Перейти к содержимому
Калькуляторы

Доступ к управляемым свитчам У кого как реализовано?

окей, исключаем любую медь акромя абонентской - всю магистраль на опту. замудохаются врезаться, а врезаться сбоку на опте - еще и не каждый сможет позволить - цена вопроса...
Дождаться очередного отключения электричества, открыть спокойно ящик...

Или позвонить оповестить от имени электриков о плановых работах и дальше спокойно отключать...

 

 

подсмотреть извините как?
Снифер.

 

 

в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей.
Это да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В схеме, предложенной с пробросом вланов в офисную сеть есть косяк.
где?

ну вот смотрите, пришли у вас вланы 100-200 на интерфейс сиськи к стороне офиса

офис со всеми приблудами у вас работает с интерфейсов вланов 300-400;

что мешает ограничить взаимодействие между 100-200 и 300-400 ? вариантов ограничений полный вагон - acl/nat/policy

ну даже если вас смущает то что все к одному порту идет, - возьмем циску с поболее портов - 7301 для начала. g0/0 - аплинк к ядру, g0/1 - собираем управлялки, g0/2 - офис.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Взломать" могут только ветку дерева.

"Завалить" соответственно могут только эту ветку.

 

Ядро с одной любой ветки завалить будет очень сложно. Оно к счастью аппаратное. Даже если вогнать в полку поток данных - выдержит.

 

Чисто теоритически можно врезатся так, что это не заметят или отнесут на сбой питания. Но нужно иметь внутреннюю информацию, долго готовится.

И все равно не получится ломать глубже.

То есть "опухоль" расти не будет.

И при попытке что-то поменять будет обнаружена.

 

То есть такого построения сети вполне хватит по надежности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В схеме, предложенной с пробросом вланов в офисную сеть есть косяк.
где?

ну вот смотрите, пришли у вас вланы 100-200 на интерфейс сиськи к стороне офиса

офис со всеми приблудами у вас работает с интерфейсов вланов 300-400;

что мешает ограничить взаимодействие между 100-200 и 300-400 ? вариантов ограничений полный вагон - acl/nat/policy

ну даже если вас смущает то что все к одному порту идет, - возьмем циску с поболее портов - 7301 для начала. g0/0 - аплинк к ядру, g0/1 - собираем управлялки, g0/2 - офис.

Вы еще 65 поставьте туда. Вам никто не даст туда 7301, а если даст - то в голове пусто.

Мы сейчас просто рассуждаем. Завалить 2800 кошку думаю можно будет. Чисто задосить.

 

У меня предложение продолжать дискуссию не в деструктивной струе, как я и Иван, а наоборот - как правильно все-таки сделать. Вот на сегодняшний день я не вижу как все правильно можно сделать - давайте выстраивать решение вместе!

Изменено пользователем yakuzzza

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп.

безопасность стратегических объектов, и различных банковских сетей - тема для отдельного разговора. для обычных "городских" сетей, уровень вашей паранойи сильно навевает...

в "городских" сетях в 99% все проще - стадо гопников, топор/фомка, коммунизм железа, всю скс под нож. тобишь вандализм с кражей.

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы параноики господа.

Вы представляете себе ситуацию когда кто то залез на чердак, врезался в приходящий линк(а он скорее всего оптикой) и что дальше?

Гадать номер управляющего влана?

Ну предположим угадали, дальше то что?

Гадать пароли на оборудование? Досить?

С какой целью то?

Проще вскрыть ящик фомкой и унести свич домой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

меня всегда интересовал вопрос

а паранойя это болезнь наследственная или её так заработать можно ??!@

 

:D

 

Проще вскрыть ящик фомкой и унести свич домой.
+100500

у нас если выключается абонентские свичи в течении 2-3х минут звонят абонентам подключенных в этом доме и уточняют есть свет или нет

если есть то к железу сразу выезжают смотреть то случилось.. в течении 10-15 минут выясняется что случилось.

из воровства оборудование / вандализма было только один раз разгромили настенный кросс на тех этаже. (ну пару раз конкуренты "случайно" повреждали линии :) )

а так или ИБП умирают не включаются или конверторы дохнут.. ну были свичи где висли от скачков в эл. сети но стабилизаторы, ИБП решают проблему..

 

"Взломать" могут только ветку дерева.

"Завалить" соответственно могут только эту ветку.

 

Ядро с одной любой ветки завалить будет очень сложно. Оно к счастью аппаратное. Даже если вогнать в полку поток данных - выдержит.

 

Чисто теоритически можно врезатся так, что это не заметят или отнесут на сбой питания. Но нужно иметь внутреннюю информацию, долго готовится.

И все равно не получится ломать глубже.

То есть "опухоль" расти не будет.

И при попытке что-то поменять будет обнаружена.

 

То есть такого построения сети вполне хватит по надежности.

длинки со сгоревшими портами творят чудеса в управляющем влане :"D

думаю спорить некто небудет :)

Изменено пользователем mukca

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
как правильно все-таки сделать. Вот на сегодняшний день я не вижу как все правильно можно сделать - давайте выстраивать решение вместе!
Сосредоточится на качестве оказания основной услуги.

И выше правильно заметили: минимизировать количество управляемых единицы в одном влане.

Те влан то можно и один оставить на всё, но свести к центру и там не гонять трафик между ветками.

 

Гадать номер управляющего влана?

Ну предположим угадали, дальше то что?

Гадать пароли на оборудование? Досить?

С какой целью то?

Пусть tcpdump гадает, и вланы и логины с паролями и L2/L3 адреса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
у нас если выключается абонентские свичи в течении 2-3х минут звонят абонентам подключенных в этом доме и уточняют есть свет или нет

если есть то к железу сразу выезжают смотреть то случилось.. в течении 10-15 минут выясняется что случилось.

А если оборудование висит на служебных фазах? Что тогда?

Звонок абонам -- а они те скажут что у них "всё со светом в порядке, холодильник работает, свет есть. телефон работает.

Правда может по кабельному не показывает чего-то, но свет есть ..."

 

Если сотня свичей, то да. А вот если свичей 3-5 тысяч? Выделять отдельно "ездильщика", который постоянно будет кататься по городу?

 

Да и за 10-15 минут свич то выковыряют и унесут, ехать будет бесполезно. Притом, что на дорогу тоже время ещё уйдет ...

 

А если попросту sfp модули надергают со свичей? Да их и прохожий не заподозрит что они что-то тырят ... И модули отлично в карман умещаются ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос защиты коммутаторов это, один из пунктов вопроса защиты инвестиций и его рассматривать нужно исключительно с этой позиции.

Сегментирование управления (в прочем как и доступа) на L2/L3 уровне, позволит локализовать проблему. Этого достаточно, дальше уже по ситуации, выезд ремонта, участкового, опергруппы и т.д.

Если же идет паранойя, относительного того, что злобный конкурент закажет хакеру (или просто хакер доброволец) решит взломать вашу корпоративную сеть, то явно это следует делать не через управление коммутаторами (надюесь офис и управление железом не в одном влане), а скорее через недовольного но достаточно много знающего сотрудника (такие есть везде).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1

Если сотня свичей, то да. А вот если свичей 3-5 тысяч? Выделять отдельно "ездильщика", который постоянно будет кататься по городу?
Ну при масштабе в 5000 свичей наверняка можно и дежурную бригаду нанять дабы занимались всем этим.

 

А вообще действительно. Вопрос кражи оборудования -это один вопрос, безопасность сети -совсем другое.

И совершенно очевидно что вопросы безопасности в банках и домашних сетях различаются.

 

У нас сейчас в одном управляемом влане -около 500 свичей, в другом 400 и все работает как часы.

Свич это не юзер с виндой, флуда от него нет.

В случае отвала свича -звоним в диспетчерскую -выясняем есть ли проблемы с электричеством, а дальше выезжаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Свич это не юзер с виндой, флуда от него нет.

В случае отвала свича -звоним в диспетчерскую -выясняем есть ли проблемы с электричеством, а дальше выезжаем.

Ну не говори ...

От залипшего свича почти всего можно ожидать ...

 

Относительно диспетчерской - согласен. Даже есть косвенные признаки, при недозвоне что ехать не надо.

Однако во время отключения света, все сделать можно без напряга, теоретически ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
хотя уже такой "доступ" должен быть на контроле (мониторинг открытия/закрытия ящика сейчас организуется без проблем на любом более менее адекватном коммутаторе доступа).

Не совсем понял о чем идет речь. Как именно такое реализуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее всего речь идет про наличие в некоторых коммутаторов возможности подключения внешник датчиков. И отправки трапов при срабатывании этих датчиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Не совсем понял о чем идет речь. Как именно такое реализуется?
В простом случае делают чтобы специально отведённый порт гас при открывании дверцы, улетает смнп трап.

Есть ещё отдельные устройства, типа нетпинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По хорошему, надо и трап ловить и ifOperStatus дёргать, ну по крайней мере ловить трап+периодически пингать свитч(хотя большинство, наверное, и так пингают)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В простом случае делают чтобы специально отведённый порт гас при открывании дверцы, улетает смнп трап.

А подробнее можно, особенно если без "отдельных устройств, типа нетпинга."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
cable-diagnostics
или собрать utp-loopback механизм:

 

Table 1. Category 5 UTP loopback wiring

Pin 1 <--> Pin 3

Pin 2 <--> Pin 6

Pin 4 <--> Pin 7

Pin 5 <--> Pin 8

http://support.dell.com/support/edocs/netw...jhu/trouble.htm

смысл простой - шкаф открыт - линка нет, шкаф закрыт - линк есть. можно на герконах спаять, можно тупо намагниченные железки приклеить к дверце и стенке, чтоб при закрытии замыкали нужные жилы.

в наше время есть и промышленные решения по принципу "кнопка" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас