tgrisha Опубликовано 24 мая, 2009 Жалоба Поделиться Опубликовано 24 мая, 2009 Доброго суток дня! Я новичок по управляемым свитчам. Меня интересует вопрос, перед покупкой его. 1. Можно с помощью его избавиться от програмной замены MAC адресов, например в свойствах сетевой карты? 2. Можно ли с помощью управляемого свитча запретить подключение к лок. сети всяких домашних нотбуков? 3. Можно ли подключить к управляемому свитчу не управлямый обычный свитч и раздать лок. сеть на 10 пользователей, причём можно ли всех их контролировать на управляемом свитче, черезе один единственный порт на управляемом свитче, также можно ли в данной конфигурации выполнить тоже самое, что написано в пункте 1 и 2 ? 4. Если да, то как это делается и надёжно ли будет защита от подключения всяких незнакомых компьютеров в лок. сеть и что ещё чаще подмены мас адресов на своих ноутбуках домашних? Меня интересует очень сильно 3 вопрос, так как хороший управляемый свитч очень дорогой, то везде егоне поставишь, а у меня есть центральный свитч к которому подключаются по одному, два неуправляемых свитча и через них подключаются пользователи. а каждый порт управляемого свитча будет приходится не более 10-12 человек или что ли нужно на каждый порт только дин компьютер подключать, чтобы управлять им? Спасибо за информацию. Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 24 мая, 2009 Жалоба Поделиться Опубликовано 24 мая, 2009 (изменено) Я новичок по управляемым свитчам. мануалы никто не отменял, определись с выбором и прямая дорога на сайт производителя Меня интересует вопрос, перед покупкой его. на какой модели какого производителя ты остановил свой выбор? как у тебя осуществляется подключение к интернету? 1) и 2) если ты подключен при помощи роутера, то это вполне осуществимо при помощи самого роутера 3. Можно ли подключить к управляемому свитчу не управлямый обычный свитч можно можно ли всех их контролировать на управляемом свитче, черезе один единственный порт на управляемом свитче, что ты вкладываешь в слово "контролировать"? в какой - то степени можно, но всех скопом, правило задается для порта, а что к нему подключено и в каком количестве ему совершенно параллельно, коммутаторы L2 работают на канальном уровне, потому управлять чем либо, кроме своих портов (в основном это ограничивается регулировкой пропускной способности, включением-отключением определенных портов, объединения портов в транки, заркалирование портов, объединение портов в VLAN'ы), они не могут (так что вопрос стоит скорее, именно, об управлении самим свитчем, а отнюдь не компьютерами, которые к нему подключены), на сетевом уровне могут работать коммутаторы L3, но у них и цены соответствующие 4) лучше все это проделывать на роутере хороший управляемый свитч очень дорогой что подразумевается под словом хороший управляемый свитч и плохой управляемый свитч? все зависит от количества машин в сети и от предполагаемой нагрузки... есть очень даже недорогие модели, например DIR-100 от Dlink (5портов), PS2216 от Compex (16 портов), есть относительно недорогие решения у TP-Link, возможностей которых вполне достаточно для небольшой сети, так сколько всего машин есть или ожидается в твоей сети? что ты конкретно хочешь получить на выходе? возможно есть смысл приобрести достаточно серьезный маршрутизатор, а к его портам подключить несколько неуправляемых свитчей... Оффтоп когда же вы научитесь определять конкретное техническое задание, а не косноязычно выражать кучу эмоций? Изменено 24 мая, 2009 пользователем Andrey_al Ссылка на комментарий Поделиться на другие сайты Поделиться
tgrisha Опубликовано 24 мая, 2009 Автор Жалоба Поделиться Опубликовано 24 мая, 2009 Спасибо за ответ! Задачи простые стоят, нужно сделать так, чтобы несанкционированно никто не мог подключится к сети, ни к инету, а к сети локлаьной. Умники приносят свой комп, нотебук, и подключают его к свитчу промежуточному который идёт к главному и играют в игры по сети. Это раз. А во вторых, я на других форумах уже всё выяснил, у меня раздаётся инет по МАС адресу, и его спокойно, в свойствах сет.карты меняют на нужный и получают тем самым нужный IP адрес которому разрешён инет. Мне не нужно говорить, чтобы сделать авторизацию, я и так знаю. Меня волнует вопрос пока что без авторизации. Чтобы управляемый свитч блокировал подмены чужих МАС чётко и уверенно. я так и не понял, можно ли на одном порту управляемого свитча управлять, тем, что я сказал выше, несколькими МАС адресами, к которому прикреплён обычный неуправляемый свитч, а уж он будет подключён к одному порту этого управляемого свитча. Вопрос стоит не в деньгах, а как раз в том, что нужномне купить, какой свитч, какого уровня, какой фирмы, чтобы осуществить те требования которые я уже высказал дважды. Количество машин сейчас 100, планируется не более 150. Мне всё равно сколько он стоит и т.п. Главное, чтобы он выплнял те функции плюс с запасом вдруг что на будущее. Я не ищу дешового решения. Деньги есть. Со сколькими МАС адресами по количеству я могу работать по одному порту: только с одним? 5-10, 20...? И будет ли работать такая схема что пользователи в количестве 10 штук будет подключены к неуправляемому свитчу, а уж он будет подключён к одному порту управляемого свитча, и осуществлять блокирование подмены МАС адреса на их компах и подключения любых нотебуков. Такой вариант сработает или нет? Мне просто посоветовали на других формуах управляемыый свитч с Port Security. Их очень много, у меня стоят сечас обычные D-Link(и). Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 24 мая, 2009 Жалоба Поделиться Опубликовано 24 мая, 2009 (изменено) Со сколькими МАС адресами по количеству я могу работать по одному порту: только с одним? 5-10, 20...? где-то попадалось значение: Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения: Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора. Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены. Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут. Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены. Port-access — используется вместе с 802.1X для того чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X возможно есть смысл установить маршрутизатор, например такой, он достаточно приемлемый по цене и достаточно мощный, что бы выдержать озвученную тобой нагрузку, 8 гигабитных портов со всеми возможностями настройки управляемых свитчей, достаточно настроек для контроля доступа к сети (MAC&IP binding, т.е. создание статической ARP таблицы, IP и MAC фильтры), посмотри, возможно это, как -то, поможет в решении твоих задач, если же нет, то будем посмотреть что можно выбрать из свитчей Изменено 24 мая, 2009 пользователем Andrey_al Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 25 мая, 2009 Жалоба Поделиться Опубликовано 25 мая, 2009 tgrisha: вопрос стоит в том что никто не помешает поставить машинку в качестве шлюза (поставив на ней две сетевые карты) и беспрепятственно обойти ограничения даже управляемых свитчей. Проще пойти организационными моментами. В случае обнаружения подключений отключать весь сегмент.... Ссылка на комментарий Поделиться на другие сайты Поделиться
tgrisha Опубликовано 25 мая, 2009 Автор Жалоба Поделиться Опубликовано 25 мая, 2009 Интересно, если Loader прав, то как мне быть в этом случае. Ведь действительно, стоит в подвале комп, здание большое, или у наших видеоинженеров, там как раз две карты, спокойно могут отшлюзовать даже через точку доступа другим ПК, ноутбам например и т.п. Как же мне их осталживать, ведь все пакеты будут приходит от одного мас адреса сетевой карты, я так пологаю ии один и тт же IP ник. Как же мне им запретить, или даже как обнаружить такую вот раздачу инета? Бороться юридически бессмысленно, уже пробовал, никого толка, сказали запрети техничеки и всё тут, не можешь извини... И что же мне делать? Человеку нужны полные права администратора, у него включен комп, допустим я куплю управляемый свитч, настрою только на MAC адрес одной сетевой карты, а них какраз две,для другой сети связывающей два компа. Они спокойно могут принести точку доступа или сделать шлюз из этого компа к другим, дажетем же ноутам. Как же мне такое запретить, или если это невозможно совсем никак на счёт раздачи не санкционированной. Тогда как это обнаружить, что с того компа идёт разадачаинета, чтобы хотя бы знать точно от кого это идёт??? Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 25 мая, 2009 Жалоба Поделиться Опубликовано 25 мая, 2009 Поставить на машинку-шлюз нормальный Firewall, развести компьютеры по разным рабочим группам... Вариантов решения достаточно много... Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 25 мая, 2009 Жалоба Поделиться Опубликовано 25 мая, 2009 (изменено) почему должен быть обязательно свитч, чем маршрутизатор не угодил? И что же мне делать? создать правила исключающие подобные действия, привязать маки к адресам, разрешить машинам с определенными маками подключаться, всем остальным запретить, самым настырным уменьшить скорость подключения до минимально возможной (64 кбит, например), ну и пусть себе шлюзуют на здоровье с такой скоростью, в крайнем случае отключить от интернета или выделить временной отрезок для подключения к интернету, ограничить порты, например 80, 110 и 25 м, закрыть доступ к сайтам с игрухами, в конце концов никто авторизацию по логину паролю не отменял Изменено 25 мая, 2009 пользователем Andrey_al Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 26 мая, 2009 Жалоба Поделиться Опубликовано 26 мая, 2009 Мне кажется, управляемые свичи решат только малую часть проблем топикстартера, Loader уже указал простой способ обойти ограничения. Имхо, надо навести порядок в сети, причем методами как техническими, так и организационными: - создать доменную структуру, если это еще не сделано, - в инет пускать не по ip а по логину-паролю (или еще лучше по доменным учеткам), - ограничить возможность авторизации пользователя одним своим компом (сложно, но можно), - поубирать "лишние" сетевые (все компьютеры должны быть подключены к свичу), - опечатать корпуса, - создать базу всего "железа" с указанием на каком компьютере какие железки стоят, вплоть до id кодов оборудования и mac сетевых (в случае если возникнут сомнения, что что-то заменили, легко можно будет сравнить), - как уже сказали, привязать ip к mac на dhcp - ограничить всем права, убрать локальных администраторов, чтобы не могли в свойства сетевых лазить и менять по желанию, - создать пакет организационных документов, регламентирующих пользование локальной сетью, интернетом, почтой. Завизировать у начальства, ознакомить под роспись работников, чтобы в случае чего можно было опираться на инструкцию, И хочу заметить, что без поддержки начальством на уровне приказов, инструкций и пр. все эти действия по запрещению - бессмысленны. Ссылка на комментарий Поделиться на другие сайты Поделиться
tgrisha Опубликовано 27 мая, 2009 Автор Жалоба Поделиться Опубликовано 27 мая, 2009 Maikll, а причём тут привязать ip к mac на dhcp. Скорей всего на маршрутизаторе или управляемом свитче. ДНСР то тут причём? Да, всё верно, без поддержки начальствавсё бессмысленно. я тоже так считаю. Видите ли начальство в компах не разбирается и у всех знакомые, друзья. От этого начальство не то, что никакого толку, а полную анархию создают, мол не конфликтуй, подделывают забей, подключают домашние ноутбуки, забей, то, что людям сложно набирать пароли, не нужно придумай без паролей как нибудь, один хам, чей то сынишка в организации или любимчик так вообще должен иметь всё, ещё и хамит, устанавливает любые программы, ззатребовал права сис. админа, другим раздаёт. А что начальство, а оно говорит, если ты хочешь дожить до отпуска, так выполняй всё что тебе прикажут или ... уволняйся если не нравится, ну так они не говорят, но я итак понимаю. Так что увы... я даже не знаю как можно в такой организации наладить порядок и безопасность, причём же проблем добавляют не мало тем самы и мне. сис админу, а никого это не волнует. Жёстко. а если проблем им понаставить, то ведьсамому прийдётся и тужится, пока работаю. У меня вопрос был как обнаружить, что на таком то компе, раздаётся инет, ведь можно же подумать, что это они качают, а не кто то там ещё кому раздаётся. У меня стоит ISA Server, раздаю инет через него. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 Maikll, а причём тут привязать ip к mac на dhcp. Имелось в виду: в комплексе в остальными вышеперечисленными мерами. У меня вопрос был как обнаружить, что на таком то компе, раздаётся инет, ведь можно же подумать, что это они качают, а не кто то там ещё кому раздаётся. У меня стоит ISA Server, раздаю инет через него. Если дела действительно обстоят так, как ты рассказываешь, то практически нереально. Разве что по резкому увеличению потребления трафика. Только отказаться от привязки к ip(mac) в пользу ручной авторизации. И управляемые свичи тут не особо помогут. Вообще, каким-либо образом ограничивать локальных администраторов - практически бесполезная задача по определению. Оффтоп Я бы на твоем месте крепко задумался, а стоит ли работать в такой организации. Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 29 мая, 2009 Жалоба Поделиться Опубликовано 29 мая, 2009 На мой взгляд стоит поступить проще - установить каждому компу ограничение по трафу и по скорости. Для возобновления интернета нужно как минимум придти с тобой пообщаться, а тут ты во всеоружии... "откуда? зачем? почему?" у человека сразу желание пропадет нахлебников кормить Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения