سلوشن ویلنینگ در شبکه

**hamedelnin** · 2016-10-08, 08:24 PM

سلام خدمت دوستان
توی شبکه ای که هر کاربرش احتمال تعویض پست و جایگاهش وجود داره ، بطور مثال امکام اینکه کاربری از بخش مالی به بخش معاونت یا ... بره وجود داشته باشه و دسترسی های خاصی هم برای هر قسمت در نظر گرفته شده ، چه نوع ویلن بندی رو پیشنهاد میکنین ؟ پروتکول های dot1x یا داینامیک ویلن فکر نمیکنم جوابگو باشه .یا اگر شدنیه ، محدودیت ها یا نکته ای داره ممنون میشم راهنمایی کنین یا اینکه دستی هر موقع کاربری عوض شد ، ویلناش رو هم عوض کنم که منطقی نیست !!!

موضوعات مشابه:

**ksi_xi_nt** · 2016-10-10, 09:22 PM

شما هدفتون از ویلن چی هست؟

**hamedelnin** · 2016-10-11, 12:34 AM

هدف کلی ویلن توی هر سازمان یا شبکه ای مشخصه خب. جداکردن بخش های مختلف،دسترسی ها ، برادکست،و.... .

**ksi_xi_nt** · 2016-10-12, 06:38 PM

خوب این چه ربطی به جابجا شدن یک شخص داره؟
خودتون که دارید میگید برادکستها

**EVERAL** · 2016-10-13, 06:38 PM

توی شبکه ای که هر کاربرش احتمال تعویض پست و جایگاهش وجود داره ، بطور مثال امکام اینکه کاربری از بخش مالی به بخش معاونت یا ... بره وجود داشته باشه و دسترسی های خاصی هم برای هر قسمت در نظر گرفته شده ، چه نوع ویلن بندی رو پیشنهاد میکنین ؟

صرفاً اگر مد نظر طراحي Vlan هست End-to-End Vlans.

دسترسی های خاصی

اگر منظور Access به سرورها و ساير ادوات شبكه است كه با تغيير IP در فايروال ارتباط برقرار ميشه. تو اكتيو هم كه امكان مديريت
كاربران جهت رزرو وجود داره ...

پروتکول های dot1x یا داینامیک ویلن فکر نمیکنم جوابگو باشه .یا اگر شدنیه ، محدودیت ها یا نکته ای داره ممنون میشم راهنمایی کنین

بسته به Scope شبكه جهت امن سازي Campus مي تونيد dot1x رو Deployment كنيد.

یا اینکه دستی هر موقع کاربری عوض شد ، ویلناش رو هم عوض کنم که منطقی نیست

دقيقاً؛ منطقي نيست.

**hamedelnin** · 2016-10-13, 06:53 PM

نوشته اصلی توسط ksi_xi_nt

خوب این چه ربطی به جابجا شدن یک شخص داره؟
خودتون که دارید میگید برادکستها

من هدف کلی ویلن رو عرض کردم . شما فرضا اینطور در نظر بگیرید که شخصی تو ویلن خاص خودش کار میکنه ، بنا به دلایلی شخص دیگه ای با سمت دیگه ای میاد جای اون شخص و روی اون پورت مشغول به کار میشه . قاعدتا نباید تو ویلن قبلی باشه و ویلنش عوض شه که خب اینجا میتونه dot1x به کار بیاد .

- - - ادامه - - -

ممنون از دو مهندس بزرگوار
قصد فقط آشنایی با این شیوه از ویلن و نوع استفاده از پورتکول هایی که میشه این مواقع استفاده کرد ، بود! که شخص با جابجایی در شبکه ، وقتی کابل شبکه خودش رو آپ میکنه ، توی ویلن همیشگی خودش قرار بگیره

- - - ادامه - - -

صرفاً اگر مد نظر طراحي Vlan هست End-to-End Vlans.

درسته مهندس ولی این رو در نظر بگیریم که جابجایی شخص همراه با تعویض سمت و پست شغلی باشه . و اینکه توی سازمان هر پست و سمت یک ویلن جدا برای اون تعریف بشه . این موقع باز هم خیلی این نوع طراحی به کار نمیاد . هرچند که ویلن های مختلف در جاهای مختلف توی این طراحی قرار دارند ولی برای این مورد کارایی نداره و مدیریتش هم سختتر میشه

گر منظور Access به سرورها و ساير ادوات شبكه است كه با تغيير IP در فايروال ارتباط برقرار ميشه. تو اكتيو هم كه امكان مديريت
كاربران جهت رزرو وجود داره ...

در مورد دسترسی ها میتونین با خود دیوایس های سیسکو توضیح بیشتر بدید ؟!!!

**EVERAL** · 2016-10-13, 07:31 PM

درسته مهندس ولی این رو در نظر بگیریم که جابجایی شخص همراه با تعویض سمت و پست شغلی باشه . و اینکه توی سازمان هر پست و سمت یک ویلن جدا برای اون تعریف بشه . این موقع باز هم خیلی این نوع طراحی به کار نمیاد . هرچند که ویلن های مختلف در جاهای مختلف توی این طراحی قرار دارند ولی برای این مورد کارایی نداره و مدیریتش هم سختتر میشه

يك چك ليست تهيه كنيد آي پي كاربراني كه دسترسي هاي خاص در سازمان دارند را در DHCP رزرو كنيد End-to-End Vlans هم راه اندازي كنيد قاعدتاً در هر Segment در Vlan مربوطه قرار مي گيرند. در غير اينصورت پاسخ Transparent هست طراحي Local Vlans.

در مورد دسترسی ها میتونین با خود دیوایس های سیسکو توضیح بیشتر بدید ؟!!!

سوالتون خيلي كلي هست! متدها و مكانيزم هاي متنوعي وجود دارد؛ در حال حاضر جهت اعمال كنترل دسترسي به شبكه محلي و تصديق هويت كاربران از طريق يكپارچگي با بانك اطلاعاتي موجود در سرور Active directory و نير Radius / Tacacs Server؛
Cisco ISE ريكامند ميشه.
پیاده سازی AAA در dot1x مبتني بر پروتكل Tacacs و راه اندازي posture Assessment در دسترسي به Resource هاي شبكه را مد نظر قرار دهيد.

**hamedelnin** · 2016-10-13, 08:06 PM

آي پي كاربراني كه دسترسي هاي خاص در سازمان دارند را در DHCP رزرو كنيد

End-to-End Vlans هم راه اندازي كنيد قاعدتاً در هر Segment در Vlan مربوطه قرار مي گيرند.

مثال میزنم فرضا کاربری در بخش مالی کار میکنه ( ویلن مالی ) - طبق جابجایی های سازمان به قسمت معاونت میره ( ویلن دیگه ای غیر از مالی ) ، قاعدتا دسترسی های دیگه ای خواهد داشت . در این مورد فک نمیکنم با رزرو کردن آی پی مشکلی حل بشه . با توجه به اینکه برای هر ویلن ، یه pool جدا در نظر گرفته شده در DHCP server

در مورد دسترسی ها هم منظورم استفاده از ACL های سوییچ سیسکو بود چون فعلا قرار نیست از فایروال یا پروتکول خاص دیگه ای استفاده بشه.

- - - ادامه - - -

مهندس امکانش هست در مورد ISE و اینکه کجای شبکه ازش استفاده میشه توضیح بدید !! البته سرچ کردم تا حدودی دستم اومده ولی نظر شمارو هم بدونیم خالی از لطف نیست

**EVERAL** · 2016-10-13, 08:10 PM

فرضا کاربری در بخش مالی کار میکنه ( ویلن مالی ) - طبق جابجایی های سازمان به قسمت معاونت میره ( ویلن دیگه ای غیر از مالی ) ، قاعدتا دسترسی های دیگه ای خواهد داشت . در این مورد فک نمیکنم با رزرو کردن آی پی مشکلی حل بشه

MAC و IP با هم Bind ميشن با اين تفاسير كاربر به هر نودي از شبكه سيستم خودش را وصل كند با توجه به رزرو صورت گرفته ديگه Request جديد براي دريافت آي پي به سمت سرور DHCP ارسال نمي شود و همان old IP دريافت ميشود و با نظر داشت به طراحي End-to-End كاربر همان IP با Vlan مربوطه را دريافت مي كند و چون دسترسي بر اساس IP هست واضح است كه كليه دسترسي هاي از قبل تعريف شده به كاربر assign ميشود.

در مورد دسترسی ها هم منظورم استفاده از ACL های سوییچ سیسکو بود چون فعلا قرار نیست از فایروال یا پروتکول خاص دیگه ای استفاده بشه.

تعیین سطح دسترسی کاربران با ابزارهای acl و vlan در dot1x را مدنظر قرار دهيد.

مهندس امکانش هست در مورد ISE و اینکه کجای شبکه ازش استفاده میشه توضیح بدید !! البته سرچ کردم تا حدودی دستم اومده ولی نظر شمارو هم بدونیم خالی از لطف نیست

ISE تركيبي از دو تكنولوژي NAC و ACS است راهكار Cisco براي ايمن سازي Campus است كه به به نوبه ي خود باعث ميشه يك Wide Range از حملات و مخاطرات شبكه كاهش پياده كند. شما با اجرا در شبكه داخلي مي تونيد احراز هويت كل كاربران، كنترل دسترسي، امنيت دستگاه هاي متصل به شبكه (VPN - Wired - Wireless) را كنترل كنيد.
در كل امنيت مطلوبي در شبكه ايجاد مي كند.

**hamedelnin** · 2016-10-13, 08:15 PM

MAC و IP با هم Bind ميشن با اين تفاسير كاربر به هر نودي از شبكه سيستم خودش را وصل كند با توجه به رزرو صورت گرفته ديگه Request جديد براي دريافت آي پي به سمت سرور DHCP ارسال نمي شود و همان old IP دريافت ميشود و با نظر داشت به طراحي End-to-End كاربر همان IP با Vlan مربوطه را دريافت مي كند و چون دسترسي بر اساس IP هست واضح است كه كليه دسترسي هاي از قبل تعريف شده به كاربر assign ميشود.

کاملا درست میفرمایید اما خب ببینید وقتی کاربر در شبکه جابجا شد و وارد ویلن دیگه ای شد ، براساس اینکه هر ویلن رنج آی پی جدا داره ، اینکه براش آی پی رزرو بشه منطقی نیست . چون وارد ویلن دیگه ای شده و پالیسی و شرایط مختلفی براش توی ویلن جدید وجود داره .

**EVERAL** · 2016-10-13, 08:33 PM

کاملا درست میفرمایید اما خب ببینید وقتی کاربر در شبکه جابجا شد و وارد ویلن دیگه ای شد ، براساس اینکه هر ویلن رنج آی پی جدا داره ، اینکه براش آی پی رزرو بشه منطقی نیست . چون وارد ویلن دیگه ای شده و پالیسی و شرایط مختلفی براش توی ویلن جدید وجود داره .

محدوديت در IT وجود ندارد؛ متدهاي متفاوتي وجود دارد كه با توجه به Scale شبكه و نهايتاً داشتن يك document و Road map مناسب امكان اجرايي شدن آن وجود دارد.
در پست قبلي اشاره كردم؛ براي تعيين سطح دسترسی کاربران از acl و vlan در dot1x استفاده كنيد.

موضوع: سلوشن ویلنینگ در شبکه

پیوند

ابزارهای موضوع

نمایش

سلوشن ویلنینگ در شبکه

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش