grifin.ru Опубликовано 25 февраля, 2014 · Жалоба Необходимо выбрать многопортовый(48) стекируемый коммутатор со следующими возможностями (если такое вообще бывает): - Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес. Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам. Все остальные пакеты он должен дропать, и делать fail2ban тому порту, который пытается срать в коммутатор левым трафиком. - Если коммутатор будет уметь ограничивать трафик не только по IPадресам, но и по TCP/UDP портам - то это тоже хорошо. - Порты FE. Но на далекое будущее будет неплохо, если можно будет стекануть к нему брата с гигабитными медными и оптическими портами - Надежность операторского уровня - 1U - SNMP управление Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 февраля, 2014 · Жалоба Каждому порту(группе портов) коммутатора необходимо иметь возможность жестко задать IPадрес. А что это значит? На портах коммутатора не бывает IP-адресов. L3-коммутаторы могут терминировать VLAN, но не порт. Коммутатор должен коммутировать только IP Трафик и только между IP адресами, присвоенными порам. IP-трафик не коммутируется, а маршрутизируется. Коммутация это L2, т.е. например ethernet. А в чем смысл сего действия? Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 25 февраля, 2014 (изменено) · Жалоба блинк DES3200-52? Из всего вышеперечисленного вроде все умеет. Не уверен только на счет стека, можно ли стекировать устройства с медью и оптикой в одну кучку. Изменено 25 февраля, 2014 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба Он это все умеет ?! Круто, возьму на тест - поковыряю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 февраля, 2014 · Жалоба 3200 помоему не стэкируется, а всё остальное рулится ACL'ами. Смотрите в сторону DGS-3120-48TC, он стэкируемый Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 25 февраля, 2014 · Жалоба На портах коммутатора не бывает IP-адресов. Таки небывает? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 февраля, 2014 · Жалоба Если речь про каталисты с указанным no switchport, то бывает. А других коммутаторов, которые это позволяют делать, я не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 25 февраля, 2014 · Жалоба По поводу портов, запросто, вот для ревизии A примерный конфиг: Закрываем ненужные TCP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить): create access_profile ip tcp dst_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny Закрываем ненужные UDP порты (по аналогии можно разрешить только нужные, но дальнейшую логику правил придется сменить): create access_profile ip udp dst_port_mask 0xffff profile_id 2 config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny Разрешаем доступ к порту только конкретному IP: create access_profile ip source_ip_mask 255.255.255.255 profile_id 3 config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.1 port 1 permit config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.2 port 2 permit config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.3 port 3 permit config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.4 port 4 permit config access_profile profile_id 3 add access_id auto_assign ip source_ip 10.1.5.5 port 5 permit Все остальные IP запрещаем: create access_profile ip source_ip_mask 0.0.0.0 profile_id 4 config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny Все остальное, что не попало под вышеописанные правила, запрещаем: create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100 config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny Обработать напильником по вкусу. Можно даже сделать правило, которое по ARP будет разрешать отвечать лишь определенным IP, для полнейшей бдительности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба А в чем смысл сего действия? Если необходимо разрешить коммутацию только с определенных устройств — так выключите mac-learning и настройте MAC ACL. Этого недостаточно. Устройства на портах не доверенные. MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент. Важно так же чтоб ни на один порт не сыпался никакой мусорный трафик, который может вдруг начать генерить какое-то устройство на другом порту. Иными словами трафик должен приниматься, только тот и от тех, от когда его готов, на свой страх и риск, принимать данный порт. Как то так ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 февраля, 2014 · Жалоба MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент. А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба MAC подделывается "на раз" Абсолютно достоверна лишь привязка порт-абонент. А что такое "абонент"? IP-адрес? Так он меняется еще проще, чем MAC-адрес. Порт не подделывается. И при наличии привязки порт-IPадрес - получается невозможно подделать IPадрес, таким образом можно избежать авторизации, используя IPадрес как достоверный идентификатор абонента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ? Задача стоит именно такая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 25 февраля, 2014 · Жалоба Все вышеперечисленное можно делать в отдельности на каждый порт коммутатора ? Именно! Как видите, в примере есть пункт port , именно он описывает, к какому порту (или диапазону портов) применять правило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 25 февраля, 2014 · Жалоба grifin.ru, с порт-МАК абсолютно так же, каждый порт заньте в определенный Vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 25 февраля, 2014 · Жалоба EShirokiyА что мне дальше с МАКом делать ? Там приложения IP уровня. Я могу проверить IP, но не МАК. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 25 февраля, 2014 · Жалоба Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Через SNMP скорее всего можно, в крайнем случае через telnet точно можно поменять. Мы конфигурируем коммутатор раз и навсегда. Более подробно вот тут можно почитать: http://www.dlink.ru/ru/faq/59/260.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 25 февраля, 2014 · Жалоба Juniper удовлетворит. Только денееееееег стоит. Ну разве что над fail2ban подумать надо, но вроде можно реализовать. Хотя при позиции "запретить все, разрешить по списку" этот функционал наверно излишний. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 25 февраля, 2014 · Жалоба Так это же вилан на абонента чистой воды....берите любую L3 железку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 25 февраля, 2014 · Жалоба Отлично. А есть ли возможнось автоматизации управления этими правилами ? Через SNMP или еще как загружать эту "матрицу разрешений". Да так, чтоб при ее обновлении не возникали периоды неработоспособности ) Есть, telnet/ssh/snmp по вкусу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...