|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Slawa Olhovchenkov 2:5030/500 15 May 2006 13:39:50
To : Alex Semenyaka
Subject : замена CDP
--------------------------------------------------------------------------------
15 May 06, Alex Semenyaka writes to Slawa Olhovchenkov:
MD>>>>>>> Hу с таким подходом на свиче тоже с cdp толку мало: только от
MD>>>>>>> включенной в этот порт железки cdp и прилетит.
SO>>>>>> Во-первых свич все это умеет по snmp отдавать
AS>>>>> Во-первых, это чесать левой рукой правое ухо, так как надо
AS>>>>> залазить на L3. Во-вторых, откуда это ты узнал IP на Management
AS>>>>> VLAN свитча?
SO>>>> Ручками вбил в что-то типа cisco works.
AS>>> Я не спрашиваю, куда ты вбил. Я спрашиваю, откуда взял.
SO>> Что значит откуда? В документации на сеть посмотрел.
AS> Кто тебе её дал?
А что за бред -- администратору сети не давать информацию на сеть?
SO>> В конфиге свича посмотрел.
AS> Кто тебя туда пустил?
AS> Обоих уволить.
И кто останется?
AS>>>>> В-третьих, с чего бы это ACL по дороге в Management VLAN и ACL
AS>>>>> самого snmp-server на свитче тебе дадут у него что-то спросить?
SO>>>> Потому что положенно.
AS>>> Hе надо сказок. У меня, например - не положено. Hе хватало ещё,
AS>>> чтобы любой пользователь мог SNMPями грузить коммутаторы.
SO>> А причем тут любой пользователь?
AS> А кто тебе сказал, что это песочница, в которой соответствующий
AS> функционал нужен только сетевому админу? Сам придумал? Зря.
Hу так определись -- SNMP у тебя только сетевому админу нужен или не только.
SO>> Или у тебя любой пользователь может cdp с коммутаторами общаться?
AS> Любой админ. А неплохо бы дать возможность и любому пользователю, благо, ни
AS> кроме админов не у кого прав администратора на своей машине нет. И включить
AS> может только тот же админ, удалённо. К сожалению, не получается это
AS> сделать, потому что не под любой ОС есть сервис CDP.
Все ж почему-то боязно.
AS> А уж получать могут кто угодно, не жалко.
Вопрос на самом деле несколько спорный. Вот кошкари рекомендуют его отключать. Я
не готов ни поддержать их ни опровергнуть.
AS>>>>> По snmp слишком много чего можно спросить, чтобы оно открывалось
AS>>>>> как ни попадя. А snmp view мало у кого есть время настраивать,
AS>>>>> так как, как правило, всё решается (и решается намного проще)
AS>>>>> теми самыми ACL.
SO>>>> Это не важно
AS>>> Это важно. Hе зватало ещё, чтобы любой пользователь мог получить
AS>>> информацию
AS>>> о всей моей сети по SNMP.
AS>>> Слав, ну не надо рассказывать мне сказок. Уже поднадоело, чесслово.
SO>> Hе, это ты сам какую-то сказку придумал и теперь ее опровергаешь.
AS> Я ничего не придумал, у меня есть моя сеть, в которой есть реалии. Про
AS> которые ты что-то сочиняешь.
CDP разрабатывали с вполне определенной целью. Так же его и позиционируют.
Применять его иначе -- потенциально чревато.
А поскольку никаких документов на применение/использование этого протокола
кем-то, отличным от кошки нету -- то и набить шишку можно в любой момент,
теоретически.
AS> Вот это и надоело. Что у тебя за стремление - обязательно пытаться
AS> возражать, как в игру какую играешь? Взрослый мужик, да и возражения,
AS> мягко говоря, ходульные.
А?
SO>>>>>> Во-вторых параметры на порту в зависимости от прилетевшей cdp
SO>>>>>> различные параметры
AS>>>>> Чё?...
SO>>>> Я тебе уже предлагал рассмотреть ситуацию втыкания кошкиного
SO>>>> телефона в кошкин свич?
AS>>> Ты по-русски можешь переформулировать свою фразу-то? :)
SO>> Да чего тут нерусского-то?
AS> Hе по-русски написано вот это: "параметры на порту в зависимости от
AS> прилетевшей cdp различные параметры". Сначала ты нормально эту фразу
AS> сформулируешь, потом я буду отвечать.
Глаз замылился, не заметил.
В зависимости от прилетевшего CDP пакета на порту могут быть выставленны
различные параметры, в том числе влияющие на безопасность сети.
AS> Мне неочевидно, что ты имеешь в виду. Возможно, то, что по cdp можно
AS> порт переконфигурировать - ну так это из серии "в огороде бузина, а в
AS> Киеве дядька". Порт можно переконфигурировать хоть по OUI первого же
AS> прилетевшего MAC-адреса, дурное дело нехитрое.
Расскажи. Они будут такие же неочевидные как с CDP?
AS> А внятно ты не хочешь переформулировать, потому что ты сейчас
AS> пытаешься показать, какой ты умный, а не спорить по существу: ясные
AS> формулировки рассеят тот туман, который ты тут пытаешься напустить. А
AS> если его развеять, то я тебя опять спрошу - что ты мне пытаешься
AS> доказать?
Что паротокол (не формат пакетов, а протокол) совершенно не документирован и
нету публичного документа из которого было бы понятно какие последствия может
иметь разрешение CDP.
AS> В ответ намоё исходное утверждение, что иметь симметричный протокол
AS> cdp в одной софтине - вполне логично, тем более, что мы умеем более
AS> сложное действие (отсылку), и оно реализовано через тот же libpcap,
AS> через который пишется и получение.
Я пока не увидел объяснения зачем вообще нужно принимать на хосте CDP пакеты.
Для определения того, что воткнут в два разных свича -- можно использовать
workaround с анализом cdp на свичах. При этом и информация более правильная --
можно смотреть на топологию и определять насколько резервируется такое
включение.
А вот реализовывать _полную_ функциональность по рабзбору cdp пакетов -- не
известно что именно вообще можно делать и несколько стремно. Ведь теоретически
может оказаться, что хост воткнут не в кошкин свич и накормят его такими
пакетиками... А никакой аутентификации там нету...
AS> Тоже мне, специалист по моим потребностям.
И в колбасе у тебя потребности нету.
MD>>>>>>> А у хоста может быть несколько интерфейсов, включенных в разные
MD>>>>>>> свичи.
SO>>>>>> Это гораздо более редкая ситуация
AS>>>>> ДАААААА??!!!!!!
AS>>>>> У меня _обратная_ ситуация крайне редкая, и если я её нахожу - я
AS>>>>> с ней борюсь.
SO>>>> Т.е. обнаружив свич, в котором занято несколько интерфейсов ты
SO>>>> быстренько вместо него ставишь сервер?
AS>>> То есть, по сути возразить нечего, пробуешь словами поиграть?
AS>>> Объясняю: если начальство обнаруживает, что у сервера 1 интерфейс -
AS>>> у админов будут проблемы. Если я обнаруживаю, что админы воткнули
AS>>> все интерфейсы в 1 свитч - я вношу в план работ разнесение этих
AS>>> интерфейсов по разным свитчам немедленно. Ещё что-то непонятно?
SO>> Вот после своего "да?!" ты фактичеески утверждаешь (дальше я просто
AS> Hет, и ты это знаешь. Прекрати троллить.
Я всего лишь написал эквивалентное утверждение.
AS> Что я утверждаю - я несколько раз написал явно. Тем, кто спорит не ради
AS> спора - достаточно. Тебе недостаточно, и все уже поняли, почему.
Отучаемся говорить за всю сеть (С)
... Даже маленькая практика стоит большой теории
--- GoldED+/BSD 1.1.5
* Origin: (2:5030/500)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
