Alexandr Ovcharenko Опубликовано 7 декабря, 2010 · Жалоба Не пробовал vrf в цисках (наверное тоже ничего), а вот vr в экстримах сделал - работает отлично! Причем это как раз тот случай, когда надо роутить между собой несколько изолированных управляющих вланов (влан-на-дом/влан-на-район). На других л3-свичах для изоляции одной группы svi от другой - геморой с кучей ацл. На экстриме просто создается отдельный виртуальный роутер со своими вланами, svi, роутами и портами. Для любой команды, как-либо связанной с вланами/роутингом есть свой специфик - имя виртуального роутера. Удобно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 декабря, 2010 · Жалоба берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта. Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 декабря, 2010 · Жалоба Управление L3-железом на свой вкус - либо серый, либо белый лупбэк в глобальной таблицеВ задаче ничего не сказано про L3. Может там L2? Тогда как? Как ничего не сказано? Или по-вашему Свитчи ядра сетивсегд и у всех L2? берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта. Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :) А я уж думал, что я один такой тупой и ничего не понял из этого текста ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 7 декабря, 2010 · Жалоба Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где... +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 7 декабря, 2010 · Жалоба Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где... справедливо для относительно небольшого количества устройств Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 8 декабря, 2010 · Жалоба берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта. Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :) хм, нарисовал примерную схемку (извините за кошмарность, рисовать не умею), может с ней как то понятнее выйдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 8 декабря, 2010 (изменено) · Жалоба берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта. Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :) Как я это понял: Есть ядро сети. Туда сходятся все линии с коммутаторов сети. В ядре сети терминируются VLAN клиентов, но VLAN управления коммутаторами не терминируются. Проходят прозрачно и изолированы от трафика клиентов и Интернет. Рядом с ядром сети стоит отдельный маршрутизатор, который: 1) служит шлюзом для офиса компании 2) терминирует VLAN управления коммутаторами 3) терминирует VLAN управления серверами 4) защищает офис с помощью NAT и файрволла (ACL) 5) защищает сети управления от доступа со стороны ядра сети и интернет (доступ только из офиса по ACL) В целом это рабочая, простая и самая экономичная схема организации защиты сетей управления и офиса. Изменено 9 декабря, 2010 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 8 декабря, 2010 · Жалоба Как я это понял...we've got a winner! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 8 декабря, 2010 · Жалоба Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где... справедливо для относительно небольшого количества устройств Городская сеть, чуть больше 400 управляемых свитчей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 8 декабря, 2010 · Жалоба Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где... справедливо для относительно небольшого количества устройств Городская сеть, чуть больше 400 управляемых свитчей. например, был опыт с ES3526XA - вешался от arp-запросов в вилане управления...опять же при многопоточном discovery устройств, некоторым может стать плохо... да и вообще, лучше сегментировать по максимуму (в разумных пределах) - если в один участкок по ошибке попадет флуд от абонента будет не так страшно, а если во всю сеть управления... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 9 декабря, 2010 · Жалоба да и вообще, лучше сегментировать по максимуму (в разумных пределах) - если в один участкок по ошибке попадет флуд от абонента будет не так страшно, а если во всю сеть управления... Правильно! Все-таки управляющая сеть это тоже сеть, и ее надо правильно сегментировать из тех же соображений что и абонентские сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 декабря, 2010 · Жалоба А что будет, если при реализации схемы влан на свич отдавать свичу IP например 10.10.10.1 адрес из подсети пользователей без всяких вланов управлений итд? пинг на свич от абонента - проверка доступности свича. Пинг на свич от оператора - проверка доступности свича. Остальные пинги зарезать (для параноиков). У кого-то такое есть? То есть строить старый добрый сеть с маршрутизируемыми интерфейсами. Ваше мнение, господа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 декабря, 2010 · Жалоба берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта. Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :) хм, нарисовал примерную схемку (извините за кошмарность, рисовать не умею), может с ней как то понятнее выйдет. В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.То есть в итоге есть дырка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 9 декабря, 2010 · Жалоба В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.То есть в итоге есть дырка. терморектальный анализ... только так. если хакеры нашли уязвимость - значит ее кто то допустил на этапах проектирования/интеграции. если злые хакеры попали в управляющий влан из общей сети - значит кому то надо оторвать руки, и вставить в то место, откуда они должны расти, а так же отказаться от использования того оборудования, которому gvrp ingress checking/802.1q ingress filter не удается правильно отработать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 декабря, 2010 · Жалоба В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.То есть в итоге есть дырка. терморектальный анализ... только так. если хакеры нашли уязвимость - значит ее кто то допустил на этапах проектирования/интеграции. если злые хакеры попали в управляющий влан из общей сети - значит кому то надо оторвать руки, и вставить в то место, откуда они должны расти, а так же отказаться от использования того оборудования, которому gvrp ingress checking/802.1q ingress filter не удается правильно отработать. Попытка номер 2. Физический доступ получили к ящику - подключились в влану ч-з врезку итд. В схеме, предложенной с пробросом вланов в офисную сеть есть косяк. И не более того. А руки всем отрывать - сил не хватит. Лучше предложите действительно правильное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 9 декабря, 2010 (изменено) · Жалоба ацесс-листами делать так чтоб возможен был только noc->ctrl, но не наоборот; а так же не допускать маршрутизации между управляющими вланами - чтоб с одного свитча нельзя было уйти на другой. хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа). получили "открытие ящика" в ночное время, когда ваших коллег там явно быть не должно - 02. Изменено 9 декабря, 2010 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 декабря, 2010 · Жалоба хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа).получили "открытие ящика" в ночное время, когда ваших коллег там явно быть не должно - 02. И что помешает врезаться в кабель до ящика?И как вы узнаете? Орг/адм методами не исправить системную ошибку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 декабря, 2010 · Жалоба Орг/адм методами решается все, если руки откуда надо растут. Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке. Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip. Если паранойя переходит все границы - изначально подбирай оборудование с link-flap error detection - чтоб порт положило, если действительно кто будет пытаться врезаться в кабель. В конце концов - цеплять оборудование по dhcp и держать в активе ip source guard. А уж сколько всего можно сделать на том самом стыке noc/net - вплоть до конечных решений ids/ips. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 декабря, 2010 · Жалоба Попытка номер 2. Физический доступ получили к ящику - подключились в влану ч-з врезку итд. В схеме, предложенной с пробросом вланов в офисную сеть есть косяк. И не более того. А руки всем отрывать - сил не хватит. Лучше предложите действительно правильное решение. А каково правильное решение с вашей точки зрения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 10 декабря, 2010 · Жалоба В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Видели бы они мои ctrl vlan, охерели бы наверно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 10 декабря, 2010 · Жалоба Если врежутся или вломятся в ящик, то получат доступ только к коммутаторам этого ящика и далее по дереву. В случае если это "волокно в дом" то максимум к 2-3 коммутаторам. Но доступ в смысле "попинговать" :). Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен. Так что собственно сети ничего не угрожает пока не взломали базу системы управления сетью. А достучаться до системы управления очень непросто. Нужны знания о ее устройстве. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 декабря, 2010 · Жалоба Если врежутся или вломятся в ящик, то получат доступ только к коммутаторам этого ящика и далее по дереву. В случае если это "волокно в дом" то максимум к 2-3 коммутаторам. Но доступ в смысле "попинговать" :). Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен. Так что собственно сети ничего не угрожает пока не взломали базу системы управления сетью. А достучаться до системы управления очень непросто. Нужны знания о ее устройстве. Если у вас все то, что написано работает - респект и уважуха. Если только... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 декабря, 2010 · Жалоба Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.А электричество никогда не пропадает?Линии 100% надёжны? Уверен 99% ложных срабатываний подорвут доверие к оной. Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.И что мешает по старинке подсмотреть и поставить себе такие как надо? Но доступ в смысле "попинговать" :).Тут говорили и положить вроде можно, а может и инет чейто поюзать или абонентов поломать.Или ложить всё доступное оборудование по очереди, кроме того куда врезались, чтобы ТП побегала. Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.см выше, менять не обязательно или менять в точке вреза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 декабря, 2010 · Жалоба Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.А электричество никогда не пропадает?Линии 100% надёжны? Уверен 99% ложных срабатываний подорвут доверие к оной. Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.И что мешает по старинке подсмотреть и поставить себе такие как надо? Но доступ в смысле "попинговать" :).Тут говорили и положить вроде можно, а может и инет чейто поюзать или абонентов поломать.Или ложить всё доступное оборудование по очереди, кроме того куда врезались, чтобы ТП побегала. Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.см выше, менять не обязательно или менять в точке вреза. Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 декабря, 2010 · Жалоба Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.А электричество никогда не пропадает?Линии 100% надёжны? Уверен 99% ложных срабатываний подорвут доверие к оной. окей, исключаем любую медь акромя абонентской - всю магистраль на опту. замудохаются врезаться, а врезаться сбоку на опте - еще и не каждый сможет позволить - цена вопроса... Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.И что мешает по старинке подсмотреть и поставить себе такие как надо? подсмотреть извините как? слив инсайдерской информации? всех причастных под статью, отдел безопасности взыметь без вазелина. или у вас в публичном доступе карта устройств и база по макам? Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп. безопасность стратегических объектов, и различных банковских сетей - тема для отдельного разговора. для обычных "городских" сетей, уровень вашей паранойи сильно навевает... в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...