[rlug] centos7 :: connection refused dupa un timp

wolfy at prolinux.ro wolfy at prolinux.ro
Sat Jul 21 01:55:59 EEST 2018


On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco <Adrian.Sevcenco at cern.ch> wrote:
>
>noi avem un /25 si un /26 , iesirea se face prin rutare statica in 
>switchul de edge (echipament propriu)
>totul e o balta comuna (nu avem ip-based sau mac-based vlans) 
Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul rind as separa traficul in vlanuri. Separarea domeniilor de coliziune nu se pune ca masura de securitate dar usureaza mult viata celor care se ocupa de partea de network administration.

[…]
>trebuie sa fie o solutie ce sa se preteze si pentru ipv6




Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si vorbind strict de problema initiala, m-as baza cred pe o solutie bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului asociat unui IP
- fie sa iti dea o alerta (chestie pe care o face implicit) si, ca admin, vezi tu ce si cum
-  fie sa interactioneze direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu ceva dialog scriptat in expect si pornind de la outputul lui "sh int mac dead.beaf") si tot ca exemplu sa dea shutdown  portului unde a aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin SNMP sa comanzi portul afectat. Sau pur si simplu sa afli cine/ce/unde face modificari in adresarea IP

Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau shutdown din port-security daca apare pe vreunul dintre porturile de interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat acolo uneori nu poti...







More information about the RLUG mailing list