forum.opennet.ru - "Best practice по настройке access-портов" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Best practice по настройке access-портов"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Best practice по настройке access-портов"	+/–
Сообщение от fomik2 (ok) on 31-Июл-13, 12:42
Добрый день. Есть ли какой-нибудь best practice по настройке портов уровня доступа на коммутаторах с точки зрения безопасности. Я имею ввиду защита от петель, шторм-контроль и т.д.
Ответить \| Правка \| Cообщить модератору

Оглавление

Best practice по настройке access-портов, eek, 12:49 , 31-Июл-13, (1)

Best practice по настройке access-портов, Merridius, 00:22 , 01-Авг-13, (2)

Best practice по настройке access-портов, QRSa, 21:16 , 08-Авг-13, (3)

Best practice по настройке access-портов, fomik2, 09:14 , 09-Авг-13, (4)

Best practice по настройке access-портов, Merridius, 10:30 , 09-Авг-13, (5)

Best practice по настройке access-портов, fomik2, 15:32 , 09-Авг-13, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Best practice по настройке access-портов" +/–

Сообщение от eek (ok) on 31-Июл-13, 12:49

> Добрый день. Есть ли какой-нибудь best practice
Да. Основное правило это не включать функции которых вы не понимаете.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Best practice по настройке access-портов" +/–

Сообщение от Merridius (ok) on 01-Авг-13, 00:22

>> Добрый день. Есть ли какой-нибудь best practice
Зависит от того, что вы туда подключаете. Абонент - одно, Сервер в вашем ДЦ - другое.)
Не маловажный фактор играет и зона ответственности.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Best practice по настройке access-портов" +/–

Сообщение от QRSa (ok) on 08-Авг-13, 21:16

Добрый день, коллеги в целом правы.
Но access port - это:
- port-security (лимит количества MAC) + sticky если нужно;
- portfast;
- bpduguard;
- storm-control broadcast/multicast = 5.0%
- storm-contrl unicast 20-70K pps (зависит от роли порта);
- dhcp snooping (защита от левого DHCP);
- swi unicast block (в отдельных случаях);
- protected (или private-vlan);
- mls qos cos override
Опишите типовой порт (функции), который Вам нужно защитить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Best practice по настройке access-портов" +/–

Сообщение от fomik2 (ok) on 09-Авг-13, 09:14

>[оверквотинг удален]
>  - port-security (лимит количества MAC) + sticky если нужно;
>  - portfast;
>  - bpduguard;
>  - storm-control broadcast/multicast = 5.0%
>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>  - dhcp snooping (защита от левого DHCP);
>  - swi unicast block (в отдельных случаях);
>  - protected (или private-vlan);
>  - mls qos cos override
> Опишите типовой порт (функции), который Вам нужно защитить.
Порты, на которых сидят пользователи. Два мака на порт - телефон и рабочая станция. В общем-то большинство из того, что вы описали уже включил.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Best practice по настройке access-портов" +/–

Сообщение от Merridius (ok) on 09-Авг-13, 10:30

>[оверквотинг удален]
>>  - storm-control broadcast/multicast = 5.0%
>>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>>  - dhcp snooping (защита от левого DHCP);
>>  - swi unicast block (в отдельных случаях);
>>  - protected (или private-vlan);
>>  - mls qos cos override
>> Опишите типовой порт (функции), который Вам нужно защитить.
> Порты, на которых сидят пользователи. Два мака на порт - телефон и
> рабочая станция. В общем-то большинство из того, что вы описали уже
> включил.
Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Best practice по настройке access-портов" +/–

Сообщение от fomik2 (ok) on 09-Авг-13, 15:32

>[оверквотинг удален]
>>>  - storm-contrl unicast 20-70K pps (зависит от роли порта);
>>>  - dhcp snooping (защита от левого DHCP);
>>>  - swi unicast block (в отдельных случаях);
>>>  - protected (или private-vlan);
>>>  - mls qos cos override
>>> Опишите типовой порт (функции), который Вам нужно защитить.
>> Порты, на которых сидят пользователи. Два мака на порт - телефон и
>> рабочая станция. В общем-то большинство из того, что вы описали уже
>> включил.
> Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.
Да всё правильно, я имею ввиду, что 2 мака стандартно видно на порту. А так ограничение у нас вообще на 10 стоит.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Best practice по настройке access-портов"	+/–
Сообщение от eek (ok) on 31-Июл-13, 12:49
> Добрый день. Есть ли какой-нибудь best practice Да. Основное правило это не включать функции которых вы не понимаете.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Best practice по настройке access-портов"	+/–
	Сообщение от Merridius (ok) on 01-Авг-13, 00:22
	>> Добрый день. Есть ли какой-нибудь best practice Зависит от того, что вы туда подключаете. Абонент - одно, Сервер в вашем ДЦ - другое.) Не маловажный фактор играет и зона ответственности.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Best practice по настройке access-портов"	+/–
Сообщение от QRSa (ok) on 08-Авг-13, 21:16
Добрый день, коллеги в целом правы. Но access port - это: - port-security (лимит количества MAC) + sticky если нужно; - portfast; - bpduguard; - storm-control broadcast/multicast = 5.0% - storm-contrl unicast 20-70K pps (зависит от роли порта); - dhcp snooping (защита от левого DHCP); - swi unicast block (в отдельных случаях); - protected (или private-vlan); - mls qos cos override Опишите типовой порт (функции), который Вам нужно защитить.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Best practice по настройке access-портов"	+/–
	Сообщение от fomik2 (ok) on 09-Авг-13, 09:14
	>[оверквотинг удален] > - port-security (лимит количества MAC) + sticky если нужно; > - portfast; > - bpduguard; > - storm-control broadcast/multicast = 5.0% > - storm-contrl unicast 20-70K pps (зависит от роли порта); > - dhcp snooping (защита от левого DHCP); > - swi unicast block (в отдельных случаях); > - protected (или private-vlan); > - mls qos cos override > Опишите типовой порт (функции), который Вам нужно защитить. Порты, на которых сидят пользователи. Два мака на порт - телефон и рабочая станция. В общем-то большинство из того, что вы описали уже включил.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Best practice по настройке access-портов"	+/–
	Сообщение от Merridius (ok) on 09-Авг-13, 10:30
	>[оверквотинг удален] >> - storm-control broadcast/multicast = 5.0% >> - storm-contrl unicast 20-70K pps (зависит от роли порта); >> - dhcp snooping (защита от левого DHCP); >> - swi unicast block (в отдельных случаях); >> - protected (или private-vlan); >> - mls qos cos override >> Опишите типовой порт (функции), который Вам нужно защитить. > Порты, на которых сидят пользователи. Два мака на порт - телефон и > рабочая станция. В общем-то большинство из того, что вы описали уже > включил. Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Best practice по настройке access-портов"	+/–
	Сообщение от fomik2 (ok) on 09-Авг-13, 15:32
	>[оверквотинг удален] >>> - storm-contrl unicast 20-70K pps (зависит от роли порта); >>> - dhcp snooping (защита от левого DHCP); >>> - swi unicast block (в отдельных случаях); >>> - protected (или private-vlan); >>> - mls qos cos override >>> Опишите типовой порт (функции), который Вам нужно защитить. >> Порты, на которых сидят пользователи. Два мака на порт - телефон и >> рабочая станция. В общем-то большинство из того, что вы описали уже >> включил. > Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше. Да всё правильно, я имею ввиду, что 2 мака стандартно видно на порту. А так ограничение у нас вообще на 10 стоит.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору