The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DHCP + Catalyst пускать только известные маки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"DHCP + Catalyst пускать только известные маки"  +/
Сообщение от maxxic email on 30-Мрт-12, 13:51 
Братцы, Хелп!
Надо сделать такую конфигурацию.
Разрешать работать в сети конторы хостам, чьи маки известны и лежат в некой БД. Это БД или ДХЦП сервера или некая отдельная БД, куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать никак нельзя.
Имеется куча каталистов и ДХЦП-сервер.

Можно dhcp snooping на каталистах заставить делать то что мне надо?
Или таки с фрирадиус морочиться?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от seva on 30-Мрт-12, 14:34 
> Братцы, Хелп!
> Надо сделать такую конфигурацию.
> Разрешать работать в сети конторы хостам, чьи маки известны и лежат в
> некой БД. Это БД или ДХЦП сервера или некая отдельная БД,
> куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать
> никак нельзя.
> Имеется куча каталистов и ДХЦП-сервер.
> Можно dhcp snooping на каталистах заставить делать то что мне надо?
> Или таки с фрирадиус морочиться?

802.1x


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от eek email on 30-Мрт-12, 15:16 
Куча каталистов это сколько? Если куча это 10, то есть не масштабируемое пионерское решение в виде mac-acl.

Если же куча это сотня и решение нужно не пионерское, а более-менее стандартное, то как уже написал коллега выше 802.1x ваш выбор.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от Pve1 (ok) on 30-Мрт-12, 15:17 
> Братцы, Хелп!
> Надо сделать такую конфигурацию.
> Разрешать работать в сети конторы хостам, чьи маки известны и лежат в
> некой БД. Это БД или ДХЦП сервера или некая отдельная БД,
> куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать
> никак нельзя.
> Имеется куча каталистов и ДХЦП-сервер.
> Можно dhcp snooping на каталистах заставить делать то что мне надо?
> Или таки с фрирадиус морочиться?

Настроить на свичах: DHCP snooping + IP source guard + ARP dynamic inspection (последнее опционально). Это позволяет работать только с IP адресами, выданными только DHCP сервером.

Затем на DHCP сервере создать резервации по нужным мак-адресам. Свободный пул адресов убрать.

В результате все управление сведется к созданию резерваций - максимально удобный вариант.


Тупой mac acl - решение уж очень колхозное.

dot1x - хорошее решение для авторизации - но не по мак адресам)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от maxxic email on 30-Мрт-12, 15:28 
Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и почти 300 подсетей.

> IP source guard

Хм... А этот зачем?

> В результате все управление сведется к созданию резерваций - максимально удобный вариант.

Да. Клева! Спасибо.
Но фишка в том что хосты иногда будут перемещаться из одной подсети в другую. И удобнее было бы иметь БД с маками, которым можно работать, а ДХЦП выдал бы им ип из соответствующего пула.
видимо отчего-то придется отказать...

dot1x замороченный какойто и клиентскую часть небось придется переделывать? а это не хотелось бы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от Pve1 (ok) on 30-Мрт-12, 15:57 
> Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и
> почти 300 подсетей.

Городить такое в подобной сети - Мисье знает толк в извращениях ))))
Без комментариев в общем...

>> IP source guard
> Хм... А этот зачем?

IP DHCP snooping - ведет базу полученных адресов по DHCP и фильтрует левые DHCP запросы/ответы
IP source guard - создает динамические IP ACL по этой базе
IP arp inspection - по этой же базе проверяет arp общение и дропает соответсвующие атаки


> dot1x замороченный какой то и клиентскую часть небось придется переделывать? а это не
> хотелось бы.

В вариант без сертификатов - не такой уж и замороченный.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от maxxic email on 30-Мрт-12, 22:23 
Да уж извращение %) требования безопасности сейчас релизовано с помощью port security.
Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) имеют лавинный характер. Нужна автоматизация процесса.

> IP DHCP snooping + IP source guard + IP arp inspection

Да, Красивое решение, ничего не скажешь! Спасибо.

Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а у меня их половина. Остальное 2960 "нормальные" и 3550. :(

Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со скриптами захода на киски?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от fantom (ok) on 31-Мрт-12, 12:28 
> Да уж извращение %) требования безопасности сейчас релизовано с помощью port security.
> Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены)
> имеют лавинный характер. Нужна автоматизация процесса.
>> IP DHCP snooping + IP source guard + IP arp inspection
> Да, Красивое решение, ничего не скажешь! Спасибо.
> Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а
> у меня их половина. Остальное 2960 "нормальные" и 3550. :(
> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
> скриптами захода на киски?

Опция 82 и привязка не к МАС-у а порту железки и пусть меняют мас-и сколько влезет...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от maxxic email on 03-Апр-12, 13:44 
> Опция 82 и привязка не к МАС-у а порту железки и пусть
> меняют мас-и сколько влезет...

т.е. привязка ип-адреса делается к порту?
Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а нет правила, то не работает?
Правильно я Вашу мысль понял?
И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!
Сколько всего нового-то узнаешь %)

НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из дома не должен работать! как быть? Я так понимаю, никак.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от fantom (ok) on 03-Апр-12, 14:43 
>> Опция 82 и привязка не к МАС-у а порту железки и пусть
>> меняют мас-и сколько влезет...
> т.е. привязка ип-адреса делается к порту?
> Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а
> нет правила, то не работает?
> Правильно я Вашу мысль понял?
> И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!
> Сколько всего нового-то узнаешь %)
> НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из
> дома не должен работать! как быть? Я так понимаю, никак.

Вообще никак!
MAC меняется 2-мя кликами мышки,
802.1x- юзеру известны авторизационные данные.

Кроме как собирать ноуты при входе - больше никак.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от maxxic email on 03-Апр-12, 16:40 
> Вообще никак!
> MAC меняется 2-мя кликами мышки,

В постановке задачи считаем что юзвери этого делать неумеют/небудутмамойклянуться :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

8. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от Valery12 (??) on 02-Апр-12, 09:13 

> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
> скриптами захода на киски?

еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, отсутствующий в базе в рабочий вилан не попадет

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от eek email on 05-Апр-12, 11:00 
>> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
>> скриптами захода на киски?
> еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес,
> отсутствующий в базе в рабочий вилан не попадет

Т.е. то что производитель эту технологию похоронил никого не смущает?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "DHCP + Catalyst пускать только известные маки"  +/
Сообщение от Valery12 (??) on 06-Апр-12, 10:40 

> Т.е. то что производитель эту технологию похоронил никого не смущает?

то что ее похоронил производитель еще не значит что она не работает и нею нельзя воспользоваться, и 2950 и 2960 и более старшие модели могут работать в режиме клиента, а для сервера и шеститонник не нужен ибо есть OpenVMPS http://vmps.sourceforge.net/


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру