Re,
Ce modèle s'appliquerait difficilement dans un projet qui m'occupe en
ce
moment.
Les switch d'accès implémentent aussi du NAC, et, la PSSI etant assez
strict, rendre l'accès physique aux switch plus simple est considéré
comme
une inacceptable. Donc, même si c'est plus cher, c'est mieux qu'ils
soient
derrière une porte avec lecteur de badge pour l'avancement du RSSI
qui a le
dernier mot.
Les banquiers qui ont visité faisaient la même réflexion, sur quoi on
répondait que si un caisson offre un niveau de sécurité acceptable pour
des documents, alors comme la construction est identique, pas de
problème pour le switch, ni même pour coller une serrure 3 points à
badge, vu que c'est du sur-mesure. Eux avaient résolu le problème de la
sécurité physique en créant un système de dalle de faux-plancher avec
clé physique, c'était très chère et assez mauvais pour le switch
(surchauffe)... donc je ne peux pas vraiment recommander cette solution.
Alors que par contre les PoD-racks biens faits, c'est vraiment pas mal,
les Services G. ont même pensé à un moment à mettre des sondes de
température SNMP pour se faire une "GTB" parallèle (ie: savoir
exactement sur les plateaux quelle température il y avait à quel
endroit).
Et pour revenir sur le mail de Mathieu Husson, c'est clair que cette
solution fait faire des économies d'énergies, chaque switch 2960C ne
consommant que 18W pour 8 ports, alors que les plus gros switchs (48p
cuivre) sont carrément plus énergivores. C'est un peu étrange de se dire
que de multiplier les équipements fait réaliser des économies de
courant, mais on avait vraiment fait les calculs et c'est bien la
solution la plus "green".
D'ailleurs, les PoD, si tu les as pas changé, on pouvait y glisser la
main
et brancher un câble console.
Il y a effectivement eut 2 générations, les 1ers n'étaient pas
sur-mesure, donc gros trou sur le dessus, les nouveaux ont juste un trou
rond de 3-4 cm de diamètre avec rebords en caoutchouc et une sorte de
membrane élastique, c'est bien plus adaptés... en plus si tu passes
quand même une main d'enfant, tu arrives sur une première plaque, celle
prévue pour un 2e switch, donc c'est plutôt pas mal fait (et j'y suis
pour rien, ce sont les Services G. qui les ont fait faire).
Maintenant qu'il y'a prescription, je peux le dire : j'ai été tenté
plus
d'une fois de prendre la main sur le switch et d'y enlever la conf
802.1x
car ça marchait pas super avec un Mac :-/
Tu crois vraiment que des gens laissent encore la console sans password
?
Et comment tu ferais pour savoir le numéro de ton VLAN ?
Je sais bien que ça ne fait que 2 inconnues, mais bon, c'est déjà ça.
Avec du temps, on peut tout faire (mais on aura plus vite fait de péter
un serveur Windows) :)
En tout cas avec les nouveaux racks, de toute façon ce n'est clairement
plus possible.
Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
