proNovell


http://novell.org.ru/forum/

Блокировка "левых" ноутов в ЛВСе. КАК?

http://novell.org.ru/forum/viewtopic.php?f=2&t=10362

Страница 2 из 2

СообщениеДобавлено: 15 сен 2009, 06:41
Сергей.М.
Музалёв Николай писал(а):
Это ПО версии 4.2, которое ставится на windows - сервера.

А принцип функционирования?


http://www.cisco.com/en/US/prod/collate ... 53387.html

СообщениеДобавлено: 15 сен 2009, 14:23
Музалёв Николай
Замечательно.

И по установленной инфраструктуре: коммутаторы только КОШКИНЫ? или любые более-менее сложные от др. производителей?

В частности - как оно сожительствует со свичами от НР ( procurve среднего ряда) если вам то известно?

Спасибо.

СообщениеДобавлено: 16 сен 2009, 06:31
Сергей.М.
Оборудования других производителей у нас нет, поэтому проверить не на чем, но не вижу причины в отстутсвии работы с другими вендорами. Одно но, TACACS+, исключительно кошачья разработка и поддерживается, соответственно, только их оборудованием. RADIUS - принятый стандарт и поддерживается всеми производителями.

По поводу HP. Насколько мне известно стратегия их развития весьма тесно интегрируется с Cisco, вплоть до поддержки ее проприетарных протоколов (CDP к примеру) и интерфейса управления своими устройствами а-ля IOS. Таким образом возможна поддержка функциональности более близкой к Cisco.

СообщениеДобавлено: 16 сен 2009, 07:25
Сергей Дубров
Сергей.М. писал(а):Одно но, TACACS+, исключительно кошачья разработка и поддерживается, соответственно, только их оборудованием.

Это давно уже не так - средние и старшие модели хипишных коммутаторов тоже поддерживают TACACS+. Мы вот сейчас у себя будем проводить глобальную модернизацию нашей сетки и выбрали вместо любимых кисок, использовавшихся у нас много лет, хипишные прокурвы - очень вменяемое железо за существенно меньшие деньги. HP ProCurve 5406zl-48G-PoE+ Switch (J9447A) - ваще канфета. Кисюковый примерный аналог 4900M (только шасси) стОит у нас 16000$(ахренеть!) - фактически двойка по цене по сравнению с прокурвой за заметно меньший функционал.

Сергей.М. писал(а):По поводу HP. Насколько мне известно стратегия их развития весьма тесно интегрируется с Cisco, вплоть до поддержки ее проприетарных протоколов (CDP к примеру) и интерфейса управления своими устройствами а-ля IOS. Таким образом возможна поддержка функциональности более близкой к Cisco.

Всё верно - тот же TACACS+ хилые паккарды поддерживают в полный рост, а IOS они давно лицензировали у киски. Кстати, то же самое, похоже, сделала и AlliedTelesis - их CLI в продвинутых управляемых коммутаторах - один-в-один кисюковый IOS.

Кстати, в ЦЕРНе кисюки не особо жалуют, там как раз HP ProCurve очень активно используются.

Re: Блокировка "левых" ноутов в ЛВСе. КАК?

СообщениеДобавлено: 18 сен 2009, 06:52
Михаил Григорьев
Музалёв Николай писал(а):Так вот, блокировать доступ им надо не только в NW сети (что в приципе возможно), но блокируй им вообще ВСЮ СЕТЕВУЮ активность.


Как говориться, есть 3 не сочетаемые вещи - это сроки реализации, цена и качество, что-то из них всегда в минусе, поэтому либо
1. Качественно, быстро, но дорого.
либо
2. Дешево, качественно, но не быстро.

Исходя из подхода выбирается и решение
1. Если сеть гетерогенная - это решение Cisco, если одни MS Windows, то решение Microsoft. С остальными решениями не связывался, поэтому ничего не подскажу.
2. Дешево - это Опенсорс, тут как мне видится варианта 2:
а) Если есть в наличии коммутаторы с поддержкой IEEE 802.1X, то решение организуется на них, опять же не без участия Radius.
Если таких коммутаторов нет, то пардонте, на одном софтверном уровне ничего не выйдет.
б) Если сеть построена на Wi-Fi, то тут тот же стандарт IEEE 802.1X и тот же Radius

Музалёв Николай писал(а):Потому обращаюсь за помощью:
- если у кого такая блокировка (или аларм, как альтернатива) реализовано, то не откажитесь проконсультировать подробно
- если кто видел форум, на котором обсуждались бы не общие посылки (типа пользуй РАДИУС и тд), а конкретные внедрённые проекты с техническими подробностями - не откажите в ссылке


Есть внедренный проект с сетью Wi-Fi + 802.1X + FreeRADIUS + Авторизация по сертификатам. При наличии развернутой инфраструктуры сети Wi-Fi и работающих *nix серверов все решение разворачивается за 1-2 дня - это настройка оборудования + массовая выдача сертификатов юзерам. Документации по настройке такого решения в инете очень много. В свое время мне неплохо помогла вот эта дока. Описано вполне рабочее решение.

СообщениеДобавлено: 18 сен 2009, 11:19
Музалёв Николай
Михаил, спасибо за информацию - почитаем.

Что касается недоОзвученных деталей, то сеть гетерогенная (вин, НВ, лин) ,а коммутаторы
- среднего уровня проКурвы по концам и
- нечно похожее на предложенное Сергеем в центре.

СообщениеДобавлено: 17 ноя 2009, 22:51
Стогов Кирилл
закончен разбор полетов с решением от CISCO.
TACACS+, RADIUS, 802.1x, модели AAA и т.п.
CertAutority не по условиям задачи, поэтому EAP-FAST или для древностей MD5.
Cisco Security Service Client.
Интеграцию с каталогами не делали, ибо каталогов нет.
Еще до кучи Cisco Security Manager.
Если есть вопросы, постараюсь ответить.

P.S.
Кстати все ПО доступно в инете.
Если к CSM идут всякие стикеры для активации, по умолчанию trial.
То два купленных ACS - это просто две плюгавые коробки без каких-либо серийников и пр. Скачал для интереса с рапида, тоже самое.
Профинансировали, так сказать, войну США в Ираке.
Собственно все ПО может работать как триал, но с гостевым аккаунтом его тем не менее получить нельзя, что несколько странно.
Часовой пояс: UTC + 3 часа [ Летнее время ]
Страница 2 из 2
2002-2010 proNovell Team
http://www.novell.org.ru/