E
Мак адреса привяжи к портам
) это слишком просто обходится
Size: a a a
2020 June 10
EV
Кем?
EV
Твои работники что меняют мак адреса по ночам чтобы включить нетбиос? Самому не смешно?
E
Твои работники что меняют мак адреса по ночам чтобы включить нетбиос? Самому не смешно?
ключ от квартиры под коврик убираете?
D
Отдельный VLAN для станков, 1 мак на порт, мак привязать к порту. На маршрутизаторе FW огородить этот VLAN
D
ключ от квартиры под коврик убираете?
Хотите сесурити, тогда ищите в станках 802.1x
EV
ключ от квартиры под коврик убираете?
Бамбино, ты задаешь дурацкий вопрос на который сам знаешь ответ
RK
Ройте в сторону switch rules
E
Отдельный VLAN для станков, 1 мак на порт, мак привязать к порту. На маршрутизаторе FW огородить этот VLAN
надо пробовать, есть вероятность узкого горла + проблемы с обнаружением по маку. выше написал что на d-link'ах включили ACL с блокировкой по портам (хоть и костыльный вариант).
D
надо пробовать, есть вероятность узкого горла + проблемы с обнаружением по маку. выше написал что на d-link'ах включили ACL с блокировкой по портам (хоть и костыльный вариант).
А вы CPU с этими ACLами смотрели на dlink? И весь производственный контур должен быть выделен в отдельный VLAN, а иногда и в отдельную физическую сеть и если туда кому-то нужно, то на это есть веская причина и второй сетевой интерфейс
E
Хотите сесурити, тогда ищите в станках 802.1x
там китайский примитив ) а так лучший вариант конечно
RK
через dhcp можно вырубить
С
чтобы резать нетбиос свичом свис должен залезть в кадр, или несколько, собрать оттуда ip пакеты, залезть в них, собрать из их начинки tcp сегмент и понять что этот сегмент идет на порт NBT. про wire speed можно забыть
RK
128 правил на чипе
E
А вы CPU с этими ACLами смотрели на dlink? И весь производственный контур должен быть выделен в отдельный VLAN, а иногда и в отдельную физическую сеть и если туда кому-то нужно, то на это есть веская причина и второй сетевой интерфейс
к сожалению не смогу ответить, но насколько известно между станциями этот же свитч выдает до 90-100мб в сек, возможно просадка и есть и свою роль он выполняет (хоть и с костылем)
E
Ройте в сторону switch rules
спасибо Роман, тк не было опыта реализации на микротике такой задачи, то с разбегу не нашел как чтото подобное включить в switch - rule
E
Станислав
чтобы резать нетбиос свичом свис должен залезть в кадр, или несколько, собрать оттуда ip пакеты, залезть в них, собрать из их начинки tcp сегмент и понять что этот сегмент идет на порт NBT. про wire speed можно забыть
соглашусь, понять сколько % потеряется можно только опытным путем )
E
через dhcp можно вырубить
dhcp не используется. адреса на станках статичны, если я вас правильно понял
С
соглашусь, понять сколько % потеряется можно только опытным путем )
резать tcp протокол это не задача свича. от желаемого гигабита останется наверное много меньше сотни. если задача резать чтото на свиче то надо на низком уровне решать вопрос.
С
а чем вам так опасен нетбиос?