рядом нет более простых и удобных кнопок ;-)

witch

witch

Posted
Posted

я своим домашним клиентам предлагаю поставить DI-604 за 600р настроить на нём DHCP+NAT и взять управление на себя...... надо будет wi-fi ? поменяем на wifi, сколько помню за 4 года только 1 отказывался.... лишь бы клиенту удобно было...

 

а вообще я про обход проблемы в единичном случае говорил. и свой случай описал :)

desperado

desperado

Posted
Posted
Пользователь пришёл домой с ноутбуком, в два часа ночи, - а им оплаченный тырнет нифига не тырнетит. Не кузяво!
а софтверно поменять мас на сетевухе компа сложно? клиент же не 10 ноутов имеет! :) подключает то по очерди....

Действительно, много раз говорили.

 

Вот ты заходишь в магазин, но не со своей обычной сумкой, а с пакетом, хочешь купить хлебушка. А продавец тебе и говорит: вали отсюда! Приходи с сумкой, - тогда продам хлеба!

 

Во-первых, осложнять пользователю возможность потратить свои деньги, - невежливо. А во-вторых это, мягко скажем, странно для коммерсанта ;-)

 

В идеале услуга должна быть не сложнее кнопки "сделать хорошо" с интегрированным купюроприёмником.

 

Если для нажатия на кнопку требуется не только иметь деньги, но и знать все танцевальные па тумба-юмба, базовые основы финского языка и плясать, напевая "порви кардиолу", перед ней минимум пол-часа, - это плохая, негодная кнопка. Пользоваться ею будут только, если рядом нет более простых и удобных кнопок ;-)

если кто-то сам не допетрил, что нельзя привязывать мак, то ему бестолку что-то объяснять. самое ужасное что эта дебильная практика настолько массова, что у нас регулярно поступают звонки с просьбой прописать новый МАК, хотя мы привязку мака НЕ ДЕЛАЕМ. просто они приехали из другого района/города где было так!

cmhungry

cmhungry

Posted
Posted
То Diesel, а не подскажите связочку оборудования (L2 + L3) где цена за порт с IP-MAC-port будет дешевле 200 рублей. И ссылочки не забудьте.
1 штука длинк дес-3852 - 1000 баков

48 штук длинк дес-3026 - по 160 баков штука

итого цена за порт - 203 рубля

PowerPack

PowerPack

Posted
Posted
если кто-то сам не допетрил, что нельзя привязывать мак, то ему бестолку что-то объяснять. самое ужасное что эта дебильная практика настолько массова, что у нас регулярно поступают звонки с просьбой прописать новый МАК, хотя мы привязку мака НЕ ДЕЛАЕМ. просто они приехали из другого района/города где было так!

Все петрят, да что толку? Какая альтернатива? Или забить не безопасность в сети вообще (что тоже не правильно по отношению к абонентам) или выдавать IP на порт, а тут цена вопроса совсем другая. В итоге получаем более высокую стоимость услуги (а оно надо???).

vIv

vIv

Posted
Posted

не понял пассажа про "цена другая".

коммутаторы с 802.1Q уже давно поризводятся в китае ;-)

дело за малым - дать им в пару маршрутизатор. Для начала можно использовать писюк ;-)

kaa

kaa

Posted
Posted

Связка PVID - IP у нас работает третий год, проблем нету, хотя и статическая ARP таблица на маршрутизаторе, рука не поднимается выключить :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.