>>>>> "IM" == Ilya Mazhara writes:
IM> Те пакет попадет в vlan2 и благополучно прибьет полиси. Мораль -
IM> мультивлан на порт - лажа. Ты рассматраваешь вариант когда все в твоей
IM> власти (те и сервер и активка), а это часто не так. Те этот вариант
IM> вланов уменьшает даже не саму безопасность, а правила ее организации. В
IM> сущности все это мусолилось не так давно в comp.dcom.cisco в
IM> теоретическом плане так сказать.
>> Мораль неправильная. Надо правильно настраивать тот юникс, который
IM> Или например OSR2 c routeenaable=1 ;-)
>> подключен одновременно к обоим вланам. В данном случае, оно почти ничем
>> не отличается от рутера с 2 Ethernet интерфейсами.
Еще раз повторюсь. Независимо от того, что там стоит - OSR, Unix,
киска или бабкина ступа;) Эта ситуация практически полностью эквивалентна
роутеру с двумя интерфейсами.
IM> роутер.... В качестве первого коммутатора был также каталист с этими
IM> самыми multivlan.
>>
>> Можно описать подробнее? Что было сделано и какими методами?
IM> Лаба была кстати по поводу секурити. А коммутатор #2 был не настроен
IM> совсем, те периодически слал dhcp-request. Мы ему на него и ответили,
IM> установив IP, gateway (тот самый дуал-хомед хост) и тд вплоть до пароля
IM> и SPAN-порта. В сущности задача была установить коннективити с ним
IM> (будь он настроен можно былоб послать RIPовую табличку с 0.0.0.0->host.
>>
IM> напрмер ответит на dhcp-request, установив в vlan2 в качестве дефолта
IM> юникс?
>> >>
>> >> Опять же, кто пошлет? Unix? Дык не надо позволять ему этого делать.
IM> Юних (как впрочем и многие дуал-хомед железки) здесь играет роль
IM> обходной дырки.
>>
>> Повторюсь. Надо его правильно настроить. Попробуй, наконец, запретить
>> маршрутизацию на этом юниксе. Или вкдючить на нем
IM> Нельзя быть уверенным что кой нить умник не включит роутинг на любом
IM> компе, и соединит т.о. де-факто два vlana в один.
Внимание, вопрос. Зачем такие компы включать в несколько вланов?
>> firewall. Обходной дыркой тут будет _любой_ маршрутизатор, на котором
>> разрешен форвардинг пакетов между этими адресами. Am I right?
IM> Только этих роутеров может быть много и ты никак сие не
IM> проконтролируешь.
Я честно, не понимаю. Включать машину в несколько вланов нужно,
если требуется доступ к каким-то ее сервисам из всех вланов. Это означает,
что машина является _сервером_. Если у кого-то в сети на серверах царит
анархия и он при этом пытается добиться какой-то security посредством
вланов, то ему лучше забить на это. Я не прав? Ну приведи ситуацию, когда
хрен-знает-чей комп необходимо воткнуть в несколько вланов?
--
Best regards, -- Alex Bakhtin.
AMT Group, Cisco Systems Gold Partner,
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
