CCIE.pl

w bardzo skondesowanej formie ale powinno wystarczyć :
https://www.youtube.com/watch?v=SDocmq1c05s
https://www.youtube.com/watch?v=kVxyF_Fpr7Q
https://www.youtube.com/watch?v=u484rv6r-eI

A zakładasz że wszyscy klienci jednocześnie będą komunikować się z DHCP ? Tak naprawdę należałoby podsłuchać Wiresharkiem komunikację inicjującą dla jednego klienta żeby dokładnie policzyć ile pakietów jest przesyłanych między nim a serwerem DHCP ale myślę że 100pps powinno w zupełności wystarczyć.

To z mojej perspektywy w skrócie: Ad 1. Zalecany limit to 15 - https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/53SG/configuration/config/dhcp.html#wp1107675 (to jeszcze z cat4500 i raczej nic się tu nie zmieniło). Nie wiem czy liczy wszystkie stany DHCP przy negocjacji (czy może...

Powinno działać, robiłem kiedyś profil który matchowal grupę z AD z group policy ASA przez ISE (na potrzeby posture remedation) . Zresztą to Radius , wiec wstrzyknie to co mu każesz tylko atrybuty musza się zgadzać (tu jest jakiś przykład na szybko - https://www.petenetlive.com/KB/Article/0001155)

Tworzysz Group Policy do niej przypisujesz pule adresow oraz ACL potem w DAP powiązujesz to z grupą w AD i już (nie dotykasz sprawdzania hosta) . Ew tak jak pisałem wcześniej mapujesz nazwę Group Policy z grupa w AD za pomocą LDAP Attribute Maps . Oczywiście oprócz wybranej metody musisz mieć skonfi...

Jest kilka sposobów , możesz to zrobić np. tak - https://www.youtube.com/watch?v=dsuCU-65vNc , albo mapować ręcznie Group Policies z grupami w AD za pomocą LDAP Attribute Maps . Te przykłady działają na ASA bez FTD , nie wiem jak to wygląda na FTD bo nie miałem czasu się zagłębić w to środowisko :/

Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne i zdawałem sobie sprawę że zaraz dostanę za to po głowie. Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi . Czasem tak półśrodek może wy...

Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Secur...

A to ciekawe, nie wiedziałem nawet że jest taki wymóg przy 4500 a klika ich mamy . Niedługo będziemy je wymieniać na 9300 w stacku więc pewnie pojawią się jakieś inne niespodzianki . Thx za info

Nie miałem jeszcze czasu tego sprawdzić ale poczytaj o Management VPN Tunnel (Requires ASA 9.0.1 (or later) and ASDM 7.10.1 (or later) plus AnyConnect 4.7) - https://www.cisco.com/c/en/us/td/docs/s ... de_4-7.pdf

Tak tak, czasem szybciej coś napiszę niż przetrawię to w głowie :/ . Przy wpisanym na sztywno voice vlanie może faktycznie nie pojawia się mac w DATA vlanie (należałoby to kiedyś Wiresharkiem podejrzeć) . Dzięki za skorygowanie

Być może faktycznie przy CDP ten problem się nie pojawia , u mnie jest mieszane środowisko i przy innym vendorze jest używane LLDP-MED plus DHCP option
@mhuba W przypadku gdy nie ma niczego to port-security faktycznie jest dobry (i jakiekolwiek inne dostępne 'ficzery' )

Zwykły end-user raczej nie robi takich trików jak zmiana mac adresu czy używanie VM bo jest właśnie 'zwykły' ;) . To kombinatorzy lubią podłączyć dodatkowy komputer / router czy podmienić adres na swoim priv laptopie i przed nimi należy się bronić . Jeszcze inną kwestią są jacyś szemrani pracownicy ...

To wyjaśnia dlaczego widziałem ten soft tylko u devów / wdrożeniowców

Jak masz problem z uzyskaniem AnyConnecta to ew możesz użyć OpenConnect-GUI (dla SSL) - https://openconnect.github.io/openconnect-gui/ albo Shrew Soft VPN Client - https://www.shrew.net/software (dla L2TP / IPsec) . Sam osobiście nie testowałem, ale zewnętrzni dostawcy u mnie czasem używają tego sof...