Перейти к содержимому
Калькуляторы

Еще один вопрос по коммутаторам Другой проект

Необходимо выбрать многопортовый(48) стекируемый коммутатор со следующими возможностями (если такое вообще бывает):

- Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам. Все остальные пакеты он должен дропать, и делать fail2ban тому порту, который пытается срать в коммутатор левым трафиком.

- Если коммутатор будет уметь ограничивать трафик не только по IPадресам, но и по TCP/UDP портам - то это тоже хорошо.

- Порты FE. Но на далекое будущее будет неплохо, если можно будет стекануть к нему брата с гигабитными медными и оптическими портами

- Надежность операторского уровня

- 1U

- SNMP управление

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес.

А что это значит?

На портах коммутатора не бывает IP-адресов.

L3-коммутаторы могут терминировать VLAN, но не порт.

 

Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам.

IP-трафик не коммутируется, а маршрутизируется.

Коммутация это L2, т.е. например ethernet.

 

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

блинк DES3200-52?

Из всего вышеперечисленного вроде все умеет. Не уверен только на счет стека, можно ли стекировать устройства с медью и оптикой в одну кучку.

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Он это все умеет ?!

Круто, возьму на тест - поковыряю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3200 помоему не стэкируется, а всё остальное рулится ACL'ами. Смотрите в сторону DGS-3120-48TC, он стэкируемый

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На портах коммутатора не бывает IP-адресов.

Таки небывает? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если речь про каталисты с указанным no switchport, то бывает.

А других коммутаторов, которые это позволяют делать, я не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу портов, запросто, вот для ревизии A примерный конфиг:

 

Закрываем ненужные TCP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny

 

Закрываем ненужные UDP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить):

create access_profile ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny

 

Разрешаем доступ к порту только конкретному IP:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.1 port 1 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.2 port 2 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.3 port 3 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.4 port 4 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.5 port 5 permit

 

Все остальные IP запрещаем:

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

 

Все остальное, что не попало под вышеописанные правила, запрещаем:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

 

Обработать напильником по вкусу. Можно даже сделать правило, которое по ARP будет разрешать отвечать лишь определенным IP, для полнейшей бдительности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем смысл сего действия?

Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL.

Этого недостаточно. Устройства на портах не доверенные. MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

Важно так же чтоб ни на один порт не сыпался никакой мусорный трафик, который может вдруг начать генерить какое-то устройство на другом порту.

Иными словами трафик должен приниматься, только тот и от тех, от когда его готов, на свой страх и риск, принимать данный порт.

Как то так )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент.

А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес.

Порт не подделывается. И при наличии привязки порт-IPадрес - получается невозможно подделать IPадрес, таким образом можно избежать авторизации, используя IPадрес как достоверный идентификатор абонента

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ? Задача стоит именно такая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ?

Именно! Как видите, в примере есть пункт port , именно он описывает, к какому порту (или диапазону портов) применять правило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

grifin.ru, с порт-МАК абсолютно так же, каждый порт заньте в определенный Vlan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EShirokiyА что мне дальше с МАКом делать ? Там приложения IP уровня. Я могу проверить IP, но не МАК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений".

Через SNMP скорее всего можно, в крайнем случае через telnet точно можно поменять.

Мы конфигурируем коммутатор раз и навсегда.

 

Более подробно вот тут можно почитать: http://www.dlink.ru/ru/faq/59/260.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper удовлетворит. Только денееееееег стоит.

Ну разве что над fail2ban подумать надо, но вроде можно реализовать. Хотя при позиции "запретить все, разрешить по списку" этот функционал наверно излишний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так это же вилан на абонента чистой воды....берите любую L3 железку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности )

Есть, telnet/ssh/snmp по вкусу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.