Jump to content

L2+ Gigabit Ethernet switch + port based IP ACL

alexhost
 Share

Recommended Posts

alexhost

alexhost

Posted
Posted

Подскажите plz.

 

Существует ли в природе, что-то на подобии 3COM Baseline Plus 2948, но с поддержкой кроме IPv4 еще и IPv6 ACL/ACE?

Интересуюсь в силу последних новостей по поводу планов ietf по переходу на IPv6.

 

Область применения - уровень доступа для подключения серверов по схеме:

1 сервер - 1 порт. С привязкой MAC+IPs сервера к этому порту.

 

Бюджет до $20/порт.

alexhost

alexhost

Posted
  • Author
Posted
У вас сервера сами любят подделывать себе IP и перетыкаться в соседние порты? 8-)))

Перетыкаться конечно нет.

А от подделки IP/MACа какраз и хочется иметь защиту на уровне доступа.

zoro

zoro

Posted
Posted

вау... первый раз с такой задачей сталкиваюсь... :)

Если задача смешна, то значит она неправильно поставлена :)

alexhost

alexhost

Posted
  • Author
Posted
подделка ип\мак на серверах???? это как?

Это очень просто.

Боюсь нет смысла вдаваться в подробности, раз вы задаете такие вопросы - полезного ответа от вас ожидать не приходится.

 

уровень доступа для подключения серверов

КолокейшЫн, что ли?

Вроде того, ага.

martin74

martin74

Posted
Posted

подделка ип\мак на серверах???? это как?

Это очень просто.

Боюсь нет смысла вдаваться в подробности, раз вы задаете такие вопросы - полезного ответа от вас ожидать не приходится.

 

Конечно просто. Вы ж задачу полностью знаете, а тут говорите только то, что считаете нужным... Извините, мой штатный телепат в отпуск уехал, на багамы...

zoro

zoro

Posted
Posted

не смейтесь но мне понравился DGS-3450... но в бюджет невлазиет...

alexhost

alexhost

Posted
  • Author
Posted
не смейтесь но мне понравился DGS-3450... но в бюджет невлазиет...

Присматриваюсь к DGS-3100-48.

Правда не ясно, есть ли там IPv6 based ACL, и 64-bit SNMP счетчики в их реализации SNMP v2c.

Но очень соблазняет то, что в таком бюджетном решении есть возможность стэкирования.

 

3450 действительно дороговат.

 

подделка ип\мак на серверах???? это как?

Это очень просто.

Боюсь нет смысла вдаваться в подробности, раз вы задаете такие вопросы - полезного ответа от вас ожидать не приходится.

 

Конечно просто. Вы ж задачу полностью знаете, а тут говорите только то, что считаете нужным... Извините, мой штатный телепат в отпуск уехал, на багамы...

Прошу прощения за неполносью предоставленные исходные данные.

cmhungry

cmhungry

Posted
Posted
Присматриваюсь к DGS-3100-48.

Правда не ясно, есть ли там IPv6 based ACL, и 64-bit SNMP счетчики в их реализации SNMP v2c.

Но очень соблазняет то, что в таком бюджетном решении есть возможность стэкирования.

насчет ипв6 не скажу

а 64бит счетчики есть

zoro

zoro

Posted
Posted

зайдите на форум http://forum.dlink.ru/viewforum.php?f=2

сделай топик.. или в личку поговори с Деменым Иваном... он раскажет про девайсы... но насет ип6 пока он мало кому доступен для играния-проверки... но так как ребята программеры работающие на делинк сейчас работают оперативно то когда это понадобится то исправят очень быстро....

PS вы так и не ответили зачем привязывать ip-mac-port серверов :)?

если дата центр, сдаваймые сервреа в аренду то это более понятно, но всёравно смешно... хотя...

alexhost

alexhost

Posted
  • Author
Posted
зайдите на форум http://forum.dlink.ru/viewforum.php?f=2

сделай топик.. или в личку поговори с Деменым Иваном... он раскажет про девайсы... но насет ип6 пока он мало кому доступен для играния-проверки... но так как ребята программеры работающие на делинк сейчас работают оперативно то когда это понадобится то исправят очень быстро....

PS вы так и не ответили зачем привязывать ip-mac-port серверов :)?

если дата центр, сдаваймые сервреа в аренду то это более понятно, но всёравно смешно... хотя...

Вы угадали и это не смешно - нормальный подход на мой взгляд, странно что мало где практикуемый.

zoro

zoro

Posted
Posted

если в США и канаде, да и в европе, то прихода v6 там более реально чем у нас :), а насчет хостигна, да я сталкивался с ним, но не знал о такой проблме.. так как какой Д... будет менять свой мак-ип..? если он его поменяет то небудет работать его-же сервер.... смена порта вообще не возможна... без участия персонала дата центра...

alexhost

alexhost

Posted
  • Author
Posted
если в США и канаде, да и в европе, то прихода v6 там более реально чем у нас :), а насчет хостигна, да я сталкивался с ним, но не знал о такой проблме.. так как какой Д... будет менять свой мак-ип..? если он его поменяет то небудет работать его-же сервер.... смена порта вообще не возможна... без участия персонала дата центра...

О перетыканиях никто не говорит.

Если можно подделать мак и/или взять чужой ип - этого уже достаточно для беспокойств.

Начиная от банального беспорядка и поиска того кто занял чужой ип самовольно, кончая перехватом трафика, спуфингом и прочим гемороем.

vIv

vIv

Posted
Posted

vlan-per-server спасёт от таких шутников.

а на хостинге самый действенный аргумент - штраф килобаксов так в 10 - и желания так шутить уже не будет

alexhost

alexhost

Posted
  • Author
Posted
vlan-per-server спасёт от таких шутников.

а на хостинге самый действенный аргумент - штраф килобаксов так в 10 - и желания так шутить уже не будет

Так и делаем.

Но

а) потеря адресов

б) дополнительный геморой с учетом, само по себе да и еще и дублирование (vrrp) - тяжко все это

в) дополнительная нагрузка на ядро сети (сервера в одном свиче доступа всеравно общаются через ядро)

 

Штрафы это дело такое, человек берет сервер за 50 баксов опалчивает WMZ делает гадость и плевать хотел на штрафы, выключат сервер - ну и ладно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.