Announcement

**Mr.Metal** · 26-06-2007, 12:24 AM

Hi,

How about Proxy ?

Have fun!

**tit_mit** · 26-06-2007, 12:47 AM

Nếu mà như yêu cầu đó thì việc không cho họ gắnn máy vào mạng của mình là như nhau, việc gì fai nghĩ ra giải pháp này nọ

**nguyennp** · 26-06-2007, 01:13 AM

Originally posted by tit_mit View Post

Nếu mà như yêu cầu đó thì việc không cho họ gắnn máy vào mạng của mình là như nhau, việc gì fai nghĩ ra giải pháp này nọ

Đúng là không cho họ gắn vào mạng cũng là 1 trong các policy. Tuy nhiên, có 1 vị khách nào đó lén gắn vào thì mình cũng đâu biết. Do đó, nếu hệ thống mạng đảm đương luôn chuyện này thì quá tốt.
Cái chính là khi 1 máy nào đó gắn vào mạng sẽ bị cô lập. Để có thể truy cập tài nguyên trong mạng được, phải có 1 ...cái gì đó ( import Certificate chẳng hạn).

@Mr. Metal : what do you mean Proxy ? Actually, I don't like Proxy. There's an ASA 5510 in the network. Yet, I don't know if it can do what I want or not.

**anhtri** · 26-06-2007, 09:22 AM

^_^

Originally posted by nguyennp View Post

Hi,

Mình nhận được 1 yêu cầu từ KH như sau :

Khi 1 máy của khách gắn vào mạng công ty, sẽ không thể truy cập được Internet và mạng nội bộ của công ty.

Vấn đề không cho truy cập mạng nội bộ công ty thì mình giải quyết bằng cách chỉ share cho Authenticated User, không cho everyone.

Vấn đề còn lại hơi khó vì khi nhận được IP từ DHCP (kèm theo thông tin DNS, Gateway) thì dĩ nhiên ra net được, DHCP hoạt động broadcast thì làm sao biết được máy nào là máy khách chứ. Mình nghĩ ra 1 cách giải quyết là sử dụng IP Sec cho tất cả các máy trong LAN. Nhưng như vậy sẽ làm chậm mạng và mình cũng chưa thể control được còn có vấn đề nào xảy ra khi apply IP Sec trong mạng hay không nữa.

Nghĩ đi nghĩ lại, cấm bằng Firewall cũng không xong.

Xin mọi người góp ý.

Thanks.

Vậy giải quyết bằng Security port trên Sw đi nguyên . Thằng nào lạ cắm vô shutdown port luôn :)

**copperhead** · 29-06-2007, 04:52 PM

Originally posted by nguyennp View Post

Hi,

Mình nhận được 1 yêu cầu từ KH như sau :

Khi 1 máy của khách gắn vào mạng công ty, sẽ không thể truy cập được Internet và mạng nội bộ của công ty.

Vấn đề không cho truy cập mạng nội bộ công ty thì mình giải quyết bằng cách chỉ share cho Authenticated User, không cho everyone.

Vấn đề còn lại hơi khó vì khi nhận được IP từ DHCP (kèm theo thông tin DNS, Gateway) thì dĩ nhiên ra net được, DHCP hoạt động broadcast thì làm sao biết được máy nào là máy khách chứ. Mình nghĩ ra 1 cách giải quyết là sử dụng IP Sec cho tất cả các máy trong LAN. Nhưng như vậy sẽ làm chậm mạng và mình cũng chưa thể control được còn có vấn đề nào xảy ra khi apply IP Sec trong mạng hay không nữa.

Nghĩ đi nghĩ lại, cấm bằng Firewall cũng không xong.

Xin mọi người góp ý.

Thanks.

Nếu bồ sdụng win2k + DHCP thì ok. Chỉ cung cấp yêu cầu cho Mac address chỉ định thôi.

**nguyennp** · 01-07-2007, 03:17 PM

Originally posted by anhtri View Post

Vậy giải quyết bằng Security port trên Sw đi nguyên . Thằng nào lạ cắm vô shutdown port luôn :)

Cám ơn mọi người đã trả lời.

@anhtri : Nguyên có 1 switch tổng HP 2810-24G, 1 số switch con HP 2511 hỗ trợ Secured port. Nhưng cũng có khoảng 5, 6 cái HP 1800 Series không hỗ trợ. Tất cả switch con đều kéo về switch tổng. Vậy mình có thể chỉ bắt secured port chỉ dựa trên danh sách MAC address ở switch tổng không thôi hay phải trên từng switch ?

Ủa, mà lạ cắm vô thì không cho traffice đi thôi chứ shutdown port luôn thì tiêu ???

@copperhead : Bạn muốn nói cái Reservation của DHCP ? Như vậy mình phải làm Reservation cho tất cả các máy trong mạng ???? Cách này không ổn.
Nếu không phải thì :

Chỉ cung cấp yêu cầu cho Mac address chỉ định thôi

DHCP có tính năng này không nhỉ ? Nếu có thì quá tốt. Mình thật sự không biết. Bạn có thể chỉ dùm không ? Cám ơn nhiều lắm.

**anhtri** · 01-07-2007, 03:43 PM

^_^

Mình thấy người ta giải quyết mấy vấn đề này có thể giải quyết bằng MAC . nhưng nếu thấy phức tạp thì nguyên dùng vlan đi , gom mấy cái port không dùng cho vô 1 vlan rồi xử lý sao thì tùy ...

P/S tại nguyên nói cắm vô mà không cho phép truy cập nộ bộ và ra internet thì shutdown lun cho khỏe :D

**kirm2005** · 04-07-2007, 11:23 AM

Originally posted by anhtri View Post

Mình thấy người ta giải quyết mấy vấn đề này có thể giải quyết bằng MAC . nhưng nếu thấy phức tạp thì nguyên dùng vlan đi , gom mấy cái port không dùng cho vô 1 vlan rồi xử lý sao thì tùy ...

P/S tại nguyên nói cắm vô mà không cho phép truy cập nộ bộ và ra internet thì shutdown lun cho khỏe :D

Cũng hơi khó hiểu, nuế cho cắm dô thì tức là cho sử dụng mạng nội bộ/ Internet. Cắm dô mà ko cho sử dụng luôn 2 cái đó thì thà ko cắm có phải hay hơn ko ?

Nuế như người lạ mà cắm dô thì họ đâu có ID + pass để log dô domain, nuế log on local thì mình cũng ko rành cho lắm !

Announcement

Sử dụng IP Sec trong mạng, nên hay không ?

Sử dụng IP Sec trong mạng, nên hay không ?

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment