Как реализовать защиту сети от «левых» устройств?

Приветствую, хабросообщество!
На предприятии сеть, адреса раздаются по DHCP, используется коммутатор Cisco. Хочется реализовать контроль хостов, чтобы пользователи не могли использовать свою технику (подключать ноутбуки, точки доступа). Вопрос- как это сделать?
Может использовать какие-либо встроенные механизмы Cisco? На основе развернутой Radius-инфраструктуры? И как лучше производить контроль? По Mac-адресу, или еще как?
В общем, в этом деле я совсем не спец, поэтому буду рад подробному описанию и дельным советам.
  • Вопрос задан
  • 5438 просмотров
Пригласить эксперта
Ответы на вопрос 8
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Я бы смотрел в сторону DHCP_snooping + Опция 82 DHCP + radius как прослойка между базой абонентов и dhcp. Так получаете полный контроль над всем оборудованием в сети, схема возможна только в полностью умной сети. Проще всего развернуть на базе какого-либо биллинга для ISP. Из плюсов вся техника маком привязана к порту коммутатора, в другом порту работать не будет, другой мак в этом порту работать не будет и т.п. индивидуальные ACL для любого устройства с централизованным управлением. Работает примерно так, первый раз устройство включается в сеть, получает специальный фейковый адрес с которого доступна только страница с авторизацией, вводит свой логин пароль, устройство записывается в учетку конкретного абонента и получает все его правила фильтрации и т.п. Минусы — дорого по железу. Обрисуйте полностью задачу, может устроит что попроще.
Ответ написан
Комментировать
shanker
@shanker
Я так понимаю, нужно копать в сторону использования технологии IEEE 802.1X. Она как раз дружит с Radius-сервером. Более подробно подсказать о настройке, увы, не могу, т.к. имею чисто теоретические знания в сей области. Самому интересно будет понаблюдать за ответами более компетентных специалистов
Ответ написан
Комментировать
@verwolfdotss
На прошлой работе было так:
habrahabr.ru/post/124697/
(Статью как раз коллега писал)
Ответ написан
Комментировать
@HallEffect
Посмотрите в сторону функции port security Port security. Там можно ограничить подключение стороних устройств по мак адресам и настроить реакцию коммутатора на это событие
Ответ написан
@bondbig
Только ISE, только хардкор!
Ответ написан
Комментировать
@vovagubin1987
Всё просто. Организуйте разделяемую сеть. Первая сеть-только рабочие места, коим организован выход в интернет. Вторая сеть-только внутренняя сеть. Далее dhcp сервер должен знать компьютеры, которым он выдавал адресса и если он всех знает, то поставте галочку или переключатель в позицию-запретить подключение неизвестных клиентов. Вторая разделяемая сеть-все остальные. Должно быть разрешено подключение неизвестных клиентов. Переправляйте их на заглушку. Можно всё привязать к сетям и по макам вручную.
Ответ написан
Комментировать
@pportnoy
Вообще то у Windows для этих целей есть специальная роль — Network Access Protection.
И она на базе 802.1X все сама разрулит.
Ответ написан
Комментировать
Бред.
Всё бред.
=)

Просто используйте
ports_security + dhcp
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы