BigElectricCat
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: и целых 6 пунктов того, что машина будет делать в сети "до". Я же, в посте выше, в цитате со ссылкой, подчеркнул слово "после".
А так автор не ошибся ни в чём конечно. |
Paromshick, если бы автор не пробовал разворачивать 802х на екстремах 450а- и 400-48т — то он бы не знал о чём говорит, но... у меня стенд работал именно так, как описано во второй статье (правда там сиська).
Эта цитата:
Цитата:| нельзя проводить авторизацию в сети передачи данных только по учетной записи пользователя! |
говорит только о том, что вам необходима PKI-инфраструктура, и да, только по учётным данным пользователя авторизация не производится, поскольку есть сертификат машинки и сертификат сервера.
ДО получения доверенной сети на машинке может быть доступен только EAP, что сразу требует наличия инфраструктуры открытых ключей. Т.е. EAP бегает не по IP (который у вас почему-то ассоциирован TCP, UDP, ICMP... т.е. 0x0800, 0x0806 или даже 0x86DD), а по прямой...между свичём и пользовательской машинкой по 0x8E88 — EAP over LAN, EAPOLAN.
Кстати, я тут поглядел эту статью по диагонали... ну дык крендель сам виноват — он использовал сторонний клиент, что автоматически исключило возможность авторизации компьютера в сети, до входа пользователя. Сам грабли разложил — сам наступил, а мы виноваты.
Цитата:| Но был свидетелем того, как один крупный сетевик послал одного крупного безопасника, когда последний в связке с упомянутой технологией произнёс слова "надо внедрять". Куда послал, сами догадайтесь. |
И правильно сделал. Поскольку поднимать своё PKI, а самое главное его обслуживать — это тот ещё гемор... админу это нафиг не упало, этим должен заниматься свой отдел.
Цитата:| Многие не поверят, но есть сети, где нет AD как класса и авторизоваться не на чем. Вообще нет серверов и единственная услуга - доступ в инет. |
В этом ничего нет сверхъестественного. Если билинг не нужен и нет централизованного управления правами пользователей — то зачем лишние сервисы в сети? Впрочем, там вполне может какая-то фёдора с 389 + фрирадиусом трудится... и биллинг сделан через «Режим наблюдения» в 802х, ведь мы не знаем наверняка схемы той сетки.
Добавлено:
Цитата:| Если посередине - это в коридоре под потолком резануть кабель |
А что делать если у вас по периметру раскиданы IP-камеры? На столбах просто висят. Буду с работы ходить — сфоткаю... вставлю.
Вчера забыл фотку вставить, исправляюсь:
Добавлено:
Цитата:| Там от сетевого оборудования требуется максимальная прозрачность |
LevT, на свичах с портами 100 Gb, думаю, особо не покрутишь ручки... разве что по кадрам рубить, а так, в правильных свичах можно много чего накрутить в ACL .. учитывая что это всё на wirespeed работает. |
Надеюсь не нужно вам рассказывать суть ИП-протокола? 
Как раз из-за необходимости переходить с одного vlan в другой и соответствующих проблем с GPO). Поэтому как способ борьбы с левыми DHCP в сети DHCP snooping на порядок проще, тем более DHCP обычно один-два на всю сеть. 
