поддерживаю автора. могу привести примеры из сети. на предприятии стояли раньше cisco2960 на уровне аксес а им на замену вендор выпустил 9200. но покупают 9200 и 9300 вперемежку. притом что 9300 в среднем стоит 5к юсд а 9200 от 2к юсд. я спрашиваю а зачем 9300? говорят мощнее же. но зачем? юзеры как работали с файлами ворд и ексел так и продолжают работать. файлы ведь не растут в 100 раз. и даже в два раза не растут. те же самые файлы.
я помню раньше каждый пользователь был подключен к порту 100M потом стали подключать к 1G а сейчас кто то приходит и говорит каждого пользователя нужно подключать по 10G? зачем? всю кабельную проводку нужно заменить на категорию 6Е
сколько стоит Cisco ISE ? + внедрение ? + поддежка вендора (smartnet) ?
уже автоматизировал все вышеперечисленное. ?? порты вручную нужно сконфигурировать как mab (mac address bypass) и вручную нужно добавить все mac адреса
я не совсем понимаю вас. о чем dot1x? аутентификация пользователей в АД ? и на портах коммутатора? есть много разных вариантов внедрения. в том числе можно выдавать какой то vlan какому то пользователю. но не принтеру, не PLC, не видеокамере.
внедрение dot1x на порядки сложнее чем одна пайтон программа.
для тех организаций которым нужно выключать неиспользуемые порты как раз моя программа может помочь. можно отслеживать и выключать такие порты автоматически. и также DSS своими силами могут включать порты при необходимости
в разных организациях разные требования безопасности. иногда конечно нужно выключать свободные порты. если в помещение могут зайти посторонние лица и воткнуть посторонние устройства в коммутатор то конечно нужно выключить все свободные порты. например отделение банка куда заходят клиенты с улицы.
я делал ансибл плейбук и с помощью баш сохранял ежедневно в папки файлы с конфигурацией а также состоянием, включая арп мак роуте и т.д.
и можно было делать сравнение текстовых файлов за любые дни. например вчера и сегодня. и можно было видеть всю разницу. где конфиг изменился или интерфейсы или маршруты итд
в польше есть такое. у одного провайдера только. каждый может разрешить гостевой конект к своей wif-fi точке и получить гостевой пароль и конектиться к таким же точкам таких же людей кто уже разрешил гостевой конект
разве кто то использует сейчас нешифрованый FTP ? и открывает динамические порты? сейчас думаю все используют SCP шифрованый протокол передачи файлов поверх SSH на порту TCP 22
«Любые соединения телефона с недружественными странами вызывают обеспокоенность из-за более слабого соблюдения законов о защите данных и конфиденциальности», — прокомментировала ситуацию исследовательская команда Cybernews."
я лично анализировал географию откуда приходят хакерские атаки.
большинство из сша. из виртуальных машин установленых в AWS Azure GC Akamai
поддерживаю автора. могу привести примеры из сети. на предприятии стояли раньше cisco2960 на уровне аксес а им на замену вендор выпустил 9200. но покупают 9200 и 9300 вперемежку. притом что 9300 в среднем стоит 5к юсд а 9200 от 2к юсд. я спрашиваю а зачем 9300? говорят мощнее же. но зачем? юзеры как работали с файлами ворд и ексел так и продолжают работать. файлы ведь не растут в 100 раз. и даже в два раза не растут. те же самые файлы.
я помню раньше каждый пользователь был подключен к порту 100M потом стали подключать к 1G а сейчас кто то приходит и говорит каждого пользователя нужно подключать по 10G? зачем? всю кабельную проводку нужно заменить на категорию 6Е
вы имеете реальный опыт работы?
сколько стоит Cisco ISE ? + внедрение ? + поддежка вендора (smartnet) ?
уже автоматизировал все вышеперечисленное. ?? порты вручную нужно сконфигурировать как mab (mac address bypass) и вручную нужно добавить все mac адреса
моя программа тоже может быть модифицирована и на основе mac адреса можно установить вендора и по вендору назначать правильный vlan
моя программа на порядок проще чем dot1x
это слишком много ручной работы. mac адреса всех устройств нужно вручную записать в систему.
я не совсем понимаю вас. о чем dot1x? аутентификация пользователей в АД ? и на портах коммутатора? есть много разных вариантов внедрения. в том числе можно выдавать какой то vlan какому то пользователю. но не принтеру, не PLC, не видеокамере.
внедрение dot1x на порядки сложнее чем одна пайтон программа.
моя программа совсем для другой цели
для тех организаций которым нужно выключать неиспользуемые порты как раз моя программа может помочь. можно отслеживать и выключать такие порты автоматически. и также DSS своими силами могут включать порты при необходимости
в разных организациях разные требования безопасности. иногда конечно нужно выключать свободные порты. если в помещение могут зайти посторонние лица и воткнуть посторонние устройства в коммутатор то конечно нужно выключить все свободные порты. например отделение банка куда заходят клиенты с улицы.
по dot1x можно отдельно долго обсуждать
хороший вопрос, спасибо
если выполнить ансибл get-facts то в переменной ansible_facts.net_interfaces есть информация об интерфейсах
"GigabitEthernet1/1": { "bandwidth": 1000000, "description": "011", "duplex": "Auto", "ipv4": [], "lineprotocol": "up", "macaddress": "5000.0003.0005", "mediatype": "RJ45", "mtu": 1500, "operstatus": "up", "type": "iGbE" },но нет access vlan
и нет подключенного mac address, ip address и номера телефона
и вторая программа которая меняет vlan на интерфейсе согласно CSV файла у меня получилась на пайтон легко но не на ансибл.
а вы в курсе про vesda - very early smoke detection? раннее обнаружение дыма?
трубочки втыкаются прямо в блоки питания серверов и там детектируют частицы дыма а не когда дата центр весь полон дыма
в ансибл трудно сделать для разных устройств разный конфиг. в пайтон легко.
вот пример https://community.cisco.com/t5/networking-knowledge-base/how-to-update-interface-description-for-cisco-switches-part-2/ta-p/5143497
я использую инвентори файл ансибле
и вызываю из python нужную мне группу устройств. в данном случае routers
я делал ансибл плейбук и с помощью баш сохранял ежедневно в папки файлы с конфигурацией а также состоянием, включая арп мак роуте и т.д.
и можно было делать сравнение текстовых файлов за любые дни. например вчера и сегодня. и можно было видеть всю разницу. где конфиг изменился или интерфейсы или маршруты итд
вы накатываете новую прошивку на все устройства? без разницы? старые или новые или есть память или нет памяти?
но с таким требованием думаю выступят все производители. и cisco juniper siemens windows итд итп
Rockwell Automation обратился к клиентам с требованием немедленно отключить от сети ИНТЕРНЕТ свои устройства ICS из-за багов
прямо не предназначенные для общедоступного подключения к сети интернет,
в польше есть такое. у одного провайдера только. каждый может разрешить гостевой конект к своей wif-fi точке и получить гостевой пароль и конектиться к таким же точкам таких же людей кто уже разрешил гостевой конект
разве кто то использует сейчас нешифрованый FTP ? и открывает динамические порты? сейчас думаю все используют SCP шифрованый протокол передачи файлов поверх SSH на порту TCP 22
а зачем IPv6 ? можно же на IPv4 адрес Оракл и на далее NAT с разных портов на разные устройства.
«Любые соединения телефона с недружественными странами вызывают обеспокоенность из-за более слабого соблюдения законов о защите данных и конфиденциальности», — прокомментировала ситуацию исследовательская команда Cybernews."
я лично анализировал географию откуда приходят хакерские атаки.
большинство из сша. из виртуальных машин установленых в AWS Azure GC Akamai
так и я о том же говорю. пусть перехватят пакеты и продемонстрируют что было ДНС туннелирование.
но профессиональный уровень людей писавших статью желает лучшего.