[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Autenticazione LAN a livello di porta (RJ-45)

Il 20/04/2012 19:02, dea ha scritto:
> Una buona serata a tutta la lista !
> 
> Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche
> soluzione, ma volevo chiedere consiglio a voi per identificare la migliore.
> 
> Quesito:
> 
> Data una rete cablata con n macchine, non si vuole che staccato un cavo si
> possa collegare una macchina diversa, anche se chi lo fa è dotato di login e
> password validi (per esempio un portatile è validato, uno no).
> Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non
> si vuole tagliare semplicemente sul gateway.

ti base se vuoi gestire switch diversi con sw di "gestione serio" di
consiglieri di usare un server radius ed imporre l'autentficazione a
livello di uso della scheda di rete. ( ad esempio usando il pppoe).
Tutto sommato e semplice e funziona bene e non ti crei problemi di mac
mobili....
Stai attendo anche se sono switch di marca non è detto che il sw di
gestione sia buono. Spesso per motivi di marcato si fanno serie
economiche che oltre essere carenti a livello di prestazioni, lo sono
molto di più a livello di funzioni sw per la gestione.


> 
> Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un
> firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC
> non in lista ed in tal caso vada in allarme (segnalando via mail il problema).
si ma se non leggi la mail ?  e se non esce dello switch  come cerchi il
MAC ? poi se hai 10 switch metti 10 firewall ?
A questo punto potresti usare un trucco con il DHCP .... MAC conosciuto
ip valido mac non conosciuto ip non valido.  Semplice funzionale senza
grandi problemi e sempre la mail  su ip non valido.
> 
> E' anche vero che un portatile può usare più spinotti di rete, quindi la
> gestione deve essere adattabile.
In una rete tipo quella che prospetti questa frase deve essere eccezione
non la regola.  Sopratutto se usi un controllo su layer L2 onde evitare
che i vari protocolli di spanning tree diano i numeri. Se blocci i MAC
su uno switch solitamente li mettono su tabelle statiche quindi non
sempre le informazioni sono passati alla gestione dello spannig tree
quindi potrebbe accadere che tu apri la rete perchè la convergenza sul
mac è lento ( fino a qualche minuto) soprattutto se gli switch sono di
marche diverse ( in alcuni casi anche tra serie diverse degli switch)
> 
> C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione
> migliore.
> 
> Grazie
> 
> Luca
> 
> 
> 
> 
>
Reply to: