Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
cisco и изврат, Настройка VLAN
 
#1
Это нравится:0Да/0Нет
19.04.2010 16:41:23
Возник вопрос, возможно ли автоматический перекинуть пользователя из одно VLAN в другой VLAN. Подробнее:прихожу к пользователю, запускаю скрипт, он определяет на каком порту какой циски я нахожусь и перегоняет его в необходимый мне VLAN. Как подать циске команду?, тут поможет rcmd. Основная проблема вызвона как определить конечное местоположения пользователя. Ведь не лучший способ прогонять запрос по всем имеющимся цискам в поисках искомого варианта...
Изменено: [mad]Mega - 19.04.2010 16:42:13
 
 
 
#2
Это нравится:0Да/0Нет
20.04.2010 10:06:23
Довольно просто решить проблему навряд ли получится. Как одно из решений, которое пришло на ум для больших L2 сетей :

Инсцинировать прохождение трафика до какого-то коммутатора, например это root, далее в скрипте описать следующую последовательность:

1.telnet к root
2.посмотреть таблицу mac адресов и найти порт
3.посмотреть sh cdp neig det, найти на порту другой switch и законектится к нему,
далее снова п.1 пока не дойдем до последнего,
и на его порту сменить vlan.


Может есть более простое решение...
 
 
 
#3
Это нравится:0Да/0Нет
20.04.2010 11:54:19
Вот еще про что можно почитать на сайте Cisco: VMPS
http://www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/vmps.html

технология позволяет пользователю оказываться в нужном VLAN к какому бы порту он не подключился, как она поможет в вашем случае не знаю. Возможно это именно то.
 
 
 
#4
Это нравится:0Да/0Нет
20.04.2010 12:45:52
Протокол 802.1x решит вашу задачу dot1x
 
 
 
#5
Это нравится:0Да/0Нет
20.04.2010 13:05:34
Цитата
SerGio пишет:
технология позволяет пользователю оказываться в нужном VLAN к какому бы порту он не подключился, как она поможет в вашем случае не знаю. Возможно это именно то.

Там на МАК-адресе все основано. Возможно, это как-то решит проблему. Но далеко не факт, что юзверь будет с одним и тем же МАКом коннектиться. Да и базу МАКов по ТФТП заливать надо. Соответственно, её имея.
 
 
 
#6
Это нравится:0Да/0Нет
20.04.2010 14:37:31
Ну если не по маку, то NAC framework нужно поднимать, как было сказано выше, другой вопрос, есть ли ACS в компании, без него ничего не получится, также нужно каждому клиенту ставить софт Cisco trust agent..
 
 
 
#7
Это нравится:0Да/0Нет
20.04.2010 15:31:30
Всем спасибо, за то что ткнули носом, в то что частично знал.
Имхо, радиус(он же 802.1х) не подойдём поскольку:
1. свичи держат только состояния порта а) Рабочий (vlan #id1) б) Гостевой (vlan #id2) в) блок.
2. в гостевой заганяются только те у кого не запущен сервис 802.1х, все остальные либо в рабочий, либо в блок. Но по дефолту если не изменяет память в СП3 сервис запущен, и если на свиче окажется пользователь с 802.1х, то оставить его в существующем влане не получится.
3. придётся погемороится со старыми машинами (вин95/95/00).
О VMPS даже и не вспомнил, ведь когда то читал, что VMPS-сервер есть только на 6000ках, а таких я то и в глаза не видил поэтому особо и не вдавался в подробности.
Буду крутить в сторону VMPS.
 
 
 
#8
Это нравится:0Да/0Нет
20.04.2010 17:40:57
[mad]Mega,
в вашем последнем сообщении есть доля правды..но также вы частично заблуждаетесь..я сам не являюсь сторонником радиуса, однако, ответьте на вопрос: что мешает вам передавать с радиус-сервера атрибут вилана, в зависимости от имени пользователя, к примеру, или от того, в какой доменной группе он состоит? виндовый ias не так уж беспомощен, как может показаться с первого взгляда..только вот админить и настраивать его не совсем понятно и удобно..а vmps, кстати, можно не только на шеститоннике поднять, а на freebsd, например ;)
 
 
 
#9
Это нравится:0Да/0Нет
21.04.2010 10:43:23
эм... может не совсем корректно выразился, но имелось в виду, что есть машины на которых стоит SP3 и на которые со скриптом никто не собирается идти, но они будут находиться на порту где я врублю aaa 802.1x и тогда у них получиться состояния порта - блок (ведь у них нет пароля и поддерживается 802.1х).
А насчёт фряхи: нашёл демона (его кстати можно и на винде для любителей) vmpsd. Но когда ранее читал теорию то там говорилось что это сервер ставиться на 6000. После в эту сторону не смотрел.
 
 
 
Страницы: 1
Читают тему