Ahoj,
jeden zakaznik po me chce, aby mel plnou kontrolu nad siti. Aby nebylo mozne prijit k zasuvce, zapojit kabel a tim se pripojit do LAN. Nejde tedy jen o to, zakazovat a povolovat porty na switchy. Ma predstavu, ze bude povolovat jednotliva zarizeni "MAC", nic jineho nez povolene v siti nechce.
Neresil to nekdo z Vas, nezna nekdo nejake ucelene reseni?
Jde o 50 PC zapojenych do cca. 10 switchu.
Děkuju
L
PS : samozrejme to musi byt co nejlevnejsi
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
"zabezpecena" LAN
Resenim je povolovat pristup do site na ethernetu na switchi na zaklade 802.1x a pouzivat RADIUS s databazi povolenych MAC.
2 x
Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
dekuju obema. Chteji si to managovat sami, tak musim vymyslet neco "user friendly".
Dodam, ze tam neni zadny server. DHCP dela MK.
diky
L
Dodam, ze tam neni zadny server. DHCP dela MK.
diky
L
0 x
Jednoznačně RADIUS.
0 x
tak pokud bude postacovat freeradius s web managementem, tak to snad bude OK. Pak bych mel, ale vyresit i dostupnost radiusu.
0 x
Dobře funguje DHCP snooping s ARP inspection - alespoň takto se to jmenuje na Cisco switchích. Zjednodušeně - switcg zařízení nepovolí jinou komunikaci než poslání DHCP requestů a to až do chvíle než proběhne validní DHCP response... Tedy dokud zařízení nedostalo IP adresu od DHCP serveru, neškrtne si. Na DHCP serveru pak zajistíš, že přiděluje adresy jen známým zařízením podle mac adres.
Ve větších podnikových sítích se používá 802.1x integrované s Active Directory - počítače se identifikují svým účtem počítače v AD... takže do sítě nejde dostat PC, které není členem AD - ukradnout MAC nestačí...
Ve větších podnikových sítích se používá 802.1x integrované s Active Directory - počítače se identifikují svým účtem počítače v AD... takže do sítě nejde dostat PC, které není členem AD - ukradnout MAC nestačí...
1 x
ludvik píše:Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x
Trosku si to pletes, DHCP snooping a ip source guard je neco jineho.
Ale ano, lze to takto resit. Staci nastaven snooping (nebude parazitni DHCP server), zapnuty IP Source guard a ten kdo neni v DHCP serveru nastaven dle MAC adresy, tak se nepripoji do site. Takze neni potreba radius.
0 x
Nepletu ... IP source guard využívá informace z dhcp snoopingu. Sám jsi to tak napsal ...
iTomB píše:ludvik píše:Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x
Trosku si to pletes, DHCP snooping a ip source guard je neco jineho.
Ale ano, lze to takto resit. Staci nastaven snooping (nebude parazitni DHCP server), zapnuty IP Source guard a ten kdo neni v DHCP serveru nastaven dle MAC adresy, tak se nepripoji do site. Takze neni potreba radius.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
DHCP snooping a IP Source Guard pouzivaji stejna data, ale kazdy ma jinou funkci ...
0 x