Ivan_83 Опубликовано 10 декабря, 2010 · Жалоба окей, исключаем любую медь акромя абонентской - всю магистраль на опту. замудохаются врезаться, а врезаться сбоку на опте - еще и не каждый сможет позволить - цена вопроса...Дождаться очередного отключения электричества, открыть спокойно ящик...Или позвонить оповестить от имени электриков о плановых работах и дальше спокойно отключать... подсмотреть извините как?Снифер. в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей.Это да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 декабря, 2010 · Жалоба В схеме, предложенной с пробросом вланов в офисную сеть есть косяк.где?ну вот смотрите, пришли у вас вланы 100-200 на интерфейс сиськи к стороне офиса офис со всеми приблудами у вас работает с интерфейсов вланов 300-400; что мешает ограничить взаимодействие между 100-200 и 300-400 ? вариантов ограничений полный вагон - acl/nat/policy ну даже если вас смущает то что все к одному порту идет, - возьмем циску с поболее портов - 7301 для начала. g0/0 - аплинк к ядру, g0/1 - собираем управлялки, g0/2 - офис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 10 декабря, 2010 · Жалоба "Взломать" могут только ветку дерева. "Завалить" соответственно могут только эту ветку. Ядро с одной любой ветки завалить будет очень сложно. Оно к счастью аппаратное. Даже если вогнать в полку поток данных - выдержит. Чисто теоритически можно врезатся так, что это не заметят или отнесут на сбой питания. Но нужно иметь внутреннюю информацию, долго готовится. И все равно не получится ломать глубже. То есть "опухоль" расти не будет. И при попытке что-то поменять будет обнаружена. То есть такого построения сети вполне хватит по надежности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 декабря, 2010 (изменено) · Жалоба В схеме, предложенной с пробросом вланов в офисную сеть есть косяк.где?ну вот смотрите, пришли у вас вланы 100-200 на интерфейс сиськи к стороне офиса офис со всеми приблудами у вас работает с интерфейсов вланов 300-400; что мешает ограничить взаимодействие между 100-200 и 300-400 ? вариантов ограничений полный вагон - acl/nat/policy ну даже если вас смущает то что все к одному порту идет, - возьмем циску с поболее портов - 7301 для начала. g0/0 - аплинк к ядру, g0/1 - собираем управлялки, g0/2 - офис. Вы еще 65 поставьте туда. Вам никто не даст туда 7301, а если даст - то в голове пусто. Мы сейчас просто рассуждаем. Завалить 2800 кошку думаю можно будет. Чисто задосить. У меня предложение продолжать дискуссию не в деструктивной струе, как я и Иван, а наоборот - как правильно все-таки сделать. Вот на сегодняшний день я не вижу как все правильно можно сделать - давайте выстраивать решение вместе! Изменено 10 декабря, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 10 декабря, 2010 · Жалоба Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп. безопасность стратегических объектов, и различных банковских сетей - тема для отдельного разговора. для обычных "городских" сетей, уровень вашей паранойи сильно навевает... в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 10 декабря, 2010 · Жалоба вы параноики господа. Вы представляете себе ситуацию когда кто то залез на чердак, врезался в приходящий линк(а он скорее всего оптикой) и что дальше? Гадать номер управляющего влана? Ну предположим угадали, дальше то что? Гадать пароли на оборудование? Досить? С какой целью то? Проще вскрыть ящик фомкой и унести свич домой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 10 декабря, 2010 (изменено) · Жалоба меня всегда интересовал вопрос а паранойя это болезнь наследственная или её так заработать можно ??!@ :D Проще вскрыть ящик фомкой и унести свич домой.+100500у нас если выключается абонентские свичи в течении 2-3х минут звонят абонентам подключенных в этом доме и уточняют есть свет или нет если есть то к железу сразу выезжают смотреть то случилось.. в течении 10-15 минут выясняется что случилось. из воровства оборудование / вандализма было только один раз разгромили настенный кросс на тех этаже. (ну пару раз конкуренты "случайно" повреждали линии :) ) а так или ИБП умирают не включаются или конверторы дохнут.. ну были свичи где висли от скачков в эл. сети но стабилизаторы, ИБП решают проблему.. "Взломать" могут только ветку дерева. "Завалить" соответственно могут только эту ветку. Ядро с одной любой ветки завалить будет очень сложно. Оно к счастью аппаратное. Даже если вогнать в полку поток данных - выдержит. Чисто теоритически можно врезатся так, что это не заметят или отнесут на сбой питания. Но нужно иметь внутреннюю информацию, долго готовится. И все равно не получится ломать глубже. То есть "опухоль" расти не будет. И при попытке что-то поменять будет обнаружена. То есть такого построения сети вполне хватит по надежности. длинки со сгоревшими портами творят чудеса в управляющем влане :"Dдумаю спорить некто небудет :) Изменено 10 декабря, 2010 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 декабря, 2010 · Жалоба как правильно все-таки сделать. Вот на сегодняшний день я не вижу как все правильно можно сделать - давайте выстраивать решение вместе!Сосредоточится на качестве оказания основной услуги.И выше правильно заметили: минимизировать количество управляемых единицы в одном влане. Те влан то можно и один оставить на всё, но свести к центру и там не гонять трафик между ветками. Гадать номер управляющего влана?Ну предположим угадали, дальше то что? Гадать пароли на оборудование? Досить? С какой целью то? Пусть tcpdump гадает, и вланы и логины с паролями и L2/L3 адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dyadyajack Опубликовано 10 декабря, 2010 · Жалоба у нас если выключается абонентские свичи в течении 2-3х минут звонят абонентам подключенных в этом доме и уточняют есть свет или нетесли есть то к железу сразу выезжают смотреть то случилось.. в течении 10-15 минут выясняется что случилось. А если оборудование висит на служебных фазах? Что тогда?Звонок абонам -- а они те скажут что у них "всё со светом в порядке, холодильник работает, свет есть. телефон работает. Правда может по кабельному не показывает чего-то, но свет есть ..." Если сотня свичей, то да. А вот если свичей 3-5 тысяч? Выделять отдельно "ездильщика", который постоянно будет кататься по городу? Да и за 10-15 минут свич то выковыряют и унесут, ехать будет бесполезно. Притом, что на дорогу тоже время ещё уйдет ... А если попросту sfp модули надергают со свичей? Да их и прохожий не заподозрит что они что-то тырят ... И модули отлично в карман умещаются ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 10 декабря, 2010 · Жалоба Вопрос защиты коммутаторов это, один из пунктов вопроса защиты инвестиций и его рассматривать нужно исключительно с этой позиции. Сегментирование управления (в прочем как и доступа) на L2/L3 уровне, позволит локализовать проблему. Этого достаточно, дальше уже по ситуации, выезд ремонта, участкового, опергруппы и т.д. Если же идет паранойя, относительного того, что злобный конкурент закажет хакеру (или просто хакер доброволец) решит взломать вашу корпоративную сеть, то явно это следует делать не через управление коммутаторами (надюесь офис и управление железом не в одном влане), а скорее через недовольного но достаточно много знающего сотрудника (такие есть везде). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 10 декабря, 2010 · Жалоба +1 Если сотня свичей, то да. А вот если свичей 3-5 тысяч? Выделять отдельно "ездильщика", который постоянно будет кататься по городу?Ну при масштабе в 5000 свичей наверняка можно и дежурную бригаду нанять дабы занимались всем этим. А вообще действительно. Вопрос кражи оборудования -это один вопрос, безопасность сети -совсем другое. И совершенно очевидно что вопросы безопасности в банках и домашних сетях различаются. У нас сейчас в одном управляемом влане -около 500 свичей, в другом 400 и все работает как часы. Свич это не юзер с виндой, флуда от него нет. В случае отвала свича -звоним в диспетчерскую -выясняем есть ли проблемы с электричеством, а дальше выезжаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dyadyajack Опубликовано 10 декабря, 2010 · Жалоба Свич это не юзер с виндой, флуда от него нет.В случае отвала свича -звоним в диспетчерскую -выясняем есть ли проблемы с электричеством, а дальше выезжаем. Ну не говори ...От залипшего свича почти всего можно ожидать ... Относительно диспетчерской - согласен. Даже есть косвенные признаки, при недозвоне что ехать не надо. Однако во время отключения света, все сделать можно без напряга, теоретически ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 11 декабря, 2010 · Жалоба хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа). Не совсем понял о чем идет речь. Как именно такое реализуется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mic Опубликовано 11 декабря, 2010 · Жалоба Скорее всего речь идет про наличие в некоторых коммутаторов возможности подключения внешник датчиков. И отправки трапов при срабатывании этих датчиков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 декабря, 2010 · Жалоба Не совсем понял о чем идет речь. Как именно такое реализуется?В простом случае делают чтобы специально отведённый порт гас при открывании дверцы, улетает смнп трап.Есть ещё отдельные устройства, типа нетпинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 11 декабря, 2010 · Жалоба еще можно ifOperStatus дергать для порта с неким интервалом ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 декабря, 2010 · Жалоба По хорошему, надо и трап ловить и ifOperStatus дёргать, ну по крайней мере ловить трап+периодически пингать свитч(хотя большинство, наверное, и так пингают) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dyadyajack Опубликовано 12 декабря, 2010 · Жалоба В простом случае делают чтобы специально отведённый порт гас при открывании дверцы, улетает смнп трап. А подробнее можно, особенно если без "отдельных устройств, типа нетпинга." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 12 декабря, 2010 · Жалоба cable-diagnostics Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 13 декабря, 2010 · Жалоба cable-diagnosticsили собрать utp-loopback механизм: Table 1. Category 5 UTP loopback wiringPin 1 <--> Pin 3 Pin 2 <--> Pin 6 Pin 4 <--> Pin 7 Pin 5 <--> Pin 8 http://support.dell.com/support/edocs/netw...jhu/trouble.htm смысл простой - шкаф открыт - линка нет, шкаф закрыт - линк есть. можно на герконах спаять, можно тупо намагниченные железки приклеить к дверце и стенке, чтоб при закрытии замыкали нужные жилы.в наше время есть и промышленные решения по принципу "кнопка" ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...