Zmagam się z takim dylematem - mam sieć kilku przełączników. Chciałbym założyć jakąś sensowną blokadę, aby nikt nie dołączył do mi do sieci nieautoryzowanych urządzeń - innych przełączników, ruterów. Nie bardzo wiem jak to zrobić.
W ruterach można to fajnie zrobić uwierzytelnianie pod konkretnymi protokołami rutingu.
Ale w switch'ach jedyne co przychodzi mi do głowy to portsecurity i filtracja po mac, ale trochę to niewygodne, bo wpisywać mac'i wszystkich urządzeń bez sensu, dawanie limitu na ilość też niedobre bo nawet jakbym dał jeden mac, to ktoś zamiast komputera może dopiąć ruter itp. więc praktycznie żadne to zabezpieczenie.
Idąc dalej Radius - to już trzeba mieć zewnętrzny serwer ale to przecież jest żeby uwierzytelniać użytkowników, a nie sprzęt typu przełączniki i rutery.
Czy ktoś może mi coś podpowiedzieć?
Uwierzytelnianie między switchami
daj sobie na nieużywanych portach i po kłopocie. Inne rozwiązania to wspomniane przez ciebie port-security. Możesz na portach access domyślnie ustawić bpduguard. Jeśli ktoś podepnie switch do portu port automatycznie przestanie dzialać..
Pozatym 802.1x ale to wymaga więcej nakładów pracy i finansów.
Kod: Zaznacz cały
shutdown
Pozatym 802.1x ale to wymaga więcej nakładów pracy i finansów.
All men by nature desire knowledge
http://www.linkedin.com/in/marcinduma
http://www.linkedin.com/in/marcinduma
Porty muszą być aktywne bo będą wystawione na ściany w budynku.
Przełączniki obsługują 802.1x, tylko pytanie czy da się to jakoś uruchomić bez zewnętrznego serwera, tak żeby uwierzytelniało np lokalnie podłączone przełączniki i rutery.
Czy ma ktoś taki przykład implementacji? Bo nigdzie się z tym nie spotkałem.
Przełączniki obsługują 802.1x, tylko pytanie czy da się to jakoś uruchomić bez zewnętrznego serwera, tak żeby uwierzytelniało np lokalnie podłączone przełączniki i rutery.
Czy ma ktoś taki przykład implementacji? Bo nigdzie się z tym nie spotkałem.
Bpduguard wydaje się być dobrym pomysłem. Co do rootguard to chyba nie ma tu sensu bo dotyczy tylko zabezpieczenia przed wybraniem przypadkowego rootbridge.
VTP zrobię z hasłem. Wszystkie łącza gdzie będą trunki będą na sztywno, bez negocjacji, pozostałe porty będą access.
Z NEAT nie miałem styczności ale tam piszą że na switchu musi być Radius i łączność z jakimś ACS, to już za dużo kombinacji.
Nie ma jakiejś w miarę prostej opcji na uwierzytelnianie punkt-punkt?
VTP zrobię z hasłem. Wszystkie łącza gdzie będą trunki będą na sztywno, bez negocjacji, pozostałe porty będą access.
Z NEAT nie miałem styczności ale tam piszą że na switchu musi być Radius i łączność z jakimś ACS, to już za dużo kombinacji.
Nie ma jakiejś w miarę prostej opcji na uwierzytelnianie punkt-punkt?
802.1x i tak na switchu powinien być, a w sieci jakiś AD lub LDAP pewnie też jest. W windows server jest Network Access Server (Radius do którego 802.1x może się autoryzować), a linux'ach postawić RADIUSa też można w miarę szybko. Wtedy, jak user podłączy sprzęt (np niezarządzalny switch), to będzie miał port nieautoryzowany i tym samym blokowany.pawlo00 pisze: Z NEAT nie miałem styczności ale tam piszą że na switchu musi być Radius i łączność z jakimś ACS, to już za dużo kombinacji.
Nie ma jakiejś w miarę prostej opcji na uwierzytelnianie punkt-punkt?
Chyba nie ma lepszego rozwiązania. Koszty: uruchomienie usługi na Windows Server lub kilka godzin, żeby postawić np. wirtualnego linuxa z freeradiusem + konfiguracja switchy.
Powodzenia :)