Блокировка "левых" ноутов в ЛВСе. КАК?

Для любителей просто поболтать

Сообщение Сергей.М. » 15 сен 2009, 06:41

Музалёв Николай писал(а):
Это ПО версии 4.2, которое ставится на windows - сервера.

А принцип функционирования?


http://www.cisco.com/en/US/prod/collate ... 53387.html
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Музалёв Николай » 15 сен 2009, 14:23

Замечательно.

И по установленной инфраструктуре: коммутаторы только КОШКИНЫ? или любые более-менее сложные от др. производителей?

В частности - как оно сожительствует со свичами от НР ( procurve среднего ряда) если вам то известно?

Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Сергей.М. » 16 сен 2009, 06:31

Оборудования других производителей у нас нет, поэтому проверить не на чем, но не вижу причины в отстутсвии работы с другими вендорами. Одно но, TACACS+, исключительно кошачья разработка и поддерживается, соответственно, только их оборудованием. RADIUS - принятый стандарт и поддерживается всеми производителями.

По поводу HP. Насколько мне известно стратегия их развития весьма тесно интегрируется с Cisco, вплоть до поддержки ее проприетарных протоколов (CDP к примеру) и интерфейса управления своими устройствами а-ля IOS. Таким образом возможна поддержка функциональности более близкой к Cisco.
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Сергей Дубров » 16 сен 2009, 07:25

Сергей.М. писал(а):Одно но, TACACS+, исключительно кошачья разработка и поддерживается, соответственно, только их оборудованием.

Это давно уже не так - средние и старшие модели хипишных коммутаторов тоже поддерживают TACACS+. Мы вот сейчас у себя будем проводить глобальную модернизацию нашей сетки и выбрали вместо любимых кисок, использовавшихся у нас много лет, хипишные прокурвы - очень вменяемое железо за существенно меньшие деньги. HP ProCurve 5406zl-48G-PoE+ Switch (J9447A) - ваще канфета. Кисюковый примерный аналог 4900M (только шасси) стОит у нас 16000$(ахренеть!) - фактически двойка по цене по сравнению с прокурвой за заметно меньший функционал.

Сергей.М. писал(а):По поводу HP. Насколько мне известно стратегия их развития весьма тесно интегрируется с Cisco, вплоть до поддержки ее проприетарных протоколов (CDP к примеру) и интерфейса управления своими устройствами а-ля IOS. Таким образом возможна поддержка функциональности более близкой к Cisco.

Всё верно - тот же TACACS+ хилые паккарды поддерживают в полный рост, а IOS они давно лицензировали у киски. Кстати, то же самое, похоже, сделала и AlliedTelesis - их CLI в продвинутых управляемых коммутаторах - один-в-один кисюковый IOS.

Кстати, в ЦЕРНе кисюки не особо жалуют, там как раз HP ProCurve очень активно используются.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Блокировка "левых" ноутов в ЛВСе. КАК?

Сообщение Михаил Григорьев » 18 сен 2009, 06:52

Музалёв Николай писал(а):Так вот, блокировать доступ им надо не только в NW сети (что в приципе возможно), но блокируй им вообще ВСЮ СЕТЕВУЮ активность.


Как говориться, есть 3 не сочетаемые вещи - это сроки реализации, цена и качество, что-то из них всегда в минусе, поэтому либо
1. Качественно, быстро, но дорого.
либо
2. Дешево, качественно, но не быстро.

Исходя из подхода выбирается и решение
1. Если сеть гетерогенная - это решение Cisco, если одни MS Windows, то решение Microsoft. С остальными решениями не связывался, поэтому ничего не подскажу.
2. Дешево - это Опенсорс, тут как мне видится варианта 2:
а) Если есть в наличии коммутаторы с поддержкой IEEE 802.1X, то решение организуется на них, опять же не без участия Radius.
Если таких коммутаторов нет, то пардонте, на одном софтверном уровне ничего не выйдет.
б) Если сеть построена на Wi-Fi, то тут тот же стандарт IEEE 802.1X и тот же Radius

Музалёв Николай писал(а):Потому обращаюсь за помощью:
- если у кого такая блокировка (или аларм, как альтернатива) реализовано, то не откажитесь проконсультировать подробно
- если кто видел форум, на котором обсуждались бы не общие посылки (типа пользуй РАДИУС и тд), а конкретные внедрённые проекты с техническими подробностями - не откажите в ссылке


Есть внедренный проект с сетью Wi-Fi + 802.1X + FreeRADIUS + Авторизация по сертификатам. При наличии развернутой инфраструктуры сети Wi-Fi и работающих *nix серверов все решение разворачивается за 1-2 дня - это настройка оборудования + массовая выдача сертификатов юзерам. Документации по настройке такого решения в инете очень много. В свое время мне неплохо помогла вот эта дока. Описано вполне рабочее решение.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Музалёв Николай » 18 сен 2009, 11:19

Михаил, спасибо за информацию - почитаем.

Что касается недоОзвученных деталей, то сеть гетерогенная (вин, НВ, лин) ,а коммутаторы
- среднего уровня проКурвы по концам и
- нечно похожее на предложенное Сергеем в центре.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Стогов Кирилл » 17 ноя 2009, 22:51

закончен разбор полетов с решением от CISCO.
TACACS+, RADIUS, 802.1x, модели AAA и т.п.
CertAutority не по условиям задачи, поэтому EAP-FAST или для древностей MD5.
Cisco Security Service Client.
Интеграцию с каталогами не делали, ибо каталогов нет.
Еще до кучи Cisco Security Manager.
Если есть вопросы, постараюсь ответить.

P.S.
Кстати все ПО доступно в инете.
Если к CSM идут всякие стикеры для активации, по умолчанию trial.
То два купленных ACS - это просто две плюгавые коробки без каких-либо серийников и пр. Скачал для интереса с рапида, тоже самое.
Профинансировали, так сказать, войну США в Ираке.
Собственно все ПО может работать как триал, но с гостевым аккаунтом его тем не менее получить нельзя, что несколько странно.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Пред.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

cron