How to become an author
Search
Write a publication
Pull to refresh

Comments 8

Еще есть такая штука как VLAN Hoping

На самом деле, на каталистах такие фокусы уже не один десяток лет не проходят.
swport portsec

Адски сокращаете…
Кстати для контроля CAM можно использовать DAI – dynamic arp inspection

А на самом деле нельзя. DAI работает только с ARPами.
Лучшей практикой является применение tacacs+ для администраторов, а radius для внешних пользователей. через vpn.

Строго говоря, сейчас циска потихоньку уходит от TACACS+, стараясь завязать всё на RADIUS. Но у такакса есть сильный (и, наверное, единственный) козырь в рукаве: авторизация команд. Делать «privilege exec level 4 ping» на каждой железке все-таки неконструктивно. RBAC нередко еще более неконструктивен, и вообще сложно с ним, хотя иногда без него никак (допустим, я хочу разрешить определенной группе изменять конфигурацию одного интерфейса, но не другого).
Остальное это использование CCP для маршрутизатора

Помнится, когда я сдавал IINS, эта часть вызывала у меня лютую ненависть на экзамене. Были вопросы «какую кнопку надо нажать, чтобы сделать то-то». С знал, как это делается в cli, но гуй впервые видел :)
Справочная информация

Я бы перетащил «STP guards» в control plane, так как они работают только с BPDU или их отсутствием.
А под «Enc protocols» и «timeouts» что понимаете?
Total votes 2: ↑2 and ↓0+2
По поводу STP guards, согласен, но циска думает по другому)). Сокращения, чтобы копипаст не работал в cli), скажем так, для тренировки полезнее. Exec priv 4 ping исключительно для наглядности. Enc prot-ssh забыл management, timeouts-login restriction-timeouts. Спасибо за ценный комментарий!
This comment wasn’t rated yet0
вопрос немного не в тему, но про безопасность :)
как на абонентских портах срезать DHCP-кадры?
This comment wasn’t rated yet0
Если вы не хотите динамическую адресацию, то по моему, самый простой способ это на хостовом FW дропать UDP по 68 порту. Или я не правильно понял вопрос…
This comment wasn’t rated yet0
есть свитч, в 24 портах абоненты, все в одном влане. как застраховаться от случая когда кто-то из абонентов начнет раздавать адреса по DHCP?

судя по всему это и есть DHCP snooping, разобрался :)
This comment wasn’t rated yet0
залейте виртуальную машину куда-то?
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr