Strona 2 z 3 PierwszyPierwszy 123 OstatniOstatni
Pokaż wyniki 11 do 20 z 22

Temat: dhcp = good idea?

  1. #11
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    hmm co to za rozwiazanie ?

    Po co ci 4 routery laczace z WAN jak uzywasz statycznego routingu...
    ...gdzie jakas nadmiarowosc i redundancja polaczen aby uniezaleznic sie od awari...

    Po co router ma trzymac w pamieci jakie adresy ma przydzielac, to ma robic serwer DHCP. Router/Switch L3 ma wiedziec tylko gdzie jest DHCP i tam przekazac to co potrzeba (ewentualnie jakas kontrola)....

    Naprawde poznaj rozwiazania wykraczajace poza siec laczaca 2 komputery czy siec osiedlowa na switchach z Tesco po 20zl...

    Jak narazie nie uwzgledniasz w swoich rozwiazaniach nawet 1% tego co sie realizuje w sieciach. Caly czas opierasz sie tylko na prostym rozwiazaniu jakie stosuje "Kowalski w domu".

    Dobra chciales masz na przyklad prosta konfiguracje prostego Switcha L2 (Cisco2960) - praktycznie bez wiekszych cudow... Widzisz juz roznice w sprzecie jaki znasz i o co sie opierasz....


    Kod:
    c2960Vp1#sh running-config
    Building configuration...
    
    Current configuration : 7426 bytes
    !
    ! No configuration change since last restart
    !
    version 12.2
    no service pad
    service timestamps debug datetime msec localtime
    service timestamps log datetime msec localtime
    service password-encryption
    service linenumber
    !
    hostname c2960Vp1
    !
    boot-start-marker
    boot-end-marker
    !
    no logging console
    enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    !
    username XXXXXX password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    aaa new-model
    !
    !
    aaa authentication login default local
    !
    !
    !
    aaa session-id common
    clock timezone GMT+1 1
    clock summer-time GMT+1 recurring last Sun Mar 2:00 last Sun Oct 3:00
    system mtu routing 1500
    udld aggressive
    
    ip subnet-zero
    !
    !
    ip dhcp snooping vlan 100
    no ip dhcp snooping information option
    ip dhcp snooping database flash:snooping.txt
    ip dhcp snooping
    no ip domain-lookup
    ip domain-name XXXXXXXXXXXXXXXXXXXXX
    !
    mls qos map cos-dscp 0 8 16 26 32 46 46 56
    !
    crypto pki trustpoint TP-self-signed-644902656
     enrollment selfsigned
     subject-name cn=IOS-Self-Signed-Certificate-644902656
     revocation-check none
     rsakeypair TP-self-signed-644902656
    !
    !
    crypto pki certificate chain TP-self-signed-644902656
     certificate self-signed 01
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    
      quit
    !
    !
    macro global description cisco-global
    !
    !
    !
    errdisable recovery cause link-flap
    errdisable recovery interval 60
    !
    spanning-tree mode rapid-pvst
    spanning-tree portfast bpduguard default
    spanning-tree extend system-id
    spanning-tree vlan 1-100 priority 24576
    !
    vlan internal allocation policy ascending
    !
    ip ssh logging events
    !
    !
    macro global description cisco-global
    !
    !
    !
    errdisable recovery cause link-flap
    errdisable recovery interval 60
    !
    spanning-tree mode rapid-pvst
    spanning-tree portfast bpduguard default
    spanning-tree extend system-id
    spanning-tree vlan 1-100 priority 24576
    !
    vlan internal allocation policy ascending
    !
    ip ssh logging events
    ip ssh version 2
    !
    !
    interface Port-channel1
     switchport mode trunk
     logging event trunk-status
     logging event spanning-tree
     logging event status
     spanning-tree link-type point-to-point
     ip dhcp snooping trust
    !
    interface FastEthernet0/1
     switchport access vlan 20
     switchport mode access
     logging event spanning-tree
     logging event status
    !
    interface FastEthernet0/2
     switchport access vlan 20
     switchport mode access
     logging event spanning-tree
     logging event status
    !
    interface FastEthernet0/3
     switchport access vlan 20
     switchport mode access
     logging event spanning-tree
     logging event status
     spanning-tree portfast
    !
    interface FastEthernet0/4
     switchport access vlan 30
     switchport mode access
     logging event spanning-tree
     logging event status
    !
    interface FastEthernet0/5
     switchport mode trunk
     logging event spanning-tree
     logging event status
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/6
     switchport access vlan 100
     switchport mode access
     logging event spanning-tree
     logging event status
     ip dhcp snooping limit rate 30
    !
    interface FastEthernet0/7
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/8
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping trust
    !
    interface FastEthernet0/9
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/10
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/11
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/12
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/13
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 50
    !
    interface FastEthernet0/14
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/15
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/16
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/17
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/18
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/19
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/20
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/21
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/22
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/23
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface FastEthernet0/24
     switchport access vlan 100
     switchport mode access
     ip dhcp snooping limit rate 10
    !
    interface GigabitEthernet0/1
     switchport mode trunk
     switchport nonegotiate
     logging event trunk-status
     logging event spanning-tree
     logging event status
     macro description cisco-switch
     auto qos voip trust
     spanning-tree link-type point-to-point
     ip dhcp snooping trust
    !
    interface GigabitEthernet0/2
     shutdown
     no cdp enable
    !
    interface Vlan1
     no ip address
     no ip route-cache
    !
    interface Vlan31
     ip address 192.168.1.2 255.255.255.0
     no ip route-cache
    !
    interface Vlan100
     no ip address
     no ip route-cache
    !
    ip default-gateway 192.168.1.1
    no ip http server
    no ip http secure-server
    !
    ip access-list extended dostep_do_vty
     permit tcp 172.16.3.0 0.0.0.255 any log
     permit tcp 192.168.2.0 0.0.0.255 any log
     permit tcp 192.168.60.0 0.0.0.255 any log
     deny   tcp any any log
    logging facility local2
    logging xxx.xxx.xxx.xxx
    no cdp run
    snmp-server community XXXXXXXXXXXXX
    snmp-server location XXXXXXXXXXXXX
    snmp-server contact XXXXXXXXXXXXXXX
    !
    control-plane
    !
    !
    line con 0
    line vty 0 4
     access-class dostep_do_vty in
     transport input ssh
    line vty 5 15
     access-class dostep_do_vty in
     transport input ssh
    !
    ntp clock-period 36028881
    ntp server XXXXXXXXXXX
    end
    --
    ToM's Super Fix IT "No Fucking Problem"

  2. #12
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    Po co router ma trzymac w pamieci jakie adresy ma przydzielac, to ma robic serwer DHCP.
    Router i tak musi wiedziec ktory kabelek jakie ma ip, ajj sory, zyje w sredniowieczu, gadamy po MAC. W takim razie koniec tematu, do zobaczenia za 50 lat.

  3. #13
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Cytat Napisał rax666 Zobacz post
    Router i tak musi wiedziec ktory kabelek jakie ma ip, ajj sory, zyje w sredniowieczu, gadamy po MAC. W takim razie koniec tematu, do zobaczenia za 50 lat.
    Nie zyjesz w sredniowieczu tylko nie masz pojecia o wielu rozwiazanich, baaa nie masz dokladnie pojecia jak dziala siec, przez to gadasz niemilosierne bzdury...

    Zapoznaj sie z obecnymi technologiami jak sie robi sieci - a potem stwierdzaj ze cos jest do d.... i ze wymyslili to idioci...

    Nie bede juz mowil jaka bzdure stworzyles w tym rozwiazaniu niby z 4 routerami, po prostu szkoda to omawiac...

    moze sam na to wpadniesz w swoim geniuszu...

    Kod:
    Address:   192.168.0.1           11000000.10101000.00 000000.00000001
    Netmask:   255.255.192.0 = 18    11111111.11111111.11 000000.00000000
    Wildcard:  0.0.63.255            00000000.00000000.00 111111.11111111
    Network:   192.168.0.0/18        11000000.10101000.00 000000.00000000 
    Broadcast: 192.168.63.255        11000000.10101000.00 111111.11111111
    HostMin:   192.168.0.1           11000000.10101000.00 000000.00000001
    HostMax:   192.168.63.254        11000000.10101000.00 111111.11111110
    Hosts/Net: 16382
    Kod:
    Address:   192.168.10.1          11000000.10101000.0000 1010.00000001
    Netmask:   255.255.240.0 = 20    11111111.11111111.1111 0000.00000000
    Wildcard:  0.0.15.255            00000000.00000000.0000 1111.11111111
    Network:   192.168.0.0/20        11000000.10101000.0000 0000.00000000 
    Broadcast: 192.168.15.255        11000000.10101000.0000 1111.11111111
    HostMin:   192.168.0.1           11000000.10101000.0000 0000.00000001
    HostMax:   192.168.15.254        11000000.10101000.0000 1111.11111110
    Hosts/Net: 4094
    Ostatnio edytowane przez tom : 12-03-2009 - 13:37
    --
    ToM's Super Fix IT "No Fucking Problem"

  4. #14
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał rax666 Zobacz post
    192.168.0.0/16 - to jest adres najwyzszego poziomu, laczacego z WAN.

    192.168.0.1/18
    192.168.1.1/18
    192.168.2.1/18
    192.168.3.1/18

    to sa te 4 routery ktora lacza siec z WAN.
    O kur... rax666 - sorry, przestan pier****c glupoty bo az mi Ciebie zal!

    Przyklad powyzej - rozdajesz na 'routerach' sieci /24 a piszesz maske /18, wczesniej podajac w ogole ze bedziesz uzywal /16. WTF?!

    Cytat Napisał rax666
    Router i tak musi wiedziec ktory kabelek jakie ma ip, ajj sory, zyje w sredniowieczu, gadamy po MAC. W takim razie koniec tematu, do zobaczenia za 50 lat.
    O ja pier*** po raz drugi... od kiedy router gada po MAC?! Serio, przestan sie juz osmieszac tylko zacznij czytac ze zrozumieniem, ok?

    Wbij sobie do glowy raz na zawsze, ze wg OSI siec wyglada tak:
    Warstwa 1 - sygnaly elektryczne
    Warstwa 2 - Ethernet albo podobna technologia (zaleznie od uzywanej technologii)
    Warstwa 3 - IP (trasy dostarczenia pakietow itd)
    Warstwa 4 - TCP/UDP itp (lacznosc miedzy dwoma stronami)
    ...

    Teraz przepisujac to na urzadzenia - switch L2, router L3, firewall L4.

    Do czas az to zrozumiesz i zapamietasz nie widze sensu odpisywac na Twoje posty, bo tylko tworzysz bajzel wnoszac zero wartosci... jeszcze ktos pomysli ze masz racje i z takich bledow bedzie go pozniej ciezko wyleczyc

    Jak sie tego nauczysz (a sa to totalne podstawy) to bedziemy mogli zaczac mowic o tym, dlaczego switch dzialajacy normalnie na warstwie 2 moze byc swiadomy tego co dzieje sie na warstwie 3 a nawet 4 i jakie to ma znaczenie, co daje w sensie zarzadzania, kontroli i bezpieczenstwa.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #15
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Jak sie tego nauczysz (a sa to totalne podstawy) to bedziemy mogli zaczac mowic o tym, dlaczego switch dzialajacy normalnie na warstwie 2 moze byc swiadomy tego co dzieje sie na warstwie 3 a nawet 4 i jakie to ma znaczenie, co daje w sensie zarzadzania, kontroli i bezpieczenstwa.
    czy mógłbyś trochę temat rozwinąć? Będę wdzięczny...

    pozdrawiam

  6. #16
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Chodzi o to, ze teraz switche ktore z definicji powinny siedziec tylko na warstwie 2 potrafia zagladac w to co idzie na wyzszych warstwach, wiec 3 i 4... tak ze switch potrafi niejednokrotnie robic "DHCP snooping" i widzi jakie adresy rozdalo DHCP i jak pojawi sie na tym porcie cos czego nie dalo DHCP to switch reaguje - tom zapewne powie na ten temat wiecej, ja akurat w tym az tak dokladnie nie siedze. Jesli mowa o L4 - niektore bardziej zaawansowane switche potrafia robic nawet NAT z tego co widzialem, wiec zaczyna sie robic ciekawie :P czego przykladem moze byc konfiguracja ktora wrzucil tom.

    @tom - prosze popraw mnie jesli cos zle napisalem - widze ze znasz ta dzialke o wiele lepiej ode mnie wiec z checia poslucham jesli mialbys chwilke aby cos wiecej opisac.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #17
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    W sumie dziala to troche inaczej tzn. brak pewnej funkcjonalnosci jaka wymienil TQM jesli chodzi o samo dhcp snooping... dobra ale do rzeczy

    Samo dhcp snooping to glownie zabezpieczenie przed tym aby ktos nie wpiol nam do sieci lewego serwera DHCP. Pakiety z serwera DHCP (DHCPOFFER itp.) moga sie tylko pojawic na interfejsach oznaczonych jako "trusted" (ip dhcp snooping trust).

    Reszta interfejsow "untrusted" oczywiscie nie blokuje calego protokolu DHCP, ale zezwala tylko na pobranie przez komputer adresu z serwera, wszelie akcje podstawienia na takim porcie lewego DHCP zakoncza sie definiowana akcja np. wspomniany shutdown portu.

    Tak samo przy pomocy DHCP snooping (ip dhcp snooping verify mac-address) mozna kontrolowac aby ktos nie dostal (przez jakies matactwa w stylu modyfikacja pakietow) adresu nie przydzielonego do jego MAC-a.

    Do tego dhcp snooping buduje nam na switchu baze przydzialu konretnych ip do mac.

    Ta baza daje nam mozliwosc uzycia innych funkcjonalnosci typu port security (ip verify source port-security, ip verify source) itp.

    Samo port security miedzy innymi zapewnia wspomniana przez TQM funkcjonalnosc kontroli IP i MAC, tak aby uniemozliwic na danym porcie pracy z innych adresow niz zostaly przydzielone przez DHCP, oraz uniemozliwia podmiane adresu MAC.

    Jednak czesc tych funkcjonalnosci posiadaja dopiero switche L3, jednak to nie wyklucza stosowania tego majac w warstwie dostepowej proste switche L2 np. taki jak wspomniany wyzej (C2960).

    Dokladniejsza kontrole przeprowadza sie wtedy na switchach w warstwie dystrybucyjnej gdzie daje sie juz switche L3. Oczywiscie majac odpowiedni budzet mozna dawac switche L3 w warstwie dostepowej co pozwala na maksymalna kontrole tego co sie dzieje w sieci oraz wygodniej sie tego uzywa.

    Stosujac switche L2 tez mozemy wymusic (ale to mniej wygodne w niektorych wypadkach) na sztywno konketny adres MAC na danym porcie. Jednak musimy je wpisac w konfigu recznie. Cos takiego sprawdzi sie gdy mamy w biurze do danych portow przypisane konkretne maszyny i nie ma wiekszej rotacji (przenoszenie komputerow).


    Do tego bardzo fajnym rozwiazaniem jest dot1x razem z dynamicznymi vlanami. Caly bajer polega na tym ze switch przylacza nas do odpowiedniego vlanu zgodnie z autoryzacja dot1x, natomiast w przypadku braku autoryzacji przydielany jest np. VLan goscinny. Sam vlan goscinny moze dawac nam dostep np. do jakies ograniczonych funkcji sieci lub poprostu dropowac wszystkie pakiety do /dev/null

    Same vlany to jak by virtualne switche, czyli jednego wiekszego switcha/switche mozna sobie podzielic na jak by mniejsze switche. Czyli nie ma pomiedzy vlanami jakiejkolwiek komunikacji i stanawia one tak jakby odosobnione fizyczne sieci. Sama komunikacje miedy Vlanami mozemy realizujemy sobie wtedy np. na jakims switchu L3 (Inter Vlan Routing) wedlug naszej polityki bezpieczenstwa, np. polaczone dwa vlany - ale dostep mozliwy tylko w "jedna strone" tzn. jesli polaczenie zostanie zainicjowane z konkretnej strony do tego cala reszta czyli kontrola z jakich ip do jakich mozna sie laczyc itd.

    Mozliwosci sa ogromne i trudno je tutaj wymienic.

    Samych metod zabezpieczania jest o wiele wiecej i to co omowilem to tylko maly procent mozliwosci jakie mozna miec stosujac przyzwoite switche.

    Do tego mechanizmy w stylu spanning tree, rapid spanning tree pozwalajace budowac nadmiarowe polaczenia pomiedzy switchami tak aby w przypadku padu jakiegos switcha czy kabla nie przestala dzialac cala siec, caly ruch automatycznie przelacza nam sie na sprawne polaczenia lub omija uszkodzonego switcha...


    ------------------------------------------
    DODANE:

    Jeszcze przypomnailo mi sie jedno odnosnie DHCP. Wiadomo aby ulatwic sobie zycie dosc czesto w srodowisku moze wystepowac wiele podsieci routery itd.

    Np. centrala firmy i powiedzmy z 200 oddzialow w calej polsce... wszystkimi adrsami dla uzytkownikow mozemy zarzadzac z jednego DHCP. Wtedy najprosciej uzywamy na routerach polecenia "ip helper-address xxx.xxx.xxx.xxx" i dany router wie gdzie przekierowac zapytania do serwera DHCP. Oczywiscie mowiac jeden serwer DHCP to "uproszczenie" bo w tak duzych instalacjach stosuje sie redundancje w celu unikniecia awarii...

    Dlatego stwierdzilem ze to co napisal rax666 jest bez sensu bo router/switch nie musza sie zajmowac funkcja DHCP moze to robic serwer bedacy na drugim koncu polski, wystarczy wtedy tylko dac informacje gdzie ten serwer jest...

    Owszem na urzadzeniach Cisco tez mozna odpalic serwer DHCP ale jest to malo wygodne rozwiazanie zwlaszcza jak chcemy dawac przypisanie IP do MAC (czyli konkretne ip dla konkretnej maszyny). Jednak stosujac taki serwerek na routerku mamy np. mozliwosc uzycia funkcji "update arp", co tworzy nam statyczne ARP budowane wedlug tego co przydzielil serwer DHCP.


    ----------------------
    DODANE 2:

    lojciecdyrektor zadal mi pewne pytanie na PW i powroce jeszcze raz do jednej sprawy ktora byla poruszana w kilku watkach.

    Jak widzicie rozwiazania na sprzecie Cisco/Juniper itp. sa bardzo ciekawe, mozna sie sporo nauczyc o sieciach. Niestety sprzet taki w wielu przypadkach moze byc poza zasiegiem cenowym wielu osob.

    O ile czesc sprzetu mozna zdobyc za niewielkie pieniadze (starsze routery, switche FR itp.) to tez nie zawsze sa to male pieniadze jak sie wszystko posklada do kupy (tak aby zbudowac jakis ciekawy LAB).

    Dlatego warto posilkowac sie symulatorami ktore nic nas nie kosztuja, a mozna pocwiczyc sobie na sprzecie ktorego nie ma sensu kupowac do domu ze wzgledu na wysokie ceny. Dotyczy to glownie switchy nawet proste switche L2 (C2950, C2960) to nie sa male pieniadze (najczesciej >1000zl za sztuke), natomiast switche L3 to juz bardzo duzy wydatek.

    Tutaj wlasnie warto pobawic sie symulatorem, funkcjonalnosc mamy taka sama, jedynie nie mamy szansy dotknac sprzetu czy wpiac kabelkow

    Wiele osob uzywa takich rozwiazan, nieraz mieszanych (czesc sprzetu fizycznego czesc symulowanego) podczas nauki do egzaminow Cisco.

    tutaj wlasnie przypominam link do strony ccie.pl, a konkretnie dzialowi poswieconemu symulatora (Dynamips itp.):

    http://ccie.pl/viewforum.php?f=40

    dosc czesto potrzebne sa do symulatorow IOS-y, ale tutaj jak ktos bedzie potrzebowal do celow edukacyjnych to na pewno zawsze pomoge w tym temacie.

    tutaj kilka przydatnych linkow odnosnie zabawy z symulatorem:

    http://www.blindhog.net/category/dynamips/ - Tutoriale Video
    http://www.rasyid.net/2007/05/31/lab...laying-around/ - przykladowe topologie sieci do labowania
    http://dynagen.org/tutorial.htm

    Zaleta jest ogromna zamiast nie raz zadawac jakies pytanie na forum budujemy sobie w symulatorku siec nawet z kilkunastoma routerami/switchami i testujemy sobie rozne nasze pomysly routingu itp. sprawdzamy jak co dziala - a to daja najczesciej najwiecej odpowiedzi

    Na zachete proponuje sobie n/w Video Tutorial dotyczacy konfiguracji VPN-a, mozna zobaczyc jak przyjemnie pracuje sie z symulatorem...

    http://www.blindhog.net/tutorials/gn...vpn-part1.html
    http://www.blindhog.net/tutorials/gn...vpn-part2.html

    ----------------------------------
    DODANE 3:

    Male sprostowanie na switchach Cisco Catalyst 2960 w IOS 12.2(50)SE jest juz dostepne Dynamic ARP Inspection (DAI) i IP Source Guard (IPSG) czyli mozna robic dokladniejsza kontrole. Niestety starsze 2950 tego nie posiadaja jak i 2960 z starszymi IOS-ami niz wymieniony.
    Ostatnio edytowane przez tom : 12-05-2009 - 18:36
    --
    ToM's Super Fix IT "No Fucking Problem"

  8. #18
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    No @tom, o to chodziło!

    Wielkie dzięki po stokroć! Jak masz zamiar dawać więcej takich wykładów, to ja się na nie piszę

    Teraz będzie trzeba się przez to przegryźć...

    Ogólnie jak szukałem co nieco o przedstawionych przez ciebie rozwiązaniach to w sumie temat rzeka - dhcp snooping, stp, dai... Dopiero człowiekowi się oczy otwierają, jakie są możliwości w LAN-ie...

    Teraz będzie trzeba symulatorami się zabawić.

    Mam jeszcze prośbę o zdefiniowanie w wolnej chwili switch'a L3.

    Jeszcze raz wielkie dzięki!

    pozdrawiam

  9. #19
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @tom - super tekst, prosze o wiecej!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #20
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    tutaj nie ma problemu jak tylko mam czas to moge cos opisac.

    Narazie w dziale security dalem temat z prezentacjami Lukasza Bromirskiego odnosnie atakow w L2 itp. oraz ich zapobieganiu.

    Sa poruszone opisane tutaj funkcjonalnosci:

    http://hack.pl/forum/thread6870,atak...rzed_nimi.html

    Jak ktos ma szersze pytania co do zastosowanych tam rozwiazan mozna to omowic.

    Jak widac odpowiednie uzycie tych funkcjonalnosci np. dot1x + PVLAN + DAI + DHCP Snooping itp. daje naprawde spore mozliwosci poprawy bezpieczenstwa w sieci, jak i wieksza wygode pracy i kontroli dostepu.

    Tutaj jeszcze dodam ze w firmie calosc pieknie mozna polaczyc z Windows Server, a konkretnie z AD i RADIUSEM... Czyli cala autoryzacja z przydzialem do VLAN-ow itp. zintegrowana w jedna calosc. Czyli kazda osoba czy dzial ma dostep tylko do okreslonych VLAN-ow, a co za tym idzie okreslonych serwerow uslug itp.
    Ostatnio edytowane przez tom : 12-06-2009 - 16:05
    --
    ToM's Super Fix IT "No Fucking Problem"

Podobne wątki

  1. problem z lanem.. chyba dhcp
    By ironwall in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 3
    Autor: 05-06-2015, 13:07
  2. Serwer DHCP
    By tyter in forum Wardriving
    Odpowiedzi: 14
    Autor: 05-30-2008, 16:58
  3. na luzie - bad idea...
    By eMCe in forum Off Topic
    Odpowiedzi: 4
    Autor: 04-29-2007, 22:18

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj