|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Semenyaka 2:461/640.640 15 May 2006 23:25:08
To : Slawa Olhovchenkov
Subject : замена CDP
--------------------------------------------------------------------------------
15 May 06 12:39, you wrote to me:
MD>>>>>>>> Hу с таким подходом на свиче тоже с cdp толку мало: только от
MD>>>>>>>> включенной в этот порт железки cdp и прилетит.
SO>>>>>>> Во-первых свич все это умеет по snmp отдавать
AS>>>>>> Во-первых, это чесать левой рукой правое ухо, так как надо
AS>>>>>> залазить на L3. Во-вторых, откуда это ты узнал IP на Management
AS>>>>>> VLAN свитча?
SO>>>>> Ручками вбил в что-то типа cisco works.
AS>>>> Я не спрашиваю, куда ты вбил. Я спрашиваю, откуда взял.
SO>>> Что значит откуда? В документации на сеть посмотрел.
AS>> Кто тебе её дал?
SO> А что за бред -- администратору сети не давать информацию на сеть?
А почему ты решил, что ты администратор? У тебя мания величия :)
SO>>> В конфиге свича посмотрел.
AS>> Кто тебя туда пустил?
AS>> Обоих уволить.
SO> И кто останется?
В моей сети? Hу попробуй угадать, даю 3 попытки :)
AS>>>>>> В-третьих, с чего бы это ACL по дороге в Management VLAN и ACL
AS>>>>>> самого snmp-server на свитче тебе дадут у него что-то спросить?
SO>>>>> Потому что положенно.
AS>>>> Hе надо сказок. У меня, например - не положено. Hе хватало ещё,
AS>>>> чтобы любой пользователь мог SNMPями грузить коммутаторы.
SO>>> А причем тут любой пользователь?
AS>> А кто тебе сказал, что это песочница, в которой соответствующий
AS>> функционал нужен только сетевому админу? Сам придумал? Зря.
SO> Hу так определись -- SNMP у тебя только сетевому админу нужен или не
SO> только.
SNMP - только. А CDP - нет.
SO>>> Или у тебя любой пользователь может cdp с коммутаторами общаться?
AS>> Любой админ. А неплохо бы дать возможность и любому пользователю,
AS>> благо, ни кроме админов не у кого прав администратора на своей
AS>> машине нет. И включить может только тот же админ, удалённо. К
AS>> сожалению, не получается это сделать, потому что не под любой ОС
AS>> есть сервис CDP.
SO> Все ж почему-то боязно.
Hу, это уже эмоции.
AS>>>>>> По snmp слишком много чего можно спросить, чтобы оно
AS>>>>>> открывалось как ни попадя. А snmp view мало у кого есть время
AS>>>>>> настраивать, так как, как правило, всё решается (и решается
AS>>>>>> намного проще) теми самыми ACL.
SO>>>>> Это не важно
AS>>>> Это важно. Hе зватало ещё, чтобы любой пользователь мог получить
AS>>>> информацию
AS>>>> о всей моей сети по SNMP.
AS>>>> Слав, ну не надо рассказывать мне сказок. Уже поднадоело,
AS>>>> чесслово.
SO>>> Hе, это ты сам какую-то сказку придумал и теперь ее опровергаешь.
AS>> Я ничего не придумал, у меня есть моя сеть, в которой есть реалии.
AS>> Про которые ты что-то сочиняешь.
SO> CDP разрабатывали с вполне определенной целью.
Угу. Вот я и хочу дискаверить, куда оно того-этого :)
SO> Так же его и позиционируют. Применять его иначе -- потенциально
SO> чревато. А поскольку никаких документов на применение/использование
Зубов бояться... Это опять эмоции :)
SO> В зависимости от прилетевшего CDP пакета на порту могут быть выставленны
SO> различные параметры, в том числе влияющие на безопасность сети.
А, ну тогда вот:
AS>> Мне неочевидно, что ты имеешь в виду. Возможно, то, что по cdp
AS>> можно порт переконфигурировать - ну так это из серии "в огороде
AS>> бузина, а в Киеве дядька". Порт можно переконфигурировать хоть по
AS>> OUI первого же прилетевшего MAC-адреса, дурное дело нехитрое.
SO> Расскажи. Они будут такие же неочевидные как с CDP?
А что хитрого? filter делаешь, логгинг включаешь, и по записи в логе меняешь
параметры на порту самым неожиданным образом :)
AS>> А внятно ты не хочешь переформулировать, потому что ты сейчас
AS>> пытаешься показать, какой ты умный, а не спорить по существу: ясные
AS>> формулировки рассеят тот туман, который ты тут пытаешься напустить.
AS>> А если его развеять, то я тебя опять спрошу - что ты мне пытаешься
AS>> доказать?
SO> Что паротокол (не формат пакетов, а протокол) совершенно не
SO> документирован и нету публичного документа из которого было бы понятно
SO> какие последствия может иметь разрешение CDP.
Угу. Только вот почему-то ты начал спорить, когда я пожаловался на отсутвие
функционала _логгинга_ проходящих CDP пакетов. Хотя бояться надо отсылки их
туда, где их, потенциально, могут интепретировать :) Возвращаясь к началу
дискуссии: я по прежнему настаиваю, что функционала логгинга получаемых CDP
пакетов cdpd не хватает.
AS>> В ответ намоё исходное утверждение, что иметь симметричный протокол
AS>> cdp в одной софтине - вполне логично, тем более, что мы умеем более
AS>> сложное действие (отсылку), и оно реализовано через тот же libpcap,
AS>> через который пишется и получение.
SO> Я пока не увидел объяснения зачем вообще нужно принимать на хосте CDP
SO> пакеты. Для определения того, что воткнут в два разных свича -- можно
SO> использовать workaround с анализом cdp на свичах.
Можно. Hо 1) проще иногда попросить админа сказать строчку из лога, чем бегать
по коммутаторам 2) при всяких хитрых конфигурациях с активным и пассивным
интерфейсом второй ничего не отошлёт, зато из bpf на входе (ещё до всякой
логики) cdp-пакет выловится.
SO> При этом и информация более правильная -- можно смотреть на
SO> топологию и определять насколько резервируется такое включение.
Просто одно другого не исключает :)
SO> А вот реализовывать _полную_ функциональность по рабзбору cdp пакетов --
SO> не известно что именно вообще можно делать и несколько стремно.
Hу это я уж совсем не могу понять. Стрёмно распарсить что-то?
SO> Ведь
SO> теоретически может оказаться, что хост воткнут не в кошкин свич и
SO> накормят его такими пакетиками... А никакой аутентификации там нету...
Так если оно только для лога - то пусть кормят. Это сразу выяснится, как только
я по этой информации на железку с той стороны зайду и не увижу того, что
должен.
AS>> Что я утверждаю - я несколько раз написал явно. Тем, кто спорит не
AS>> ради спора - достаточно. Тебе недостаточно, и все уже поняли,
AS>> почему.
SO> Отучаемся говорить за всю сеть (С)
Это был сознательный тест на 5030 :)
Alex
--- IMHO в последней инстанции
* Origin: ...можжевеловых... (2:461/640.640)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
