Перейти к содержимому
Калькуляторы

Доступ к управляемым свитчам У кого как реализовано?

Не пробовал vrf в цисках (наверное тоже ничего), а вот vr в экстримах сделал - работает отлично! Причем это как раз тот случай, когда надо роутить между собой несколько изолированных управляющих вланов (влан-на-дом/влан-на-район). На других л3-свичах для изоляции одной группы svi от другой - геморой с кучей ацл. На экстриме просто создается отдельный виртуальный роутер со своими вланами, svi, роутами и портами. Для любой команды, как-либо связанной с вланами/роутингом есть свой специфик - имя виртуального роутера. Удобно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Управление L3-железом на свой вкус - либо серый, либо белый лупбэк в глобальной таблице
В задаче ничего не сказано про L3. Может там L2? Тогда как?

Как ничего не сказано?

Или по-вашему

Свитчи ядра сети
всегд и у всех L2?

 

берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

А я уж думал, что я один такой тупой и ничего не понял из этого текста ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.

Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где...

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.

Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где...

справедливо для относительно небольшого количества устройств

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

хм, нарисовал примерную схемку (извините за кошмарность, рисовать не умею), может с ней как то понятнее выйдет.

shema.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

Как я это понял:

Есть ядро сети. Туда сходятся все линии с коммутаторов сети. В ядре сети терминируются VLAN клиентов, но VLAN управления коммутаторами не терминируются. Проходят прозрачно и изолированы от трафика клиентов и Интернет.

 

Рядом с ядром сети стоит отдельный маршрутизатор, который:

1) служит шлюзом для офиса компании

2) терминирует VLAN управления коммутаторами

3) терминирует VLAN управления серверами

4) защищает офис с помощью NAT и файрволла (ACL)

5) защищает сети управления от доступа со стороны ядра сети и интернет (доступ только из офиса по ACL)

 

В целом это рабочая, простая и самая экономичная схема организации защиты сетей управления и офиса.

Изменено пользователем Tosha

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.

Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где...

справедливо для относительно небольшого количества устройств

Городская сеть, чуть больше 400 управляемых свитчей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я, например, выделил на управление отдельный диапазон серых адресов, подальше от действующих.

Все свитчи находятся в managment vlan`e который не участвует в маршрутизации. Соответственно каждому свитчу на управляющий влан вешается айпишник. Собсно все. Причем вне зависимиости где они стоят: в ядре, на агрегации или еще где...

справедливо для относительно небольшого количества устройств

Городская сеть, чуть больше 400 управляемых свитчей.

например, был опыт с ES3526XA - вешался от arp-запросов в вилане управления...

опять же при многопоточном discovery устройств, некоторым может стать плохо...

да и вообще, лучше сегментировать по максимуму (в разумных пределах) - если в один участкок по ошибке попадет флуд от абонента будет не так страшно, а если во всю сеть управления...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да и вообще, лучше сегментировать по максимуму (в разумных пределах) - если в один участкок по ошибке попадет флуд от абонента будет не так страшно, а если во всю сеть управления...

Правильно! Все-таки управляющая сеть это тоже сеть, и ее надо правильно сегментировать из тех же соображений что и абонентские сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что будет, если при реализации схемы влан на свич отдавать свичу IP например 10.10.10.1 адрес из подсети пользователей без всяких вланов управлений итд?

пинг на свич от абонента - проверка доступности свича.

Пинг на свич от оператора - проверка доступности свича.

Остальные пинги зарезать (для параноиков).

 

У кого-то такое есть? То есть строить старый добрый сеть с маршрутизируемыми интерфейсами. Ваше мнение, господа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

хм, нарисовал примерную схемку (извините за кошмарность, рисовать не умею), может с ней как то понятнее выйдет.

В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.

То есть в итоге есть дырка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.

То есть в итоге есть дырка.

терморектальный анализ...

только так. если хакеры нашли уязвимость - значит ее кто то допустил на этапах проектирования/интеграции.

если злые хакеры попали в управляющий влан из общей сети - значит кому то надо оторвать руки, и вставить в то место, откуда они должны расти, а так же отказаться от использования того оборудования, которому gvrp ingress checking/802.1q ingress filter не удается правильно отработать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.

То есть в итоге есть дырка.

терморектальный анализ...

только так. если хакеры нашли уязвимость - значит ее кто то допустил на этапах проектирования/интеграции.

если злые хакеры попали в управляющий влан из общей сети - значит кому то надо оторвать руки, и вставить в то место, откуда они должны расти, а так же отказаться от использования того оборудования, которому gvrp ingress checking/802.1q ingress filter не удается правильно отработать.

Попытка номер 2. Физический доступ получили к ящику - подключились в влану ч-з врезку итд. В схеме, предложенной с пробросом вланов в офисную сеть есть косяк. И не более того. А руки всем отрывать - сил не хватит. Лучше предложите действительно правильное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ацесс-листами делать так чтоб возможен был только noc->ctrl, но не наоборот; а так же не допускать маршрутизации между управляющими вланами - чтоб с одного свитча нельзя было уйти на другой.

хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа).

получили "открытие ящика" в ночное время, когда ваших коллег там явно быть не должно - 02.

Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа).

получили "открытие ящика" в ночное время, когда ваших коллег там явно быть не должно - 02.

И что помешает врезаться в кабель до ящика?

И как вы узнаете?

 

Орг/адм методами не исправить системную ошибку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Орг/адм методами решается все, если руки откуда надо растут.

Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.

Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip. Если паранойя переходит все границы - изначально подбирай оборудование с link-flap error detection - чтоб порт положило, если действительно кто будет пытаться врезаться в кабель. В конце концов - цеплять оборудование по dhcp и держать в активе ip source guard.

А уж сколько всего можно сделать на том самом стыке noc/net - вплоть до конечных решений ids/ips.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попытка номер 2. Физический доступ получили к ящику - подключились в влану ч-з врезку итд. В схеме, предложенной с пробросом вланов в офисную сеть есть косяк. И не более того. А руки всем отрывать - сил не хватит. Лучше предложите действительно правильное решение.

А каково правильное решение с вашей точки зрения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда?

Видели бы они мои ctrl vlan, охерели бы наверно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если врежутся или вломятся в ящик, то получат доступ только к коммутаторам этого ящика и далее по дереву. В случае если это "волокно в дом" то максимум к 2-3 коммутаторам. Но доступ в смысле "попинговать" :).

 

Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.

 

Так что собственно сети ничего не угрожает пока не взломали базу системы управления сетью. А достучаться до системы управления очень непросто. Нужны знания о ее устройстве.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Если врежутся или вломятся в ящик, то получат доступ только к коммутаторам этого ящика и далее по дереву. В случае если это "волокно в дом" то максимум к 2-3 коммутаторам. Но доступ в смысле "попинговать" :).

 

Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.

 

Так что собственно сети ничего не угрожает пока не взломали базу системы управления сетью. А достучаться до системы управления очень непросто. Нужны знания о ее устройстве.

Если у вас все то, что написано работает - респект и уважуха. Если только...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.
А электричество никогда не пропадает?

Линии 100% надёжны?

Уверен 99% ложных срабатываний подорвут доверие к оной.

 

Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.
И что мешает по старинке подсмотреть и поставить себе такие как надо?

 

Но доступ в смысле "попинговать" :).
Тут говорили и положить вроде можно, а может и инет чейто поюзать или абонентов поломать.

Или ложить всё доступное оборудование по очереди, кроме того куда врезались, чтобы ТП побегала.

 

Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.
см выше, менять не обязательно или менять в точке вреза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.
А электричество никогда не пропадает?

Линии 100% надёжны?

Уверен 99% ложных срабатываний подорвут доверие к оной.

 

Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.
И что мешает по старинке подсмотреть и поставить себе такие как надо?

 

Но доступ в смысле "попинговать" :).
Тут говорили и положить вроде можно, а может и инет чейто поюзать или абонентов поломать.

Или ложить всё доступное оборудование по очереди, кроме того куда врезались, чтобы ТП побегала.

 

Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.
см выше, менять не обязательно или менять в точке вреза.

Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.
А электричество никогда не пропадает?

Линии 100% надёжны?

Уверен 99% ложных срабатываний подорвут доверие к оной.

окей, исключаем любую медь акромя абонентской - всю магистраль на опту. замудохаются врезаться, а врезаться сбоку на опте - еще и не каждый сможет позволить - цена вопроса...

 

Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.
И что мешает по старинке подсмотреть и поставить себе такие как надо?

подсмотреть извините как? слив инсайдерской информации? всех причастных под статью, отдел безопасности взыметь без вазелина.

или у вас в публичном доступе карта устройств и база по макам?

 

Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп.

безопасность стратегических объектов, и различных банковских сетей - тема для отдельного разговора. для обычных "городских" сетей, уровень вашей паранойи сильно навевает...

в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас