faq обучение настройка
Текущее время: Пт авг 29, 2025 13:13

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 135 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 27, 2005 11:52 
Не в сети

Зарегистрирован: Чт окт 13, 2005 14:53
Сообщений: 1
Откуда: Москва
Demin Ivan писал(а):
Цитата:
Интересует возможность добавления в IP-MAC Binding связки один IP на порт, но несколько маков.
Пример:
create address_binding ip_mac ipaddress 192.168.168.168 mac_address 66-55-44-33-22-11 ports 5
+
create address_binding ip_mac ipaddress 192.168.168.168 mac_address 11-22-33-44-55-66 ports 5

А зачем вам это? Это же противоречит основным принципам безопасности!


на самом деле ситуация действительно противоречит принципам безопасности, но встречается достаточно часто например при подключении у клиента PC и ноутбука, а идентификация клиентов идет по ip (т.е. нежелательна выдача второго ip)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 13:43 
Не в сети

Зарегистрирован: Ср мар 16, 2005 20:17
Сообщений: 207
Откуда: Трехгорный
С праздником всех любителей D-Linkа!
Кстати когда будет обещаный подарок ввиде новой FW для DES-3526


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 14:11 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
T_IgorWW писал(а):
С праздником всех любителей D-Linkа!
Кстати когда будет обещаный подарок ввиде новой FW для DES-3526

думаю, к середине ноября будет релиз. beta FW могу выслать уже сейчас.

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 14:20 
Не в сети

Зарегистрирован: Ср ноя 02, 2005 14:17
Сообщений: 99
Откуда: Самара
Vladislav Karagezov писал(а):
думаю, к середине ноября будет релиз. beta FW могу выслать уже сейчас.

А когда можно будет попробывать новый алгоритм IP-MAC привязки для 3828 ?
и если есть бета на 3526 можно ли описание изменений посмотреть хоть для этого коммутатора ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 14:29 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
gthe писал(а):
Vladislav Karagezov писал(а):
думаю, к середине ноября будет релиз. beta FW могу выслать уже сейчас.

А когда можно будет попробывать новый алгоритм IP-MAC привязки для 3828 ?
и если есть бета на 3526 можно ли описание изменений посмотреть хоть для этого коммутатора ?

расширение IP-MAC-Port Binding для DES-3828 будет в новом релизе, намечен на конец этого года.
По поводу изменений в FW для DES-3526:
1. IP-MAC-Port Binding
2. Loopback detection - будет называться Loopback Guard

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 14:34 
Не в сети

Зарегистрирован: Ср ноя 02, 2005 14:17
Сообщений: 99
Откуда: Самара
Т.е. пока обоюдной работы IP-MAC и Port Sec. нет даже в бете ?
В принципе это планируеться ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 02, 2005 14:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам выслал!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 09, 2005 22:18 
Не в сети

Зарегистрирован: Вт июн 14, 2005 13:34
Сообщений: 34
Откуда: Moscow
Интересно узнать, а у чего более высокий приоритет, у Port Security или у IP-MAC Binding? Как вообще должны вести себя эти функции вместе?

Как пример: переводим свитч на новую прошивку. Все порты в Port Security установлены в Enabled - 1 - Permanent. Прописываем каждому порту привязку MAC-IP. При этом случайно ошибаемся в одном из MAC-адресов. Что забавно, клиент продолжает работать. Правда, как-то коряво. То нормально, то возникают проблемы со связью. При этом в трапс валятся логи плана
02 00 08 c8 01 23 45 00 01 00 01 00 01 00 08 c8 01 23 45 00 01 00 01 00, т.е. в одном сообщении отключение и включение мак-адреса на порту. Как вообще должно быть на самом деле?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 10, 2005 10:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я же уже говорил, что теперь есть одна функция IP-MAC-Port Binding


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 10, 2005 12:40 
Не в сети

Зарегистрирован: Вт июн 14, 2005 13:34
Сообщений: 34
Откуда: Moscow
Иван, прочтите предыдущее сообщение внимательнее. Потом включите 3526 с новой прошивкой, которую Вы так любезно мне прислали. И убедитесь, что функция Port Security, слава Богу, никуда не делась.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 10, 2005 12:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Обязательно проверим. О результатах напишу здесь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 10, 2005 14:16 
Не в сети

Зарегистрирован: Вт апр 06, 2004 10:34
Сообщений: 448
По следам вчерашних событий в сети, огрмнейшая просьба, можно ограничить действие привязки IP-MAC конкретными виланами. Иначе в случае нештатной ситуации не добраться в управляющий вилан новым оборудованием. Пришлось лезть на чердак вчера. Час простоя и потерянного времени на ровном месте :( Да и вообще смысл забивать множественные привязки мас-ip для сети за роутером(мас один а айпишников много).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 14, 2005 17:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
2 Marauder:
Включил функцию Port Security с одним адресом на порту (выключил Learning), включил IP-MAC-Port Binding с неправильным MAC-ом и он заблокировался
2 tracert:
В настоящее время не видим целесообразности добавления этой возможности


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 14, 2005 19:57 
Не в сети

Зарегистрирован: Вт апр 06, 2004 10:34
Сообщений: 448
Demin Ivan писал(а):
В настоящее время не видим целесообразности добавления этой возможности


Ок, давайте тогда договоримся МАС привязка к порту делается на фактически конечных юзерских портах. Это гарантирует что с левыми МАС адрессами пользователи у нас не ходят. Затем привязка MAC-IP на магистральных портах гарантирует то, что нормально в сети работают только правильные пользователи. Т.е само собой разумеется что работа МАС-IP биндинга будет проходить на магистральных портах.(На юзерских проще один ACL добавить и успокоиться). Отсюда активация MAC-IP биндинга на магистральном порту затронет ВСЕ виланы на нем проходящие. Тегированные и не тегированные. А зачем это нужно. В том варианте как у меня сейчас есть, при активации порт секурити не прописанные МАС адресса, сразу идут в блок лист. То что вроде бы не плохо для пользовательского вилана, совсем не подходит для инетного например (IP много и они случайные а МАС то один - мас маршрутизатора), ну и в таком духе в общем ....
А вы пишете нет смысла :?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 15, 2005 10:36 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
tracert писал(а):
Demin Ivan писал(а):
В настоящее время не видим целесообразности добавления этой возможности


Ок, давайте тогда договоримся МАС привязка к порту делается на фактически конечных юзерских портах. Это гарантирует что с левыми МАС адрессами пользователи у нас не ходят. Затем привязка MAC-IP на магистральных портах гарантирует то, что нормально в сети работают только правильные пользователи. Т.е само собой разумеется что работа МАС-IP биндинга будет проходить на магистральных портах.(На юзерских проще один ACL добавить и успокоиться). Отсюда активация MAC-IP биндинга на магистральном порту затронет ВСЕ виланы на нем проходящие. Тегированные и не тегированные. А зачем это нужно. В том варианте как у меня сейчас есть, при активации порт секурити не прописанные МАС адресса, сразу идут в блок лист. То что вроде бы не плохо для пользовательского вилана, совсем не подходит для инетного например (IP много и они случайные а МАС то один - мас маршрутизатора), ну и в таком духе в общем ....
А вы пишете нет смысла :?

Если честно, не совсем понял мысль автора :-)
Все функции, обеспечивающие безопасность, можно включать ВЫБОРОЧНО на конкретных портах, так что особой проблемы не вижу.

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 135 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB