Еще один вопрос по коммутаторам

[grifin.ru]

Необходимо выбрать многопортовый(48) стекируемый коммутатор со следующими возможностями (если такое вообще бывает):

- Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам. Все остальные пакеты он должен дропать, и делать fail2ban тому порту, который пытается срать в коммутатор левым трафиком.

- Если коммутатор будет уметь ограничивать трафик не только по IPадресам, но и по TCP/UDP портам - то это тоже хорошо.

- Порты FE. Но на далекое будущее будет неплохо, если можно будет стекануть к нему брата с гигабитными медными и оптическими портами

- Надежность операторского уровня

- 1U

- SNMP управление

[alibek]

Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

А что это значит?

На портах коммутатора не бывает IP-адресов.

L3-коммутаторы могут терминировать VLAN, но не порт.

 

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам.

IP-трафик не коммутируется, а маршрутизируется.

Коммутация это L2, т.е. например ethernet.

 

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

[pppoetest]

блинк DES3200-52?

Из всего вышеперечисленного вроде все умеет. Не уверен только на счет стека, можно ли стекировать устройства с медью и оптикой в одну кучку.

Edited February 25, 2014 by pppoetest

[grifin.ru]

Он это все умеет ?!

Круто, возьму на тест - поковыряю.

[Butch3r]

3200 помоему не стэкируется, а всё остальное рулится ACL'ами. Смотрите в сторону DGS-3120-48TC, он стэкируемый

[myst]

На портах коммутатора не бывает IP-адресов.

Таки небывает? =)

[alibek]

Если речь про каталисты с указанным no switchport, то бывает.

А других коммутаторов, которые это позволяют делать, я не знаю.

[viver]

По поводу портов, запросто, вот для ревизии A примерный конфиг:

 

Закрываем ненужные TCP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny

 

Закрываем ненужные UDP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny

 

Разрешаем доступ к порту только конкретному IP:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.1 port 1 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.2 port 2 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.3 port 3 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.4 port 4 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.5 port 5 permit

 

Все остальные IP запрещаем:

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

 

Все остальное, что не попало под вышеописанные правила, запрещаем:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

 

Обработать напильником по вкусу. Можно даже сделать правило, которое по ARP будет разрешать отвечать лишь определенным IP, для полнейшей бдительности.

[grifin.ru]

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

Этого недостаточно. Устройства на портах не доверенные. MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

Важно так же чтоб ни на один порт не сыпался никакой мусорный трафик, который может вдруг начать генерить какое-то устройство на другом порту.

Иными словами трафик должен приниматься, только тот и от тех, от когда его готов, на свой страх и риск, принимать данный порт.

Как то так )

[alibek]

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

[grifin.ru]

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

Порт не подделывается. И при наличии привязки порт-IPадрес - получается невозможно подделать IPадрес, таким образом можно избежать авторизации, используя IPадрес как достоверный идентификатор абонента

[grifin.ru]

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ? Задача стоит именно такая.

[viver]

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ?

Именно! Как видите, в примере есть пункт port , именно он описывает, к какому порту (или диапазону портов) применять правило.

[grifin.ru]

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

[EShirokiy]

grifin.ru, с порт-МАК абсолютно так же, каждый порт заньте в определенный Vlan

[grifin.ru]

EShirokiyА что мне дальше с МАКом делать ? Там приложения IP уровня. Я могу проверить IP, но не МАК.

[viver]

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений".

Через SNMP скорее всего можно, в крайнем случае через telnet точно можно поменять.

Мы конфигурируем коммутатор раз и навсегда.

 

Более подробно вот тут можно почитать: http://www.dlink.ru/ru/faq/59/260.html

[idv]

Juniper удовлетворит. Только денееееееег стоит.

Ну разве что над fail2ban подумать надо, но вроде можно реализовать. Хотя при позиции "запретить все, разрешить по списку" этот функционал наверно излишний.

[Antares]

Так это же вилан на абонента чистой воды....берите любую L3 железку

[pppoetest]

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

Есть, telnet/ssh/snmp по вкусу.