Portál AbcLinuxu, 9. května 2025 06:20

Dotaz: Více sítí v organizaci

28.6.2007 12:07 tslcz | skóre: 5
Více sítí v organizaci
Přečteno: 613×
Odpovědět | Admin
Dobrý den, řeším problém s vícero sítěma v organizaci. 1) síť přístupná komukoliv v organizaci 2) síť pouze pro vybrané - personalistika, účto 3) síť pouze pro techniky 4) síť managementu

Server - linux, samba. Server - linux firewall a brána do netu. Stanice - Win XP.

Ze sítě 1) přístup pouze na internet. Ze sítě 2) přístup na internet a samozřejmě ve vlastní oblasti. Ze sítě 3) přístup všude. Ze sítě 4) internet a do 2).

Současný stav je takový, že na stanicích jsou nadefinované víceré IP dle toho se to všechno motá a "kazí" :-) Otázkou je, jak uspořádat tento chaos, vyhnout se nastavení vícero IP adres na stanicích ve WinXP a každou síť mít de facto oddělenou a přístupy řešit autentifikací. Virtuální lanky a Radius? Máte nějaké návrhy ? Děkuji moc za každý nápad.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Medved09 avatar 28.6.2007 12:41 Medved09 | skóre: 26 | Havlíčkův Brod / Brno
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Odpovědět | | Sbalit | Link | Blokovat | Admin

LDAP, Radius, DHCP, VLANy a switche a APcka co umi 802.1x network login.
A je vystarano..

Fordem tam, vlakem zpátky :-)
28.6.2007 13:41 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Děkuji a chci se dotázat, jestli máte s implementací podobného charakteru zkušenost.
Medved09 avatar 28.6.2007 16:54 Medved09 | skóre: 26 | Havlíčkův Brod / Brno
Rozbalit Rozbalit vše Re: Více sítí v organizaci

Jj, delali jsme to s 3Comy 5500 na FreeRADIUSu a OpenLDAPu.
Chce to trochu premysleni, ale prilis slozity to neni, v principu to funguje tak, ze kdyz se do site nekdo(neco) pripoji a neautentikuje se, tak spadne do "karantenni VLAN"; kdyz ma treba spravnou MAC tak spadne do VLANy pro printservery; no a kdyz se autentifikuje tak si switch si pres Radius z LDAPu vytahne klice a na zaklade nich nastavi ten port do spravne VLANy,nastavi prioritizace, pomoci DHCP relay z DHCP vytahne IP adresu a predhodi ji klientovi. Tady pak jeste bylo to, ze pokud si klient nevyzada adresu z DHCP tak i prihlasenej jde do "karanteny" takze si uzivatele ani nemohou nastavit pevne IP.
Je to proste jen o tech spravnejch klicich v LDAP a rekneme tydnu lazeni. Nejspis bude hodne zalezet na dokumetaci vyrobce akt. prvku..

Fordem tam, vlakem zpátky :-)
28.6.2007 18:51 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Děkuji moc. Problém ale asi bude v tom, že rack je již osazen starším switchem bez podpory 802.1q a chuť investovat je nulová. Fungovat VLANy asi s Linuxem budou ale přiznám se, že nevím jak na to. Nechám se rád poučit a poradit si. Ještě jednou děkuji za ochotu a Váš čas.
Medved09 avatar 29.6.2007 11:49 Medved09 | skóre: 26 | Havlíčkův Brod / Brno
Rozbalit Rozbalit vše Re: Více sítí v organizaci

Nojo, jenze bez switche s podporou 802.1q to jaksi nepujde. Tedy teoreticky je tu moznost ty VLANy tagovat primo na stanicich a serveru a jet na tom, ale pri tom co bezne byva za sitovky v obyc. stanicich vam ten zazitek nepreju. Videl jsem to chodit na Intelech a Broadcomech po instalaci tech jejich "control center" ale z Realteku (kterych tam bude nejvic) mam dost hruzu.

PS: Vim velmi dobre jak tezko jde takova investice prosadit, ale od Allied Telesyn jsou ty spravne switche uz od 5000,- bez DPH.

Fordem tam, vlakem zpátky :-)
29.6.2007 13:53 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Asi opravdu "zatlačím" a nějaký ten switch pořídíme. Děkuji moc za ochotu.
28.6.2007 13:46 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Samozřejmě, že neusínám na růžích - http://home.zcu.cz/~tpavlis/
vencour avatar 28.6.2007 15:24 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Více sítí v organizaci

Eňo něno ... dík :-) za materiály ke studiu.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
28.6.2007 15:22 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Odpovědět | | Sbalit | Link | Blokovat | Admin

V první vlně by vám mohly stačit 802.1q VLANy. Koncové počítače budou mít "svůj" port switche jako access ve "své" VLANě, servery budu na truncích a budou multihome. Stejně tak nějaký firewall bude připojený trunkem a bude mj. řešit routování a filtraci provozu mezi jednotlivými VLANami. Todle řešení zcela jistě a spolehlivě funguje...

Pokud byste to chtěl dotáhnout k dokonalosti nějakou autentizací na portech switche, pak potřebujete 802.1x a nejspíš i radius - ale osobně s tím nemám moc dobré zkušenosti, protože Windows (konkrétně odzkoušeno na XP) mají toho svého standardního supplicanta dost zmršeného a velmi často se prostě nedokáží autentizovat. Existují nicméně i nějací komerční supplicatni, ale o tom už vím celkem houby...

28.6.2007 17:58 Lump
Rozbalit Rozbalit vše Re: Více sítí v organizaci
A co Microsoft Windows Server 2003 a ISA Server 2006 ?
28.6.2007 18:11 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Děkuji ale opravdu ne.
28.6.2007 18:13 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Děkuji za radu a názor. Nějaký "zajímavý" link na prostudování by jste neměl? Ještě jednou díky.
28.6.2007 20:10 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Více sítí v organizaci

Těch linků by byla spousta, záleží, co přesně vás zajímá, kolik toho víte, co přesně potřebujete a tak...

Obecně řečeno, je třeba odlišit dvě věci - VLANy (802.1q), které vám umožní v rámci jedné fyzické infrastruktury provozovat více nezávislých oddělených LAN, a autentizaci (802.1x, radius & spol.), které vám umožní nad takto vytvořenou virtuální topologií další bezpečnostní kouzla, například aby se kdokoliv nemohl zapojit do kterékoliv zásuvky (což ale můžete do jisté míry ošetřit MAC filtrama a MAC security na switchi), nebo třeba, aby se kdokoliv mohl zapojit kamkoliv, ale správně ho to zařadilo do jeho VLANy (to už opravdu bez 802.1x nejde).

V každém případě začněte těma VLANama (a pokud to váš switch neumí, pak neumí ani ten zbytek, takže není co řešit). A podle konkrétních potřeb (které byste musel blíže specifikovat) - například jaká je fyzická bezpečnost jednotlivých přípojek, jestli mezi nimi uživatelé migrují, a tak různě... - můžeme navrhovat další kroky.

Upřímně řečeno, začínat hned zkraje studovat LDAP+Raidus+802.1x mi příjde trochu jako overkill.

29.6.2007 13:57 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Díky moc za rady a názory. Začnu opravdu těma switchema a od toho se odrazím. Následně se s Váma podělím o své zážitky.
28.6.2007 19:04 marekb | skóre: 16 | blog: Co se nevešlo do /dev/null | Praha
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdravim, mohly by pro predstavu a porozumeni pomoci tyto howto:

Use 802.1x Security with AT-WA7400, AT-8624PoE, and Linux's freeRADIUS and Xsupplicant
Use 802.1x VLAN Assignment

pripadne dalsi Marek
29.6.2007 13:57 tslcz | skóre: 5
Rozbalit Rozbalit vše Re: Více sítí v organizaci
Děkuji, prostuduji.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.