Man atrodo ACL'us palaiko tik routing switchai. "Casper" <casper666_nespaminkit_@delfi.lt> wrote in message news:icisd0$sgo$1@trimpas.omnitel.net... > Jei ten normalus switchas ir nori padaryti gan saugiai: > Prikabink print serverio portui IP-MAC surisima > ir apribok ACL'ais tik print serverio darbui reikalingus protokolus. > Jei dar nori ir truputi paranojos, tai isijunk trapus ant to porto > Link-down/Link-up > > > > "Salas" <salas@freemail.lt> wrote in message > news:iciqp0$psf$1@trimpas.omnitel.net... >> Sutinku, bet jis ne kiek ne prastesnis uz ta "Mac authentikacija". >> Ateityje aisku galima bus galvoti ir apie atskiryma VLAN'ais, bet kaip >> pradinis variantas kol kas tiks ir sis. >> Juo labiau, kad tikslas viso to, kad eilinis uzeris atsivilkes savo >> laptopa ir ijunges i tinkla, neturetu jokio priejimo. >> >> >> >> >> "Dainiushas" <skirdain@gmail.com> wrote in message >> news:iciq4r$osm$1@trimpas.omnitel.net... >>> bet to pririšimo prie MAC saugumas tai irgi toks gausiai butaforinis... >>> >>> "Salas" <salas@freemail.lt> wrote in message >>> news:icipto$ogr$1@trimpas.omnitel.net... >>>> Paprasciausiai anksciau nebuvo tokio poreikio. >>>> >>>> >>>> "Dainiushas" <skirdain@gmail.com> wrote in message >>>> news:icinsi$lam$1@trimpas.omnitel.net... >>>>>a tai tu šito dar nebuvai radęs??? :) >>>>> >>>>> "Salas" <salas@freemail.lt> wrote in message >>>>> news:icimlg$jl1$1@trimpas.omnitel.net... >>>>>> Dekui uz patarimus. >>>>>> Radau komutatoriuje galimybe porta priristi tiesiogiai prie >>>>>> konkretaus MAC. >>>>>> Manau tai visiskai ispres mano mineta problema. >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> "Vasaris" <none@none.none> wrote in message >>>>>> news:icgqcj$pi9$1@trimpas.omnitel.net... >>>>>>> "Salas" <salas@freemail.lt> wrote in message >>>>>>> news:icgb2d$5am$1@trimpas.omnitel.net... >>>>>>>> Butent kad nebus galimybiu visikai panaikinti >>>>>>>> everyone/authenticated >>>>>>>> leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius >>>>>>>> reikia >>>>>>>> ideti labai daug darbo, ir vistiek islieka galimybe palikti >>>>>>>> kaskokia skyle, >>>>>>>> arba atvirksciai, dedant apsaugas sutrikdyti normalu darba. >>>>>>> >>>>>>> O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius >>>>>>> "per-port on behalf of the port-owner"? >>>>>>> Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai. >>>>>>> >>>>>>> Mano požiūriu, skylių itin daug čia nėra. >>>>>>> >>>>>>>> Taip pat islieka >>>>>>>> didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors >>>>>>>> administratorius neivertins esamos konfiguracijos, ir pamirs si >>>>>>>> aspekta, del >>>>>>>> tokiu acountu. >>>>>>> >>>>>>> Nepamirš, jei bus tvarkinga dokumentacija. >>>>>>> >>>>>>>> Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai >>>>>>>> kvailas. Jau >>>>>>>> geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti >>>>>>>> konkretu >>>>>>>> MAC adresa. >>>>>>> >>>>>>> O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po >>>>>>> komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P >>>>>>> >>>>>>>> Taip pat priverstinai reikai isjungti Password complexity galimybe >>>>>>>> visame >>>>>>>> domene >>>>>>> >>>>>>> Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, >>>>>>> suvesti slaptažodžiai ir vėl įjungtas. Nes jis galioja tik >>>>>>> slaptažodžio pirminio nustatymo/keitimo metu, bet niekaip >>>>>>> netikrinamas logon'o metu ir atmetamas, jei per paprastas - tai >>>>>>> neįmanoma nei techniškai, nei tuo labiau kriptografiškai logiškai. >>>>>>> >>>>>>>> Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, >>>>>>>> jei pvz >>>>>>> >>>>>>> Tinklo dydis visiškai neturi jokios reikšmės. Turi tik >>>>>>> "swiching/routing fabric capacity". Paprastai tarp klientų ir tarp >>>>>>> serverių, ir tuo labiau - periferijos jis būna gausiai neišnaudotas. >>>>>>> >>>>>>>> 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, >>>>>>>> esanti tame >>>>>>>> paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius >>>>>>>> komutatorius, per >>>>>>>> firewall'a ir paskui tais paciais komutatatoriais atgal i >>>>>>>> spausdintuva. >>>>>>> >>>>>>> Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo >>>>>>> topologiją ar kitas charakteristikas. >>>>>>> Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB >>>>>>> turbūt nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių >>>>>>> portų vieno komutatoriaus atžvilgiu? >>>>>>> Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) >>>>>>> atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia >>>>>>> virtualizacija - pasidaryti našią programinę ugniasienę su velniažin >>>>>>> kiek branduolių, atminties ir tinklo pralaidos, kas galiausiai >>>>>>> susiveda į filtravimo pralaidumą - juokų darbas. >>>>>> >>>> >> > >