[ apartman208 @ 07.05.2007. 14:07 ] @
eh ovako imam desetak cisco switcheva i podignut je VTP domain i sve radi super al sada treba da napravim port-security posto imam pravo dosta interface zakacinih na switcheve skontao sam da ako budem sam trazio mac adrese i budem postavljao staticki.. dugo ce potrajat a citao sam negdje da moze to da se napravi dinamicki da sam nauci mac adresu i napravi da je port secure pa ako neko ima primjer kako se to radi bilo bi super hvala...
[ markom @ 07.05.2007. 14:09 ] @
Code:
interface FastEthernetX/Z
 switchport port-security
 switchport port-security violation restrict
! mozes i "shutdown" umesto "restrict"
 switchport port-security maximum 1
! ... ili koliko vec MAC adresa po portu hoces da dozvolis
!
[ Ivand @ 07.05.2007. 14:37 ] @
Koliko se ja secam ima jos i sticky opcija koja omogucava da swic zapamti mac adresu trajno tj i posle reseta/gasenja.
[ markom @ 07.05.2007. 14:40 ] @
Jeste, tako je.

Code:
switchport port-security mac-address sticky
[ apartman208 @ 07.05.2007. 15:26 ] @
e super je radi ovo al sam probao shutdown i kada pokusa drugi racunar na taj port port se ugasi naravno a kada vratim onaj prvi od kojeg je naucio mac nece vise da se podigne interface dok ga ja manuelno ne podignem ?? dali se to moze promjeniti automatski sam da se digne.. i interesuje me sta tacno radi restrict a sta protect ???
hvala

imam ejdnu situaciju gdje imam na jedan port nakacen neki lijevi switch od 20 portova sta da stavim maximum ip adreas?? jednu ili onoliko koliko imam portova na ovom switchu drugom ?? sto nije cisco ...
hvala
[ markom @ 07.05.2007. 15:37 ] @
Mislim da možeš da konfigurišeš automatski reset porta posle određenog vremena sa podešavanjima "errdisable" tajmera, ali pravo da ti kažem, nemam sad vremena da tražim po dokumentaciji.

Restrict limitira broj MAC adresa koje će switch da nauči, a protect, opet ne znam na pamet i vidi iznad za dokumentaciju.
[ positive0 @ 07.05.2007. 23:00 ] @

Port-security je potpuno zastarjela i nimalo komforna funkcionalost

Zasto ne bi probao sa IBNSom?
http://www.cisco.com/en/US/net...lutions_sub_solution_home.html

Ovo je u sustini 802.1x autentifikacija na nivou porta, s tom velikom razlikom sto je mozes forsirati preko kombinacije username/password, MAC adrese, sertifikata itd...takodje, velika prednost lezi ne samo u mnogo bolje implementiranoj upravljivosti, vec i u mogucnosti 'karantiniranja' korisnika koji nisu u stanju da se autentifikuju (za njih kreiras tzv. guest vlan na kojem definises strogu polisu).

Pozdrav,

Sasa
[ rispekt @ 08.05.2007. 07:29 ] @
I 802.1x ima svojih mana, npr. ako želiš koristiti PEAP (MD5 je nepraktičan) na većim enterprizima jer AD ne podržava izmjene tipa 802.1x autentifikacije preko group policy-a(cert je default).
Certifikati su cool, osim ako ne želiš omogućiti da se više usera prijavljuje na isti stroj, ili da svatko okolo hoda sa svojim Certom na USB sticku. Iako ta opcija sa Certom je primjenjiva jedino u idiot free okruženjima.
Meni se opcija da se kontrolira port-access putem Radiusa više sviđa od sticky opcije na switchu, mada mi se čini da čovjek ne želi cijeli elaborat oko toga nego što jednostavnije rješenje da se zaštiti od astronauta koji svašta priključuju u mrežu.
[ markom @ 08.05.2007. 14:08 ] @
802.1X takođe ima problem s tim ako je na port vezano više uređaja, npr. ne-Cisco IP telefon i PC. Takođe, u service-provider okruženju, dot1x je praktično neupotrebljiv.

Oba alata imaju svoju namenu, kao i prednosti i mane.