"Salas" <salas@freemail.lt> wrote in message news:icgb2d$5am$1@trimpas.omnitel.net... > Butent kad nebus galimybiu visikai panaikinti everyone/authenticated > leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius reikia > ideti labai daug darbo, ir vistiek islieka galimybe palikti kaskokia skyle, > arba atvirksciai, dedant apsaugas sutrikdyti normalu darba. O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius "per-port on behalf of the port-owner"? Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai. Mano požiūriu, skylių itin daug čia nėra. > Taip pat islieka > didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors > administratorius neivertins esamos konfiguracijos, ir pamirs si aspekta, del > tokiu acountu. Nepamirš, jei bus tvarkinga dokumentacija. > Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai kvailas. Jau > geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti konkretu > MAC adresa. O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P > Taip pat priverstinai reikai isjungti Password complexity galimybe visame > domene Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, suvesti slaptažodžiai ir vėl įjungtas. Nes jis galioja tik slaptažodžio pirminio nustatymo/keitimo metu, bet niekaip netikrinamas logon'o metu ir atmetamas, jei per paprastas - tai neįmanoma nei techniškai, nei tuo labiau kriptografiškai logiškai. > Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, jei pvz Tinklo dydis visiškai neturi jokios reikšmės. Turi tik "swiching/routing fabric capacity". Paprastai tarp klientų ir tarp serverių, ir tuo labiau - periferijos jis būna gausiai neišnaudotas. > 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, esanti tame > paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius komutatorius, per > firewall'a ir paskui tais paciais komutatatoriais atgal i spausdintuva. Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo topologiją ar kitas charakteristikas. Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB turbūt nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių portų vieno komutatoriaus atžvilgiu? Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia virtualizacija - pasidaryti našią programinę ugniasienę su velniažin kiek branduolių, atminties ir tinklo pralaidos, kas galiausiai susiveda į filtravimo pralaidumą - juokų darbas.