Il 20/04/2012 19:02, dea ha scritto: > Una buona serata a tutta la lista ! > > Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche > soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. > > Quesito: > > Data una rete cablata con n macchine, non si vuole che staccato un cavo si > possa collegare una macchina diversa, anche se chi lo fa è dotato di login e > password validi (per esempio un portatile è validato, uno no). > Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non > si vuole tagliare semplicemente sul gateway.
ti base se vuoi gestire switch diversi con sw di "gestione serio" di consiglieri di usare un server radius ed imporre l'autentficazione a livello di uso della scheda di rete. ( ad esempio usando il pppoe). Tutto sommato e semplice e funziona bene e non ti crei problemi di mac mobili.... Stai attendo anche se sono switch di marca non è detto che il sw di gestione sia buono. Spesso per motivi di marcato si fanno serie economiche che oltre essere carenti a livello di prestazioni, lo sono molto di più a livello di funzioni sw per la gestione. > > Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un > firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC > non in lista ed in tal caso vada in allarme (segnalando via mail il problema). si ma se non leggi la mail ? e se non esce dello switch come cerchi il MAC ? poi se hai 10 switch metti 10 firewall ? A questo punto potresti usare un trucco con il DHCP .... MAC conosciuto ip valido mac non conosciuto ip non valido. Semplice funzionale senza grandi problemi e sempre la mail su ip non valido. > > E' anche vero che un portatile può usare più spinotti di rete, quindi la > gestione deve essere adattabile. In una rete tipo quella che prospetti questa frase deve essere eccezione non la regola. Sopratutto se usi un controllo su layer L2 onde evitare che i vari protocolli di spanning tree diano i numeri. Se blocci i MAC su uno switch solitamente li mettono su tabelle statiche quindi non sempre le informazioni sono passati alla gestione dello spannig tree quindi potrebbe accadere che tu apri la rete perchè la convergenza sul mac è lento ( fino a qualche minuto) soprattutto se gli switch sono di marche diverse ( in alcuni casi anche tra serie diverse degli switch) > > C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione > migliore. > > Grazie > > Luca > > > > > -- Per REVOCARE l'iscrizione alla lista, inviare un email a [email protected] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [email protected] To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
