Комментарии 8
Еще есть такая штука как VLAN Hoping
На самом деле, на каталистах такие фокусы уже не один десяток лет не проходят.
swport portsec
Адски сокращаете…
Кстати для контроля CAM можно использовать DAI – dynamic arp inspection
А на самом деле нельзя. DAI работает только с ARPами.
Лучшей практикой является применение tacacs+ для администраторов, а radius для внешних пользователей. через vpn.
Строго говоря, сейчас циска потихоньку уходит от TACACS+, стараясь завязать всё на RADIUS. Но у такакса есть сильный (и, наверное, единственный) козырь в рукаве: авторизация команд. Делать «privilege exec level 4 ping» на каждой железке все-таки неконструктивно. RBAC нередко еще более неконструктивен, и вообще сложно с ним, хотя иногда без него никак (допустим, я хочу разрешить определенной группе изменять конфигурацию одного интерфейса, но не другого).
Остальное это использование CCP для маршрутизатора
Помнится, когда я сдавал IINS, эта часть вызывала у меня лютую ненависть на экзамене. Были вопросы «какую кнопку надо нажать, чтобы сделать то-то». С знал, как это делается в cli, но гуй впервые видел :)
Справочная информация
Я бы перетащил «STP guards» в control plane, так как они работают только с BPDU или их отсутствием.
А под «Enc protocols» и «timeouts» что понимаете?
вопрос немного не в тему, но про безопасность :)
как на абонентских портах срезать DHCP-кадры?
как на абонентских портах срезать DHCP-кадры?
P.S. Уффф… сдал))
залейте виртуальную машину куда-то?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Готовимся к CCNA Security (IINS 554)