Re: [rlug] centos7 :: connection refused dupa un timp

Sat, 21 Jul 2018 02:12:20 -0700 

On 07/21/2018 01:55 AM, wo...@prolinux.ro wrote:

On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco
<adrian.sevce...@cern.ch> wrote:



noi avem un /25 si un /26 , iesirea se face prin rutare statica in 
switchul de edge (echipament propriu) totul e o balta comuna (nu

avem ip-based sau mac-based vlans)

Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul
rind as separa traficul in vlanuri. Separarea domeniilor de coliziune
nu se pune ca masura de securitate dar usureaza mult viata celor care
se ocupa de partea de network administration.

ok


[…]

trebuie sa fie o solutie ce sa se preteze si pentru ipv6


Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si
vorbind strict de problema initiala, m-as baza cred pe o solutie
bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului
asociat unui IP - fie sa iti dea o alerta (chestie pe care o face

aha, asa e o chestie minimala, poate fi folosita fara modificari
merci!


implicit) si, ca admin, vezi tu ce si cum -  fie sa interactioneze
direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu
ceva dialog scriptat in expect si pornind de la outputul lui "sh int
mac dead.beaf") si tot ca exemplu sa dea shutdown  portului unde a
aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin

aha.. da, prin ssh merge sigur, dar mai degraba as folosi un snmpv3 set


SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin
SNMP sa comanzi portul afectat. Sau pur si simplu sa afli

da, aveam un script ce stringea macurile de pe swithuri :) trebuie sa il 
scutur de praf :)))



cine/ce/unde face modificari in adresarea IP

Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau
shutdown din port-security daca apare pe vreunul dintre porturile de
interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi
pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat
acolo uneori nu poti...

aha .. eh chiar port shutdown nu as folosi .. dar pot sa pun OID-ul cu 
comanda de set comentat in script :)) just in case :))


maparile ip-mac valide unde le tii? baza de date, sqlite, txt, /etc/ethers?

Multumesc mult!
Adrian


_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro























					Raspunde prin e-mail lui