Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ограничение доступа

Добрый день.

Имеется парк ПК примерно 80 и несколько серверов в одной локальной сети (например сервер А и сервер В).

Необхождимо, чтобы все ПК имели доступ к серверу А и только некторые из ПК к серверу В.

Я так понимаю можно организовать посредством Cisco ASA или с помощью коммутаторов.

Какое оборудование выбрать и как лучше организовать с точки зрения безопасности и производительности?

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

ограничение доступа

На счет D-link traffic_segmentation аналог в Cisco - Private VLAN (Catalyst 3750 и выше).

На счет смены IP это верно. Но можно с этим бороться несколькими способами.

1)

a) На каждый порт 2960 вешаем Port ACL. Т.е. на каждом конкретном порту мы разрешаем выходить только с определенного IP. Если человек меняет IP он лишается выхода в сеть вообще.

б) От смены MAC адреса защищаемся port-security.

в) От смены компьютера (на нем можно поменять и IP и MAC на нужный) защищаемся 802.1X . Недостаток - использование статических адресов.

г) Можно добавить Static ARP Inspection

2) Если необходимы динамические адреса - к указанной выше конструкции добавляем опцию DHCP 82.

В этом случае на каждом конкретном порту мы всегда получаем конкретный IP.

Добавляем к этому DHCP Snooping,

Можно пунк а) заменить IP source Guard (меньше конфигурации)

Static ARP Inspection заменить Dynamic ARP Inspection и получаем полноценную защиту.

3) Если поставить ASA вместо свитча то можно реализвать еще один вариант доступа Identiti Firewall. Но в этом случае нам необходим Active Directory.

4 ОТВЕТ.

ограничение доступа

Если использовать access-list можно обойтись любым коммутатором от 2960 и выше, производительность будет ссответствовать line-rate.

New Member

ограничение доступа

Ок.Access-list строится по MAC или IP и соотвественно сменив, к примеру IP можно обойти ограничение.

А есть на 2960 или других моделя Cisco, аналог технилогии traffic_segmentation (используется в rкоммутаторах Dlink)?

ограничение доступа

На счет D-link traffic_segmentation аналог в Cisco - Private VLAN (Catalyst 3750 и выше).

На счет смены IP это верно. Но можно с этим бороться несколькими способами.

1)

a) На каждый порт 2960 вешаем Port ACL. Т.е. на каждом конкретном порту мы разрешаем выходить только с определенного IP. Если человек меняет IP он лишается выхода в сеть вообще.

б) От смены MAC адреса защищаемся port-security.

в) От смены компьютера (на нем можно поменять и IP и MAC на нужный) защищаемся 802.1X . Недостаток - использование статических адресов.

г) Можно добавить Static ARP Inspection

2) Если необходимы динамические адреса - к указанной выше конструкции добавляем опцию DHCP 82.

В этом случае на каждом конкретном порту мы всегда получаем конкретный IP.

Добавляем к этому DHCP Snooping,

Можно пунк а) заменить IP source Guard (меньше конфигурации)

Static ARP Inspection заменить Dynamic ARP Inspection и получаем полноценную защиту.

3) Если поставить ASA вместо свитча то можно реализвать еще один вариант доступа Identiti Firewall. Но в этом случае нам необходим Active Directory.

New Member

ограничение доступа

Ок. Спасибо за развернутый ответ.

625
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему