صفحه 2 از 2 اولیناولین 1 2
نمایش نتایج: از شماره 16 تا 28 از مجموع 28

موضوع: مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

  
  1. #16
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راست میگید ها !! پس چیکار کنیم ؟
    حفاظت فیزیکی! حراست نباید اجازه بده لپ تاپ وارد سازمان بشه! توی اتاقها دوربین نصب میشه همه مانیتور بشن!

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    بالاخره چیکار کردید ؟
    والا من که کاری نکردم! چون پروژه که تموم شد رفتم سربازی ولی ظاهراً بعداً خودشون Port Security رو برداشتن

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راه اندازی چیش سخت نیست ؟ آیا این مشکل ما رو حل میکنه ! من هنوز جواب این سوالم رو نگرفتم که با این dot1x دقیقا توی بحث امنیت چه میشود کرد ؟ یه جا بچه ها پیاده کردند اون هم فقط برای dynamic vlan
    ببینید با dot1x سیستم (کاربر) تا وقتی که تائید هویت نشه نمیوته به شبکه دسترسی داشته باشه، که میتونه مبتنی بر user & pass باشه و یا Computer Authentication.
    حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.


    al1p0ur سپاسگزاری کرده است.





  2. #17
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2403
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    ببینید با dot1x سیستم (کاربر) تا وقتی که تائید هویت نشه نمیوته به شبکه دسترسی داشته باشه، که میتونه مبتنی بر user & pass باشه و یا Computer Authentication.
    حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.
    جالبه . من تا حالا باهاش کار نکردم . اگه تست کردید و به نتیجه رسیدید ما رو در جریان بذارید .
    ممنون



  3. #18
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    حفاظت فیزیکی که به شدت انجام میشه ! مطمئنا ما ترکیب موارد رو در نظر داریم. ولی خوب برای جابجا نشدن بیجای کاربران port-security بد نیست. البته بعضی ها مجوز لپتاپ دارند و حتی ممکنه ناخواسته پورت رو اشتباه بزنند. برای اونها هم بد نیست

    حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.
    این رو نفهمیدم. یعنی چی cert رو سیستمش نیست. خوب من لپتاپم رو میارم. تنظیمان سیستم شبکه ام رو روی همون لپتاپ انجام میدم. MAC رو هم عوض میکنم و با یوزر و پس شبکه خودم میام بالا



  4. #19
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    الان دقیقاً مراحل یادم نیست ولی خب اینجوریه که روی سیستم certificate نصب میشه (البته برای computer certificate) سیستم که روشن میشه کارت شبکه certificate اش رو به سمت سرور می فرسته، اگر که سرور certificate کلاینت رو قبول کنه به سوئیچ میگه پورت رو برای این کلاینت enable کن و در غیر این صورت پورت برای کاربر غیرفعال میشه.
    پس از اونجایی که روی لپ تاپ کاربر certificate نصب نیست پس سوئیچ پورتش رو up نمیکنه.


    ویرایش توسط aliafzalan : 2010-06-03 در ساعت 10:29 PM

  5. #20
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    الان دقیقاً مراحل یادم نیست ولی خب اینجوریه که روی سیستم certificate نصب میشه (البته برای computer certificate) سیستم که روشن میشه کارت شبکه certificate اش رو به سمت سرور می فرسته، اگر که سرور certificate کلاینت رو قبول کنه به سوئیچ میگه پورت رو برای این کلاینت enable کن و در غیر این صورت پورت برای کاربر غیرفعال میشه.
    پس از اونجایی که روی لپ تاپ کاربر certificate نصب نیست پس سوئیچ پورتش رو up نمیکنه.
    این cert منظورتون یه سری تنظیماته یا نه واقعا یه cert که از اون ور هم به یه سرور وصله (CA) و ...
    همین قابل نصب روی لپتاپ نیست. (میخوام بگم cert چه ملاکی برای تشخیص سیستم داره غیر از MAC )
    ضمنا یکی از بچه ها میگفت برای این کار حتما لازم نیست CA داشته باشیم !! ضن اینکه میگفت بهترین راه استفاده از SecureACS هستش ! در این مورد نظرتون چیه ؟



  6. #21
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    شما نیاز به CA سرور دارید، IAS و Active Directory - هر سیستمی که به دومین شما join میشه، certificate مربوطه رو به صورت اتوماتیک از سرور دریافت میکنه (البته تظیمات داره) و این Certificate روی سیستم نصب میشه، حالا هر وقت که سیستم روشن بشه، ویندوز شما certificate رو به سمت CA میفرسته و اگر که همه چیز درست باشه ارتباطش با شبکه برقرار میشه، توجه داشته باشید که MAC سیستم هیچ نقشی نداره. (البته شما می تونید تنظیم کنید که علاوه بر Computer Certificate از کاربر user و password هم سوال کنه و اگر که درست بود ارتباطش با شبکه برقرار بشه)
    حالا وقتی من کلاینت لپ تاپم رو میارم و میزنم به شبکه، از اونجایی که به دومین سازمان join نیستم certificate مربوطه رو ندارم که بخواهم به شبکه وصل بشم.







  7. #22
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    شما نیاز به CA سرور دارید، IAS و Active Directory - هر سیستمی که به دومین شما join میشه، certificate مربوطه رو به صورت اتوماتیک از سرور دریافت میکنه (البته تظیمات داره) و این Certificate روی سیستم نصب میشه، حالا هر وقت که سیستم روشن بشه، ویندوز شما certificate رو به سمت CA میفرسته و اگر که همه چیز درست باشه ارتباطش با شبکه برقرار میشه، توجه داشته باشید که MAC سیستم هیچ نقشی نداره. (البته شما می تونید تنظیم کنید که علاوه بر Computer Certificate از کاربر user و password هم سوال کنه و اگر که درست بود ارتباطش با شبکه برقرار بشه)
    حالا وقتی من کلاینت لپ تاپم رو میارم و میزنم به شبکه، از اونجایی که به دومین سازمان join نیستم certificate مربوطه رو ندارم که بخواهم به شبکه وصل بشم.

    سه تا سوال
    1- اگر این CA بترکه چی میشه ؟ بدبخت میشیم و شبکه میخوابه ؟ بعد دوباره نصب کنیم همه چیز ردیف میشه
    2- اون ca سیستم رو چطوری میشناسه !؟ mac که گفتید نیست ! پس چطوری ؟ از سریال مادربردش ؟ از SSID که بهش میده ! میخوام بدونم میشه لپتاپ رو بجاش جا زد یا نه ؟
    3- لپتاپی که میزنه طرف حتما باید join باشه یا اینکه یه یوزر و پسورد از دومین داشته باشه ؟ میخوام بگم اگه یوزر خودم لپتاپ بیاره و با یوزر و پس که از دومین داره میتونه کاری کنه ؟ یا این join بودن مهمه ؟



  8. #23
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    سه تا سوال
    1- اگر این CA بترکه چی میشه ؟ بدبخت میشیم و شبکه میخوابه ؟ بعد دوباره نصب کنیم همه چیز ردیف میشه
    نه، میری روی سوئیچ و dot1x رو غیرفعال میکنی.
    راستی یه سوال! اگه DC شما بترکه چی میشه ؟! اتوماسیون همکاران ؟! دیتاهای حساس ؟!

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    2- اون ca سیستم رو چطوری میشناسه !؟ mac که گفتید نیست ! پس چطوری ؟ از سریال مادربردش ؟ از SSID که بهش میده ! میخوام بدونم میشه لپتاپ رو بجاش جا زد یا نه ؟
    احتمالاً بر اساس Computer Name دومین و اطلاعات دیگه، توی این مورد اینترنت بهترین منبع هست.

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    3- لپتاپی که میزنه طرف حتما باید join باشه یا اینکه یه یوزر و پسورد از دومین داشته باشه ؟ میخوام بگم اگه یوزر خودم لپتاپ بیاره و با یوزر و پس که از دومین داره میتونه کاری کنه ؟ یا این join بودن مهمه ؟
    تا اونجایی که میدونم dot1x رو میشه به شکل های مختلف پیاده سازی کرد. توی این مدلی که من باهاش آشنایی کمی دارم join بودن مهمه، یعنی سیستم کاربر حتماً باید به دومین join شده باشه تا بتونه به شبکه وصل بشه.


    th95 سپاسگزاری کرده است.

  9. #24
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نه، میری روی سوئیچ و dot1x رو غیرفعال میکنی.
    راستی یه سوال! اگه DC شما بترکه چی میشه ؟! اتوماسیون همکاران ؟! دیتاهای حساس ؟!
    علی آقا اذیتمون نکن
    من از تمام زندگیم بکاپ دارم ! همه جوره رو همه جور مدیا ! هر روز و هر شب ! خوب بکاپ رو برمیگردونم
    اما در مورد ca شنیدم بکاپ رو هم برگردونی cert روی سیستم کلاینتها بازم درست کار نمیکنند و با ca مچ نمیشن و ... و مشکلات زیادی پیش میاد. حتی فول بکاپ رو ! حتی image رو ! اینه که میگم ملت من رو ترسوندن

    راستی اگه داکیومنت قدم به قدم برای پیاده سازی این قضیه داشتید ممنون میشم.
    شبتون بخیر ! خیلی زحمت دادم تا این موقع شب ! لطف کردید



  10. #25
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    خب شما میتونید یه CA سرور backup بزاری (البته من تست نکردم، ولی حتماً میشه چنین کاری کرد)
    بقیه بحث هم باشه بعد از تحقیقات و مطالعات شما، من هم خودم حتماً تحقیقی در موردش میکنم.
    شب بخیر
    .
    .
    .
    راستی شما کاری به حرف ملت نداشته باش، اینترنت بهترین منبع هست.
    ملت اشتباه میکنن، یکیش خوده من.


    ویرایش توسط aliafzalan : 2010-06-04 در ساعت 12:13 AM
    th95 سپاسگزاری کرده است.

  11. #26
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    مرسی منم بررسی میکنم چیز خاصی پیدا کنم برای بقیه هم مستند میکنم تا استفاده کنند



  12. #27
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    ضمنا یکی از بچه ها میگفت برای این کار حتما لازم نیست CA داشته باشیم !!
    آره درست میگفت، اگر شما بخواهید Authentication فقط بر اساس user & pass باشه دیگه نیازی به CA نیست.
    ولی مسئله اینجاست که توی این حالت هر کسی که یوزر و پسورد داشته باشه میتونه بیاد توی شبکه و دیگه فرقی نمیکنه سیستم شرکت باشه و یا لپ تاپ شخصی. این حالت بیشتر مورد استفاده در شبکه های وایرلس هست.


    th95 سپاسگزاری کرده است.





  13. #28
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    آره درست میگفت، اگر شما بخواهید Authentication فقط بر اساس user & pass باشه دیگه نیازی به CA نیست.
    ولی مسئله اینجاست که توی این حالت هر کسی که یوزر و پسورد داشته باشه میتونه بیاد توی شبکه و دیگه فرقی نمیکنه سیستم شرکت باشه و یا لپ تاپ شخصی. این حالت بیشتر مورد استفاده در شبکه های وایرلس هست.
    خوب ! خوبه ! پس حداقل برای راه اندازی Dynamic Vlanning با Dot1X دیگه نیازی به CA نیست. این رو راه بندازیم دیگه لازم نیست بریم روی همه پورتها هی یکی یکی وی لن شون رو مشخص کنیم. راستی در این مورد هم همون IAS کفایت میکنه یا SecureACS ؟ البته به نظر میرسه فقط یکی از اینها باید استفاده بشه که ظاهرا SecureACS بهتره ! البته حدس میزنم .. اگه یه راهنمای خوب در مورد راه اندازی Dynamic Vlanning با Dot1X پیدا کردید ممنون میشم بذارید

    یه چیزی رو دقت کردید. بحثهای ما خیلی جالبه ! از err-disabled شروع میشه به dot1x میرسه !! از ندیدن کامپیوترها در دامین شروع میشه به پرینت سرور و اکسس لیست میرسه !! یاد الهی قمشه ای میفتم. از بحث معرفی یه شاعر گمنام شروع میکنه آخرش به اثبات خدا مختوم میشه :-)


    ویرایش توسط th95 : 2010-06-04 در ساعت 09:36 AM

صفحه 2 از 2 اولیناولین 1 2

کلمات کلیدی در جستجوها:

مشکل err-disabled

غیر فعال کردن err-disable در سوئیچ

مشکلات port security

err disable در سوییچ سیسکو

فعال کردن لاگ error disable

dot1x

رفع مشکل err disabled در سوئیچ سیسکو

دلیل disable شدن کارت شبکه

dchp disabled رفع مشکل

err-disable state مشکل

port security err-disable

err-disabledمشکل

دستورات رفع اشکال port security

حل مشکل error disable port security switch

حل مشکل port security

پاک کردن error disabl در سسیکو

پاک کردن error disabled در سوئیچ

err dis پورت سوئیچ سیسکو dhcp

درآوردن mac پورت سوئیچ سیسکو

برگرداندن بک اپ سوئیچ 2960

غیر فعال کردن err-disabled در سوئیچ سیسکو

مشکل psecure در سوییچ سیسکو

راه اندازی مجدد پورت خاموش شده در port security

برگرداندن پورت disabled

دراوردن پورت از حالت security در سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •