Jump to content
Калькуляторы

Еще один вопрос по коммутаторам Другой проект

Необходимо выбрать многопортовый(48) стекируемый коммутатор со следующими возможностями (если такое вообще бывает):

- Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам. Все остальные пакеты он должен дропать, и делать fail2ban тому порту, который пытается срать в коммутатор левым трафиком.

- Если коммутатор будет уметь ограничивать трафик не только по IPадресам, но и по TCP/UDP портам - то это тоже хорошо.

- Порты FE. Но на далекое будущее будет неплохо, если можно будет стекануть к нему брата с гигабитными медными и оптическими портами

- Надежность операторского уровня

- 1U

- SNMP управление

Share this post


Link to post
Share on other sites

Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

А что это значит?

На портах коммутатора не бывает IP-адресов.

L3-коммутаторы могут терминировать VLAN, но не порт.

 

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам.

IP-трафик не коммутируется, а маршрутизируется.

Коммутация это L2, т.е. например ethernet.

 

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

Share this post


Link to post
Share on other sites

блинк DES3200-52?

Из всего вышеперечисленного вроде все умеет. Не уверен только на счет стека, можно ли стекировать устройства с медью и оптикой в одну кучку.

Edited by pppoetest

Share this post


Link to post
Share on other sites

3200 помоему не стэкируется, а всё остальное рулится ACL'ами. Смотрите в сторону DGS-3120-48TC, он стэкируемый

Share this post


Link to post
Share on other sites

На портах коммутатора не бывает IP-адресов.

Таки небывает? =)

Share this post


Link to post
Share on other sites

Если речь про каталисты с указанным no switchport, то бывает.

А других коммутаторов, которые это позволяют делать, я не знаю.

Share this post


Link to post
Share on other sites

По поводу портов, запросто, вот для ревизии A примерный конфиг:

 

Закрываем ненужные TCP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny

 

Закрываем ненужные UDP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny

 

Разрешаем доступ к порту только конкретному IP:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.1 port 1 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.2 port 2 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.3 port 3 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.4 port 4 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.5 port 5 permit

 

Все остальные IP запрещаем:

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

 

Все остальное, что не попало под вышеописанные правила, запрещаем:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

 

Обработать напильником по вкусу. Можно даже сделать правило, которое по ARP будет разрешать отвечать лишь определенным IP, для полнейшей бдительности.

Share this post


Link to post
Share on other sites

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

Этого недостаточно. Устройства на портах не доверенные. MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

Важно так же чтоб ни на один порт не сыпался никакой мусорный трафик, который может вдруг начать генерить какое-то устройство на другом порту.

Иными словами трафик должен приниматься, только тот и от тех, от когда его готов, на свой страх и риск, принимать данный порт.

Как то так )

Share this post


Link to post
Share on other sites

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

Share this post


Link to post
Share on other sites

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

Порт не подделывается. И при наличии привязки порт-IPадрес - получается невозможно подделать IPадрес, таким образом можно избежать авторизации, используя IPадрес как достоверный идентификатор абонента

Share this post


Link to post
Share on other sites

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ? Задача стоит именно такая.

Share this post


Link to post
Share on other sites

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ?

Именно! Как видите, в примере есть пункт port , именно он описывает, к какому порту (или диапазону портов) применять правило.

Share this post


Link to post
Share on other sites

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

Share this post


Link to post
Share on other sites

grifin.ru, с порт-МАК абсолютно так же, каждый порт заньте в определенный Vlan

Share this post


Link to post
Share on other sites

EShirokiyА что мне дальше с МАКом делать ? Там приложения IP уровня. Я могу проверить IP, но не МАК.

Share this post


Link to post
Share on other sites

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений".

Через SNMP скорее всего можно, в крайнем случае через telnet точно можно поменять.

Мы конфигурируем коммутатор раз и навсегда.

 

Более подробно вот тут можно почитать: http://www.dlink.ru/ru/faq/59/260.html

Share this post


Link to post
Share on other sites

Juniper удовлетворит. Только денееееееег стоит.

Ну разве что над fail2ban подумать надо, но вроде можно реализовать. Хотя при позиции "запретить все, разрешить по списку" этот функционал наверно излишний.

Share this post


Link to post
Share on other sites

Так это же вилан на абонента чистой воды....берите любую L3 железку

Share this post


Link to post
Share on other sites

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

Есть, telnet/ssh/snmp по вкусу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this