Forumi


Povratak   PC Ekspert Forum > Internet i mrežne tehnologije > Mreže
Ime
Lozinka

Odgovori
 
Uređivanje
Staro 23.09.2019., 11:51   #1
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Kontrola mreze

Pozdrav,

Imamo tu na poslu dosta veliku mrezu sa Cisco SG500 i SG300 switchevima (ukupno 30ak komada) i sad bi mi trebalo neko softversko rjesenje da sve portove zakljucam i tek kad netko ukljuci neki uredjaj da dobijem obavijest da je nesto na portu tom i tom na switchu tom i tom prikljuceno i da onda ja taj uredjaj mogu odobriti ili blokirati. Rjesenje sa mac adresom mozda?
Vjerujem da ima tu netko tko vec to koristi, pa bih molio za preporuku. Hvala!
WraGG je offline   Reply With Quote
Staro 23.09.2019., 12:16   #2
Mommistake
Premium
Moj komp
 
Mommistake's Avatar
 
Datum registracije: Nov 2008
Lokacija: Shire
Postovi: 16,104
PRTG ima tu opciju. SNMP kada port dođe online i kada ode down. PRTG je besplatan do 5000 senzora ja mislim.

Gašenje portova je još jedna opcija, pa paljenje po potrebi.

Zadnje izmijenjeno od: Mommistake. 23.09.2019. u 12:23.
Mommistake je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 23.09.2019., 12:26   #3
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Citiraj:
Autor Mommistake Pregled postova
PRTG ima tu opciju. SNMP kada port dođe online i kada ode down. PRTG je besplatan do 5000 senzora ja mislim.

Gašenje portova je još jedna opcija, pa paljenje po potrebi.

Prevelika mi je mreza za takvo nesto, a ima i dosta malih slm2008 switcheva po uredima, tako da mi ta opcija otpada. Treba mi nesto sto ce na razini mreze to raditi. PRTG bi mogla biti opcija onda. Hvala na preporuci
Edit: sad vidim da PRTG radi samo monitoring a ne i zakljucavanje portova? Ili se varam? Meni treba nesto sto ce mi, cim prikljucim bilo kakav uredjaj u mrezu, odbiti pristup mrezi tom uredjaju i po mogucnosti pitati me da li da ga pusti u mrezu ili ne.
WraGG je offline   Reply With Quote
Staro 23.09.2019., 12:35   #4
Mommistake
Premium
Moj komp
 
Mommistake's Avatar
 
Datum registracije: Nov 2008
Lokacija: Shire
Postovi: 16,104
Blacklista mac adresa na switchu mi pada na pamet.

Ili whitelista onoga što želiš, ostalo blacklist.
Mommistake je offline   Reply With Quote
Staro 23.09.2019., 12:51   #5
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Nasao zanimljivo rjesenje: https://www.macmon.eu/en/
WraGG je offline   Reply With Quote
Staro 23.09.2019., 14:54   #6
zgmmax
(-(-(-(--)-)-)-)
Moj komp
 
zgmmax's Avatar
 
Datum registracije: Sep 2009
Lokacija: Zagreb
Postovi: 1,614
PRTG je besplatan do 100 senzora nakon isteka 30 dana.
To je software za nadzor mreže ne može palit/gasit portove.
zgmmax je offline   Reply With Quote
Staro 23.09.2019., 15:09   #7
Mommistake
Premium
Moj komp
 
Mommistake's Avatar
 
Datum registracije: Nov 2008
Lokacija: Shire
Postovi: 16,104
Pa on ni ne želi gasiti portove.
Mommistake je offline   Reply With Quote
Staro 23.09.2019., 15:40   #8
zgmmax
(-(-(-(--)-)-)-)
Moj komp
 
zgmmax's Avatar
 
Datum registracije: Sep 2009
Lokacija: Zagreb
Postovi: 1,614
Citiraj:
Autor WraGG Pregled postova
Edit: sad vidim da PRTG radi samo monitoring a ne i zakljucavanje portova? Ili se varam? Meni treba nesto sto ce mi, cim prikljucim bilo kakav uredjaj u mrezu, odbiti pristup mrezi tom uredjaju i po mogucnosti pitati me da li da ga pusti u mrezu ili ne.
Editirao je post.

Ako se dobro sjećam može se na PRTGu složit macro/bat skripta na neki event.
Al to je previše kemijanja...
zgmmax je offline   Reply With Quote
Staro 23.09.2019., 15:52   #9
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
PRTG je preskup za ovo sto mi treba. Na toliko senzora/portova bih morao ogromnu cifru platiti. Znaci meni treba upravo neka black/white lista sa mac adresama uredjaja, jer ne zelim da mi se bilo tko i sa bilo cime spaja u mrezu. Evo recimo neki dan je lik iz vanjske firme spojio sasvim desetu mrezu sa DHCP serverom u nasu i dok sam nasao gdje je sranje sam pogubio brdo zivaca i vremena.
WraGG je offline   Reply With Quote
Staro 23.09.2019., 16:11   #10
Mommistake
Premium
Moj komp
 
Mommistake's Avatar
 
Datum registracije: Nov 2008
Lokacija: Shire
Postovi: 16,104
Čekaj, ti imaš propuštene VLAN-ove i upaljene portove na portovima koje se ne koriste atm?

Evo, meni je praksa pokazala, portovi koji se ne koriste u shut i gotovo.
Mommistake je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 23.09.2019., 16:18   #11
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Citiraj:
Autor Mommistake Pregled postova
Čekaj, ti imaš propuštene VLAN-ove i upaljene portove na portovima koje se ne koriste atm?

Evo, meni je praksa pokazala, portovi koji se ne koriste u shut i gotovo.

Poceo sam tu raditi prije pola godine i uletio u vec zavrsenu pricu. Ne pada mi na pamet sada danima zatvarati portove i vlane po switchevima kojih ima mali milion ako ima neko lakse rjesenje. Isto tako mi ne pada na pamet svaki put kad nekome zatreba mrezni prikljucak traziti na kojem je switchu i isti otvarati i dodjeljivati mu vlan.
WraGG je offline   Reply With Quote
Staro 23.09.2019., 16:19   #12
Mommistake
Premium
Moj komp
 
Mommistake's Avatar
 
Datum registracije: Nov 2008
Lokacija: Shire
Postovi: 16,104
Sretno ti bilo onda, nemam ti što drugo reći.
Mommistake je offline   Reply With Quote
Staro 23.09.2019., 16:23   #13
zgmmax
(-(-(-(--)-)-)-)
Moj komp
 
zgmmax's Avatar
 
Datum registracije: Sep 2009
Lokacija: Zagreb
Postovi: 1,614
Cisco ima alate za tako nešto

Osim ako firma ne želi investirat u to. Onda je to druga priča.
A ako su do sada mogli tako onda mogu i dalje
zgmmax je offline   Reply With Quote
Staro 23.09.2019., 16:37   #14
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Mislim da ce ovo rjesenje sa macmon biti zadovoljavajuce.
WraGG je offline   Reply With Quote
Staro 23.09.2019., 16:45   #15
Nikky
Moderator
 
Nikky's Avatar
 
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,505
Za početak, nadam se da imaš plan / shemu mreže u nekom sw za "nacrtat" sa popratnim komentarom (lokacija i sl.),
nekad je zgodno to imati isprintano > zalijepiš na zid > kad netko gnjavi pogledaš na zid i odmah mali mozak viče eureka.
Mnogi takvi sw imaju opciju da odmah sa skice nudi otvaranje tog ip tj. web konfiga ...

Ovo poviše olakšava slijedeće, pametni switch - evi "složeni po redu" (jedinstvena ip adresa, ime ako ima). Svakom možeš otvoriti web managment po tom.

Evo ti jedna ideja za nepoznate / ne definirane portove,
u svim switch - evima definiraj još jedan "falši" Vlan,
napraviš backup trenutnog stanja / konfiga za svaki switch (znam, spominjat ćeš rodbinu ),
fino sve portove ili bar one za koje nisi siguro šta je na njima prebaci da su samo na tom novom falšem Vlan - u,
u prvih par dana će biti kuku - lele, kako - zašto.

Kasnije lako nađeš novog padobranca u tom Vlan - u i šta ćeš s njim a usput je izoliran ...
E sad, ako switch - evi nisu pod ključem ovo poviše pada u vodu ako će neki genijalac sam iščupat nekog i spojit sebe

That's my 5 cents.
Nikky je online   Reply With Quote
Staro 23.09.2019., 18:15   #16
WraGG
Premium
 
WraGG's Avatar
 
Datum registracije: May 2006
Lokacija: Stuttgart
Postovi: 1,548
Ma sve ja to znam moj Nikky, vec 15 godina sam u mrezama, a 25 u IT. Problem je bas to sto su biseri prije mene sve lan uticnice vec prepatchirali na switcheve jer se ipak radi o drzavnoj sluzbi i tko ce se svaki put ustajati i kopcati kablove.
Od toga ti nema nista jer se radi o 7 lokacija, centralno povezanih optikom i na svakoj lokaciji brdo switcheva i korisnika, te 12 vlan-a. Znaci moram raditi na mac filtriranju, tj. sve sto je sad prikljuceno da je whitelistano, a sve novo mora biti default blacklistano dok mu ne odobrim pristup. Sto se tice pristupa internetu, prije mene su slozili da sve ide vani preko proxy-a, i to im je bilo ok, jer eto nitko ne moze na internet ako ne dobije proxy preko group policy, dok se nije desilo ovo prosli tjedan. E sad, posto ja ne zelim vise pola dana provesti trazeci koja budala se dosjetila ubaciti nesto takvo u mrezu, napravio bih ovakvo nesto.
I naravno da cu ih natjerati da izvale lovu za ovo, pa taman morao staviti neki fake sniffer negdje u mreznu uticnicu i ustvrditi da je ti napravio neki 1337 h4x0r!

Gesendet von meinem SM-G960F mit Tapatalk
WraGG je offline   Reply With Quote
Staro 23.09.2019., 18:28   #17
Nikky
Moderator
 
Nikky's Avatar
 
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,505
Ma sve 5, razumijemo se i još otežavajuća okolnost tako velike mreže.
Ovo za white i black po mac ti je najbrže.
Nikky je online   Reply With Quote
Staro 25.09.2019., 00:34   #18
vision19
Premium
Moj komp
 
Datum registracije: Jan 2011
Lokacija: Vinkovci / Njemačka
Postovi: 494
Dok ne rjesis nesto na L2, možeš razmisliti o tome da možda DHCP srežeš dok ne nađeš rješenje. Ako imas usera koji su imalo napredni naravno da mogu nabosti static IP ali za veliku većinu će biti - ne radi
__________________
"Anyone who has never made a mistake has never tried anything new." A.E.
vision19 je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Odgovori


Uređivanje

Pravila postanja
Vi ne možete otvarati nove teme
Vi ne možete pisati odgovore
Vi ne možete uploadati priloge
Vi ne možete uređivati svoje poruke

BB code je Uključeno
Smajlići su Uključeno
[IMG] kod je Uključeno
HTML je Uključeno

Idi na