спасибо за помощь!!!

еще остался вопрос по vlan'у управления, по умолчанию default 1, из него просто удаляю все порты на коммутаторе, хочу создать отдельный vlan для управления и единственный порт у этого vlan'а будет тегированым для проброса его, какой командой показать коммутатору, что новый vlan - это vlan управления.

нашел:
show ipif - показывает интерфейсы управления, на данный момент это ip-адрес самого коммутатора, который выставился с помощью config ipif System ipaddress ***.***.***.***/24
config ipif System vlan management ipaddress ***.***.***.***/24 state enable, где management - это имя vlana, ***.***.***.***/24 - адрес и подсетка управления, а вот "state enable" для чего написано?,

после show ipif видно, что интерфейс 1 остался, получается он просто переносит управление из default в management vlan? оставить на обоих интерфейсах как-то возможно?

и если возможно оставить дефолтный влан управления, то можно ли к примеру присвоить на новый vlan управления определенных пользователей с ролями админ\оператора\юзера, а default оставить тоже и на нем повесить пользователя с ролью админ на случай к примеру увольнения сотрудника и смены пароля в "не родном" vlan'е управления?

еще вопрос по шлюзу по умолчанию, его задают в более сложных конфигурациях коммутаторов, когда коммутатор доступа является шлюзом для клиентов? я правильно понимаю?

state enable можно вообще не писать, он по умолчанию же включён.


create ipif System2
config ipif System2


его задают в самых обычных конфигурациях, когда надо управлять коммутатором из другой подсети.

вопрос еще такой:

симметричные и асимметричные вланы могут существовать на одном коммутаторе?
можно ли их (симметричные и асимметричные вланы) пробрасывать через gvrp на соседние коммутаторы?

Встречный вопрос: нахрена вам это?

руководство желает чтобы в одном из вланов компы не видели друг друга, но видели серваки,
если подобного функционал не возможно реализовать на коммутаторе, то будем каспером зажимать

Включите трафик сегментацию и задействуйте функционал acl.

еще раз большое спасибо за помощь,
сам сейчас читаю и выполняю практические работы тут: http://www.intuit.ru/, но читать еще долго, дошел до раздела Traffic Segmentation (http://www.intuit.ru/studies/courses/35 ... =10#sect27),
в примере с множеством коммутаторов все красиво и понятно, но у нас ситуация такова, что помимо "низа" и "верха" есть куча промежуточных узлов-коммутаторов + ресурсы разбросаны на разные коммутаторы, которые прокидывают vlan'ы (vlan_trunk или gvrp), функционал Traffic Segmentation как будет отрабатывать? ведь там грубо говоря будет "config traffic_segmentation 1 forward_list 1" - это надо прописывать на промежуточном?

и на коммутаторе, в котором есть ресурс (прокси с сетевой картой, поддерживающей VLAN'ы к примеру) приходит через транковый порт несколько вланов, включая тот, в котором компы разделяются нижестоящим коммутатором функционалом траф. сегмент., то запись будет, 24-ый порт транковый, 1-ый порт прокси: "config traffic_segmentation 1 forward_list 24", "config traffic_segmentation 24 forward_list 1"? другие порты продолжат нормально принимать vlan'ы и фунционировать нормально?

Traffic Segmentation - этот метод изоляции трафика аналогичен функции Asymmetric VLAN, но его применение ограничено пределами одного коммутатора или нескольких коммутаторов в стеке, т.к. членство в группе портов не может распространяться по сети. - засада.

или Вы имели ввиду, что на "нижних" коммутаторах только использовать Traffic Segmentation, а уже на верхних\промежуточных (разбросанных по зданиям) использовать ACL для ограничения хождения по ресурсам (прокси на порту) определенных клиентов?

если настроена traffic_segmentation, то на vlan'ы пофигу? т.е. трафик ходит согласно правилам traffic_segmentation и имеет приоритет?
я хочу использовать функционал traffic_segmentation в Vlan'е inet-300, остальные вланы не должны "страдать".
у меня не тегированный порт в влане управления 25 (а 27-ой порт тегированный - он же является аплинком с другим коммутатором), к которому я сейчас подключен телнетом для управления - все работало до:


к которому подключен на 25-ый порт для управления:




к которому теряю доступ после настройки соединены они оба по 27-ому порту, а 26-ой порт влана инет-300 не тегирован, на нем висит сервер:



после этого я потерял управление коммутатором, который стоит за 27-ым портом транковым, как же быть? что я делаю не так?

config traffic_segmentation 9-16 forward_list 26,27
config traffic_segmentation 26 forward_list 9-16,27
config traffic_segmentation 27 forward_list 1-28
А вообще, учите матчасть, отвечать на вопросы, которые достаточно подробно описаны в ФАКе - неинтересно.

Да.

разобрался с vlan, traffic_segmentation - не совсем удобно конечно, если пользователь из порта одного коммутатора в порт другого коммутатора переезжает, но пользоваться можно и главное - что работает без збоев.

теперь буду разбираться с 802.1Х + RADIUS.
задача:
1. включать\блокировать до\после авторизации порт для передачи трафика от клиента\"хакера",
2. присваивать нужный vlan на порт коммутатора в зависимости от авторизации (логин\пароль сохраненный в системе по типу: пользователь: all , пароль: ******* - разрешить передачу данных, добавить порт в vlan-100 и тд. - пароли от пользователей этих знают только администраторы доверенные и при подключении к сети вводят его 1 раз),
3. хотелось бы еще как-то контролировать "хитрых" клиентов, которые могут сначала авторизоваться на порту коммутатора рабочим компом, а потом подменить на своем ноуте ip+mac, передернуть патч-корд и использовать сеть с личного устройства (сливать инфу на носители свои к примеру).

player84 что у Вас за контора такая? Руководство само регулирует какой комп кого должен видеть в сети, им заняться нечем?! Пр этом в сеть процветают подмены маков и прочие злонамеренные действия. Это разброд и шатание, и при первой попытке подобной сразу выгонять нужно за нелояльность к работодателю, а не городить авторизацию по радиусу. При этом Сам радиус не простой, задолбаетесь настраивать, а его отказ положит всю сеть. При этом как уже писали гарантий нет, порт авторизировался и данные продолжает лить, замена мас и ип и можно действительно подключить доступ. Да если порт моргнет линком нужно заново авторизироваться, но кто мешает авторизироваться под логином и паролем со своего рабочего устройства, считав данные с рабочего компа? Или просто поставить тупой свитч, чтобы линк не моргал вовсе.

Вы пытаетесь решить проблему на уровне L2 свитчей построив какую-то кривую систему распределения доступа, не обращая внимания на тот факт, что индустрия решает эти проблемы совсем по-другому. Списки доступа, домены политики и прочие прелести корпоративных систем, Вас не интересуют, а интересует только уровень взаимодействия на сетевом уровне.

Если хотите чтобы нельзя было слить данные, а только с ними работать, это не решаемая проблема на L2, вовсе! Возможностей тут не много либо все машины в домене Windows, и настраиваются жесткие правила безопасности, грубо говоря можно даже использование com порта запретить, либо как дополняющий или альтернативный вариант - использование терминальных серверов, где клиенты работают только на серверах, а их компы просто как терминалы без данных, без диска, без портов, а при попытке использовать фшлеку - сигнал админу и длительная е@ля - а что это было?

Точно так же можно ограничивать и выход в интернет, даже с терминального сервера - запиливаете squid к примеру и к нему NTLM авторизацию, в итоге разные юзеры с терминального сервера будут иметь разные возможности, и вся история гуляний пользователей по Интеренту сохранится. Причем можно даже SSL перехватывать, установив на клиентские компы правильный корневой сертификат, браузеры ругаться не будут, а в логах все останется, хоть файлы скаченные и переданные на диск кладите и отчет руководству.

При использовании прокси можно заблокировать возможность отправить что-то в Инет, если нужно. Запретить к примеру отправку запароленных архивов, и проверять на вирусы весь трафик.

Можно ограничить юзеров в использовании только разрешенного администрацией софта и тд. Но все эти возможности лежать далеко за пределами возможностей коммутаторов. При этом они все могут ходить друг на друга и никаких последствий кроме DDOS, при нормальной настройке, не может возникнуть! А DDOS на коммутаторах решается просто ограничением мультикаст и броадкаст штормов.

в ГосКомпании все инструкции приходят сверху:
пришел приказ удалить скайп всем, удалили,
пришел приказ покупать только Касперского, покупаем только Касперского,
прийшел приказ выделить инет сеть в отдельную логическую или физическую сеть - выделяем, а то, что комп сейчас офисный более-менее стоит 25 т.р., а таких компов теперь прийдется покупать порядка 150 штук + сервер AD DS под них отдельный + сервак под Каспера + сервак под WSUS + сервак под RADIUS - на это всем плевать, а еще руководство "подумало" и решило DLP внедрить в этой сетке-инет, а зачем, пока еще не решили, да и компы можно из списаных в эту сетку запихать со склада, которые еще не увезли на утилизацию, мы от них избавлялись 3 года, обновляли парк, радовались люди, что им нормальные машинки ставят, а теперь им второй машиной под инет это же сарье и поставят, не из своего же кармана платят.

вот так и живем)))

ах да, забыл...
все знают что такое ФСТЭК? так вот теперь все закупается только с этой наклейкой и желательно Российское, я не против, но вот проектировщикам уж больно тяжко с Автокада на наноКад переходить, а о T-Flex CAD слышали? из этой же серии САПР и КАД систем и что это займет минимум полгода + простои работы + сорваные контракты - всем наплевать, потому что - это способ лишить премии сотрудников, т.к. он не успел сдать в срок проект.
так же есть вариант перейти на операционную систему "Янукс", тот же линукс, но русский)))) и ФСТЭК есть! - о как)))

а на счет бдительной СБ, так недавно у нас чувак при увольнении украл с работы HDD из своего компа, написал служебку на доп. раб. день в СБ, вышел один, выкрутил винт и прикрыл крышку, обнаружили через 3 дня, т.к. комп не включался после этого, сообщили руководству, руководство СБ, СБ не смогла дозвониться до чувака, потом через 2 дня дозвонились через коллег и какой результат? его вызвали на "допрос", он сказал, что все вернет, HDD вернул, но проекты и вся его работа потеряны, срыв контракта, штраф компании, в полицию не заявили, он доволен и СБ на коне, отчиталась о предотвращении кражи.. все)))

кстати внедрен сервис блокировки портов, открытие доступа только по служебке, пдпись начальника отдела + подпись СБ сотрудника, подписи раздаются на право и на лево, из 600 компов сейчас примерно имет доступ к USB 250, а наше дело подневольное, есть служебка, открываем, нет служебки - не открываем...