|
Kontrola mreze
Pozdrav,
Imamo tu na poslu dosta veliku mrezu sa Cisco SG500 i SG300 switchevima (ukupno 30ak komada) i sad bi mi trebalo neko softversko rjesenje da sve portove zakljucam i tek kad netko ukljuci neki uredjaj da dobijem obavijest da je nesto na portu tom i tom na switchu tom i tom prikljuceno i da onda ja taj uredjaj mogu odobriti ili blokirati. Rjesenje sa mac adresom mozda? Vjerujem da ima tu netko tko vec to koristi, pa bih molio za preporuku. Hvala! |
PRTG ima tu opciju. SNMP kada port dođe online i kada ode down. PRTG je besplatan do 5000 senzora ja mislim.
Gašenje portova je još jedna opcija, pa paljenje po potrebi. |
Citiraj:
Prevelika mi je mreza za takvo nesto, a ima i dosta malih slm2008 switcheva po uredima, tako da mi ta opcija otpada. Treba mi nesto sto ce na razini mreze to raditi. PRTG bi mogla biti opcija onda. Hvala na preporuci :) Edit: sad vidim da PRTG radi samo monitoring a ne i zakljucavanje portova? Ili se varam? Meni treba nesto sto ce mi, cim prikljucim bilo kakav uredjaj u mrezu, odbiti pristup mrezi tom uredjaju i po mogucnosti pitati me da li da ga pusti u mrezu ili ne. |
Blacklista mac adresa na switchu mi pada na pamet.
Ili whitelista onoga što želiš, ostalo blacklist. |
Nasao zanimljivo rjesenje: https://www.macmon.eu/en/
|
PRTG je besplatan do 100 senzora nakon isteka 30 dana.
To je software za nadzor mreže ne može palit/gasit portove. |
Pa on ni ne želi gasiti portove.
|
Citiraj:
Ako se dobro sjećam može se na PRTGu složit macro/bat skripta na neki event. Al to je previše kemijanja... |
PRTG je preskup za ovo sto mi treba. Na toliko senzora/portova bih morao ogromnu cifru platiti. Znaci meni treba upravo neka black/white lista sa mac adresama uredjaja, jer ne zelim da mi se bilo tko i sa bilo cime spaja u mrezu. Evo recimo neki dan je lik iz vanjske firme spojio sasvim desetu mrezu sa DHCP serverom u nasu i dok sam nasao gdje je sranje sam pogubio brdo zivaca i vremena.
|
Čekaj, ti imaš propuštene VLAN-ove i upaljene portove na portovima koje se ne koriste atm?
Evo, meni je praksa pokazala, portovi koji se ne koriste u shut i gotovo. |
Citiraj:
Poceo sam tu raditi prije pola godine i uletio u vec zavrsenu pricu. Ne pada mi na pamet sada danima zatvarati portove i vlane po switchevima kojih ima mali milion ako ima neko lakse rjesenje. Isto tako mi ne pada na pamet svaki put kad nekome zatreba mrezni prikljucak traziti na kojem je switchu i isti otvarati i dodjeljivati mu vlan. :D |
Sretno ti bilo onda, nemam ti što drugo reći. ;)
|
Cisco ima alate za tako nešto :)
Osim ako firma ne želi investirat u to. Onda je to druga priča. A ako su do sada mogli tako onda mogu i dalje |
Mislim da ce ovo rjesenje sa macmon biti zadovoljavajuce. :)
|
Za početak, nadam se da imaš plan / shemu mreže u nekom sw za "nacrtat" sa popratnim komentarom (lokacija i sl.),
nekad je zgodno to imati isprintano > zalijepiš na zid > kad netko gnjavi pogledaš na zid i odmah mali mozak viče eureka. Mnogi takvi sw imaju opciju da odmah sa skice nudi otvaranje tog ip tj. web konfiga ... Ovo poviše olakšava slijedeće, pametni switch - evi "složeni po redu" (jedinstvena ip adresa, ime ako ima). Svakom možeš otvoriti web managment po tom. Evo ti jedna ideja za nepoznate / ne definirane portove, u svim switch - evima definiraj još jedan "falši" Vlan, napraviš backup trenutnog stanja / konfiga za svaki switch (znam, spominjat ćeš rodbinu :D), fino sve portove ili bar one za koje nisi siguro šta je na njima prebaci da su samo na tom novom falšem Vlan - u, u prvih par dana će biti kuku - lele, kako - zašto. Kasnije lako nađeš novog padobranca u tom Vlan - u i šta ćeš s njim a usput je izoliran ... E sad, ako switch - evi nisu pod ključem ovo poviše pada u vodu ako će neki genijalac sam iščupat nekog i spojit sebe :fiju: That's my 5 cents. :) |
Ma sve ja to znam moj Nikky, vec 15 godina sam u mrezama, a 25 u IT. Problem je bas to sto su biseri prije mene sve lan uticnice vec prepatchirali na switcheve jer se ipak radi o drzavnoj sluzbi i tko ce se svaki put ustajati i kopcati kablove. :D
Od toga ti nema nista jer se radi o 7 lokacija, centralno povezanih optikom i na svakoj lokaciji brdo switcheva i korisnika, te 12 vlan-a. Znaci moram raditi na mac filtriranju, tj. sve sto je sad prikljuceno da je whitelistano, a sve novo mora biti default blacklistano dok mu ne odobrim pristup. Sto se tice pristupa internetu, prije mene su slozili da sve ide vani preko proxy-a, i to im je bilo ok, jer eto nitko ne moze na internet ako ne dobije proxy preko group policy, dok se nije desilo ovo prosli tjedan. E sad, posto ja ne zelim vise pola dana provesti trazeci koja budala se dosjetila ubaciti nesto takvo u mrezu, napravio bih ovakvo nesto. I naravno da cu ih natjerati da izvale lovu za ovo, pa taman morao staviti neki fake sniffer negdje u mreznu uticnicu i ustvrditi da je ti napravio neki 1337 h4x0r! :D Gesendet von meinem SM-G960F mit Tapatalk |
Ma sve 5, razumijemo se i još otežavajuća okolnost tako velike mreže.
Ovo za white i black po mac ti je najbrže. |
Dok ne rjesis nesto na L2, možeš razmisliti o tome da možda DHCP srežeš dok ne nađeš rješenje. Ako imas usera koji su imalo napredni naravno da mogu nabosti static IP ali za veliku većinu će biti - ne radi
|
| Sva vremena su GMT +2. Sada je 19:14. |
Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
© 1999-2023 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger