Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
PashaP
Зарегистрирован: 06.06.2005 Сообщения: 113
|
Добавлено: Ср Дек 19 2007 20:55 Заголовок сообщения: Вопрос mac-address-table secure от mac-address-table-static? |
|
|
Совсем запутался. Подскажите пожалуйста, чем отличаются в Cisco значения mac-address-table secure от mac-address-table static?
Заранее спасибо |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Дек 20 2007 00:41 Заголовок сообщения: |
|
|
Все очень просто mac-address-table secure привязывает MAC к порту или VLAN-у.
mac-address-table static объявляет MAC-адрес, который может быть привязан на несколько портов и несколько сетевых протоколов (на IP отдельно, на IPX отдельно, на DECNet отдельно и т.д.)
Сейчас наверно это вряд ли кому надо, но вероятно кому-то это надо, если это есть в IOS. |
|
Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005 Сообщения: 113
|
Добавлено: Чт Дек 20 2007 10:21 Заголовок сообщения: |
|
|
Понял, спасибо
Не подскажите еще такой момент:
1) Как можно привязать mac адрес к VLAN а не к порту + VLAN?
mac-address-table secure обязательным параметром хочет видеть номер порта.
2) Как можно ограничить количество MAC адресов на порту? Т.е. чтобы не подключали на порт хабы, свитчи т.п.
Значение "port security max-mac-count 1" приводит к созданию
mac-address-table secure <mac>, и соответственно привязывает порт к конкретному мак адресу.
Заранее благодарен |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Дек 20 2007 13:50 Заголовок сообщения: |
|
|
Ваши игры с ограничением по MAC являются защитой от детей.
Умный поставит на твой порт роутер с функцией NAT, а за этим роутером поставит кучу компов, хабов, свичей и прочего.
Предлагаю пересмотреть свои взгляды на защиту. |
|
Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005 Сообщения: 113
|
Добавлено: Чт Дек 20 2007 14:16 Заголовок сообщения: |
|
|
and3008 писал(а): | Ваши игры с ограничением по MAC являются защитой от детей.
Умный поставит на твой порт роутер с функцией NAT, а за этим роутером поставит кучу компов, хабов, свичей и прочего.
Предлагаю пересмотреть свои взгляды на защиту. |
Я это прекрасно понимаю, но к сожалению в данном случае это требование придуманное не мной... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Дек 20 2007 17:09 Заголовок сообщения: |
|
|
И кем оно придумано?
Может придумщику стоит подумать над своими придумками?
Мне знакомы такие придумщики. Они видят не далее собственного носа. Если ты с настройками разберешься, то это все равно легко можно будет обойти. Напрашивается вопрос: А ваша бизнес-модель на чем делается? На кол-ве подключений или на трафике? У всех приличных людей на трафике. Ограничение по MAC - это геморой на тех.поддержку в первую голову. Поменял человек сетевуху и чего? В тех.суппорт звонить? |
|
Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005 Сообщения: 113
|
Добавлено: Вс Дек 30 2007 19:17 Заголовок сообщения: |
|
|
На самом деле в данном случае речь идет о подключении всяких тупых сетевых принтеров, ip телефонов (которые про авторизацию ничего не знают). Но нужна возможность вместо них временно подключить например ноутбук и т.п.которые должны попадать в другой vlan. Поэтому и было предложено использовать динамические порты. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Янв 05 2008 22:59 Заголовок сообщения: |
|
|
Я бы вам предложил более простое решение.
Для известных тупых устроств сделай отдельный VLAN и отдельную подсеть из которой они могут общаться только с некоторыми устройствами. Например с централизованным принт-сервером или VoiceIP-шлюзом или GateKeeper-ом.
Все неизвестные устройства автоматически чапают в другой, так называемый гостевой VLAN. И вот доступ оттуда куда-то по особому разрешению и на определенный срок.
Вы распишите процедуру подключения неизвестных устроств по шагам. Пусть она будет сперва несовершенна, но в процессе эксплуатации вы поймете что для вас лучше и модифицируете, если что. Основная задача, как я понимаю, исключить возможность подключения левых устройств к сети. |
|
Вернуться к началу |
|
|
|