mboost-dp1
MAC-spoofing - en reel trussel?
Hvis en ny MAC-adresse er alt, hvad der skal til, så er det i hvert fald ikke en fornuftig it-afdeling. :P
Kort fortalt: Ja.
Dette er naturligvis alt afhængigt af hvordan jeres system kører - hvad jeres opsætninger m.v..
Jeg kan give et eksempel med vores netværk på kollegierne i Sønderborg:
Vi har 1200+ offentlige IP-adresser, og tilbyder en række services (DNS, DHCP, WWW, o.l.). Da disse "services" driftes af servere kender folk ofte deres IP'er. Tidligere (og sikkert snart igen) havde vi traffikbegrænsning - det vil sige et bestemt antal MiB folk kunne downloade per uge. Men, da serverne skulle kunne hente opdateringer, samt tilbyde ekstern adgang selvom disse havde brugt mere end den ugentlige begrænsning måtte vi naturligvis lave undtagelser; Det betød, at disse serveres MAC-adresse blev registreret som specielle så de ikke blev blokeret af gatewayen (som egentlig var en bridge til gatewayen), selvom de brugte al deres trafik.
Dette gjorde det populært for folk at "stjæle" serverens MAC-adresse - men dette betød en hel bunke problemer for os:
Pludselig svarede serverne ikke længere hele tiden. Pludselig havde folk problemer med services. Nogle brugere var endda så snot dumme at de tog gatewayens IP! Dette betød endnu flere problemer for os, fordi selvom de tog en IP de ikke måtte blev deres MAC-adresse ikke logget i vores logningssystem (som linkede MAC-adresser til switch-porte). Dette betød at man manuelt måtte gå ind på diverse switche og lede efter de enkelte skidte gutter - eller via SNMP... Som godt kunne tage tid.
... Alt dette pga. MAC-spoofing. Ja, det er en trussel. :-)
Det kan løses på mange måder:
1) Udsend en SNMP-trap hvis MAC'en opstår på netværk (subnets, porte o.l.) den ikke må være på.
2) Opdel netværket i flere dele, så man ikke kan bruge serveres IP'er til noget.
3) Lav (ordentlig) overvågning, således at hvis en MAC opstår på to porte på en central switch, lyder der alarmer.
Dette er naturligvis alt afhængigt af hvordan jeres system kører - hvad jeres opsætninger m.v..
Jeg kan give et eksempel med vores netværk på kollegierne i Sønderborg:
Vi har 1200+ offentlige IP-adresser, og tilbyder en række services (DNS, DHCP, WWW, o.l.). Da disse "services" driftes af servere kender folk ofte deres IP'er. Tidligere (og sikkert snart igen) havde vi traffikbegrænsning - det vil sige et bestemt antal MiB folk kunne downloade per uge. Men, da serverne skulle kunne hente opdateringer, samt tilbyde ekstern adgang selvom disse havde brugt mere end den ugentlige begrænsning måtte vi naturligvis lave undtagelser; Det betød, at disse serveres MAC-adresse blev registreret som specielle så de ikke blev blokeret af gatewayen (som egentlig var en bridge til gatewayen), selvom de brugte al deres trafik.
Dette gjorde det populært for folk at "stjæle" serverens MAC-adresse - men dette betød en hel bunke problemer for os:
Pludselig svarede serverne ikke længere hele tiden. Pludselig havde folk problemer med services. Nogle brugere var endda så snot dumme at de tog gatewayens IP! Dette betød endnu flere problemer for os, fordi selvom de tog en IP de ikke måtte blev deres MAC-adresse ikke logget i vores logningssystem (som linkede MAC-adresser til switch-porte). Dette betød at man manuelt måtte gå ind på diverse switche og lede efter de enkelte skidte gutter - eller via SNMP... Som godt kunne tage tid.
... Alt dette pga. MAC-spoofing. Ja, det er en trussel. :-)
Det kan løses på mange måder:
1) Udsend en SNMP-trap hvis MAC'en opstår på netværk (subnets, porte o.l.) den ikke må være på.
2) Opdel netværket i flere dele, så man ikke kan bruge serveres IP'er til noget.
3) Lav (ordentlig) overvågning, således at hvis en MAC opstår på to porte på en central switch, lyder der alarmer.
#3
Segmentering er altid en god ide, naar man har klienter og servere.
Det er vel utroligt sjaeldent anbefalet at have det hele i samme net? :D
Men eh, jeg har oplevet samme problem, saa omend jeg ikke vil kalde det en reel trussel, da du alligevel skal dele nettet op og dermed fjerner langt de fleste problemer med spoofing, saa er det nok noget man boer taenke over inden man gaar igang.
#2
Til for hvad?
Vi har ikke noget beskyttelse imod mac-spoofing (udover paa vores servere), saa alle klienter kan spoofe alt det de lyster.
Hvis der er nogen der goer det, saa fucker switchen som deres 'gruppe' sidder i op og alle ryger offline anyway :D
Yay for cheap crap equipment! :D
#1
Trussel og trussel.
Det kommer 112% an paa dit netvaerk og dine 'klienter'/kunder.
Segmenterer du korrekt, vil det ikke vaere et reelt problem, blot en irritation.
Vaelger du at laase porte paa switche til en specifik mac-adresse (goer man ofte for at 'lukke' netvaerket for uoensket fysisk adgang) er det stort set ligegyldigt. Saa vil der kun kunne spoofes den ene ports MAC, og da den uanset hvad vil vaere en klient (du har ikke fysisk adgang til serverne, for uoenskede) er det ligemeget.
- Medmindre du da vil have noget reel 'login' for at kunne bruge netvaerket, saa begynder du at skulle kigge paa certifikater eller anden form for auth. :)
Segmentering er altid en god ide, naar man har klienter og servere.
Det er vel utroligt sjaeldent anbefalet at have det hele i samme net? :D
Men eh, jeg har oplevet samme problem, saa omend jeg ikke vil kalde det en reel trussel, da du alligevel skal dele nettet op og dermed fjerner langt de fleste problemer med spoofing, saa er det nok noget man boer taenke over inden man gaar igang.
#2
Til for hvad?
Vi har ikke noget beskyttelse imod mac-spoofing (udover paa vores servere), saa alle klienter kan spoofe alt det de lyster.
Hvis der er nogen der goer det, saa fucker switchen som deres 'gruppe' sidder i op og alle ryger offline anyway :D
Yay for cheap crap equipment! :D
#1
Trussel og trussel.
Det kommer 112% an paa dit netvaerk og dine 'klienter'/kunder.
Segmenterer du korrekt, vil det ikke vaere et reelt problem, blot en irritation.
Vaelger du at laase porte paa switche til en specifik mac-adresse (goer man ofte for at 'lukke' netvaerket for uoensket fysisk adgang) er det stort set ligegyldigt. Saa vil der kun kunne spoofes den ene ports MAC, og da den uanset hvad vil vaere en klient (du har ikke fysisk adgang til serverne, for uoenskede) er det ligemeget.
- Medmindre du da vil have noget reel 'login' for at kunne bruge netvaerket, saa begynder du at skulle kigge paa certifikater eller anden form for auth. :)
#3
Kunne I ikke bare blokere adgang, hvis MAC'en allerede fandtes på netværket?
Kunne I ikke bare blokere adgang, hvis MAC'en allerede fandtes på netværket?
Men her snakker vi vel om private, trådløse routere, som nok ikke ændre sin MAC-adresse.Whoever (5) skrev:Okay, takker. Jeg spurgte mest fordi jeg ikke synes det var specielt betryggende at firmaer somAppleGoogle oparbejder kæmpecentraler med MAC-addresser til deres geolokationsfunktionalitet.
#6:
http://politiken.dk/tjek/digitalt/article1022761.e...
Ud over det har Apple og google jo ingen info, som andre ikke kan få fat i om dit WLAN bare ved at stå i rækkevidde..
http://politiken.dk/tjek/digitalt/article1022761.e...
Ud over det har Apple og google jo ingen info, som andre ikke kan få fat i om dit WLAN bare ved at stå i rækkevidde..
#7 forskellen er jo at andre ikke har 30+ millioner scannere til at sniffe info'en for dig. Det kræver en del mere af en gruppe på 10-50 "bad guys" af sniffe alle MAC addresserne i f.eks. hele københavns lufthavn (hvor 82% af alle ansatte har en iPhone).
Men who cares, hvis truslen ikke er reel er der "kun" privacy issues tilbage (i forhold til persondatalovgivninger osv.).
#6, Google OG Apple. Hvis du læser deres 13 siders svar til to medlemmer af repræsentanternes hus i USA, står der at de gemmer MAC-addresserne (semi-quote: "..og ikke SSID'et"...flot).
Det svarer lidt til at gemme Bluetooth ID'et fra en telefon istedet for det navn du selv har givet din telefon, hvilket er langt mere alvorligt. Men igen, hvis det er en non-threat for større virksomheder og statslige institutioner, som forhåbentlig har styr på tingene, så er problemet jo ikke større.
Men who cares, hvis truslen ikke er reel er der "kun" privacy issues tilbage (i forhold til persondatalovgivninger osv.).
#6, Google OG Apple. Hvis du læser deres 13 siders svar til to medlemmer af repræsentanternes hus i USA, står der at de gemmer MAC-addresserne (semi-quote: "..og ikke SSID'et"...flot).
Det svarer lidt til at gemme Bluetooth ID'et fra en telefon istedet for det navn du selv har givet din telefon, hvilket er langt mere alvorligt. Men igen, hvis det er en non-threat for større virksomheder og statslige institutioner, som forhåbentlig har styr på tingene, så er problemet jo ikke større.
#3: Ork jo, da. Hvad sker der hvis du blokerer en MAC fordi den allerede findes på netværket, og denne MAC tilhører en server? Serveren er ikke længere tilgængelig... :-P
Det vi gør i praksis er at vi har en masse data der binder en MAC-adresse til et værelse/lejlighed (mere specifikt faktisk en switchport, i form af f.eks. 12_D1, som ville være switch 12, port D1). Disse data dannes udfra et script, der hedder dbdump, som helt basalt kører hele netværket igennem med SNMP og finder alle mac-adresser på de enkelte porte. Derefter kan man, hvis der er duplikerede MAC-adresser, benytte et script, der hedder findport, til at spore den enkelte MAC-adresse. Hvis denne findes to steder, giver switchen et... Sjovt... Svar. :-)
Det vi gør i praksis er at vi har en masse data der binder en MAC-adresse til et værelse/lejlighed (mere specifikt faktisk en switchport, i form af f.eks. 12_D1, som ville være switch 12, port D1). Disse data dannes udfra et script, der hedder dbdump, som helt basalt kører hele netværket igennem med SNMP og finder alle mac-adresser på de enkelte porte. Derefter kan man, hvis der er duplikerede MAC-adresser, benytte et script, der hedder findport, til at spore den enkelte MAC-adresse. Hvis denne findes to steder, giver switchen et... Sjovt... Svar. :-)
Det er fail. Netop denne situation vil da aldrig opstå, hvis man TÆNDER SERVEREN FØRST.ZiN (9) skrev:#3: Ork jo, da. Hvad sker der hvis du blokerer en MAC fordi den allerede findes på netværket, og denne MAC tilhører en server? Serveren er ikke længere tilgængelig... :-P
#13
Kan man slet ikke tjekke MAC'en, INDEN den får lov at komme på?
Kan man slet ikke tjekke MAC'en, INDEN den får lov at komme på?
#9: Fordi folk flytter ind og ud hele tiden - det er et kollegie. Derfor duer denne ide ikke. :-)
#11: Wrong. :-)
En MAC-adresse er skam ganske overskrivelig. Det er forekommet flere gange - som sagt, folk har ligefrem taget gateway'ens MAC og givet os massive problemer... Og selvfølgelig var gatewayen tændt i forvejen... :-)
#12: Ja, til en hvis grænse. Problemet er at vi ikke har nogen regler for hvor mange enheder man må tilslutte sin port - og sådan kan vi lide det. Hvis folk vil smide en switch på og lade deres stationære, bærbare, medieserver, PS3, Xbox og IP-telefon stå på vores net, skal de være velkomne.
(P.S.: CAM er et gammelt udtryk - de hedder bare Mac-address-table på de fleste nyere switche, som kan ses ved f.eks. Cisco: show mac-address-table | include .....)
#14: Det kan man, jo, med 802.1X, så vidt jeg mindes. Men det er ikke understøttet i div. nyere OS'er... :-)
#11: Wrong. :-)
En MAC-adresse er skam ganske overskrivelig. Det er forekommet flere gange - som sagt, folk har ligefrem taget gateway'ens MAC og givet os massive problemer... Og selvfølgelig var gatewayen tændt i forvejen... :-)
#12: Ja, til en hvis grænse. Problemet er at vi ikke har nogen regler for hvor mange enheder man må tilslutte sin port - og sådan kan vi lide det. Hvis folk vil smide en switch på og lade deres stationære, bærbare, medieserver, PS3, Xbox og IP-telefon stå på vores net, skal de være velkomne.
(P.S.: CAM er et gammelt udtryk - de hedder bare Mac-address-table på de fleste nyere switche, som kan ses ved f.eks. Cisco: show mac-address-table | include .....)
#14: Det kan man, jo, med 802.1X, så vidt jeg mindes. Men det er ikke understøttet i div. nyere OS'er... :-)
#17
Hvor mange VLANS er det nu man kan route uden stoerre problemer ? ;)
Hvor mange lejligheder er det? :P
Jeg ville nok proeve at loese det med VLANS og samle det i en router der var lidt mere striks med hvilke MAC adresser der kom hvorfra.
Det er sgu en skidt opgave ellers.. Alternativt skal i levere en router af en art til hvert vaerelse, men det giver jo saa ogsaa boevl :/
Hvis i har routere ude ved hver 'sektion' eller managed switche, kan i maaske finde en maade at blackliste traffice indkommende fra port "vaerelse 51340" som har oprindelses MAC fra liste "servere og ting der ikke maa spoofes".
Saa kan de kun spoofe hinanden, men saa koster udstyret nok en del :D
#12: Ja, til en hvis grænse. Problemet er at vi ikke har nogen regler for hvor mange enheder man må tilslutte sin port - og sådan kan vi lide det. Hvis folk vil smide en switch på og lade deres stationære, bærbare, medieserver, PS3, Xbox og IP-telefon stå på vores net, skal de være velkomne.
Hvor mange VLANS er det nu man kan route uden stoerre problemer ? ;)
Hvor mange lejligheder er det? :P
Jeg ville nok proeve at loese det med VLANS og samle det i en router der var lidt mere striks med hvilke MAC adresser der kom hvorfra.
Det er sgu en skidt opgave ellers.. Alternativt skal i levere en router af en art til hvert vaerelse, men det giver jo saa ogsaa boevl :/
Hvis i har routere ude ved hver 'sektion' eller managed switche, kan i maaske finde en maade at blackliste traffice indkommende fra port "vaerelse 51340" som har oprindelses MAC fra liste "servere og ting der ikke maa spoofes".
Saa kan de kun spoofe hinanden, men saa koster udstyret nok en del :D
#21: Så fordi en switch benytter en speciel type hukommelse, kaldet CAM, hvori dens MAC address tabel ligger, så kalder man denne for CAM og ikke MAC address tabel?
Hvis CAM havde været udtryk for specifikt en switchs MAC tabel, så ville jeg være enig, men efter at have læst op på det, kan jeg ikke være enig.
Hvis CAM havde været udtryk for specifikt en switchs MAC tabel, så ville jeg være enig, men efter at have læst op på det, kan jeg ikke være enig.
#25: Nej, egentlig ikke. Cisco best practice er også maksimalt 40 VLANs. :-)
Men de vil så også smide en distributionsswitch (L3) ud på hvert kollegie, for at terminere VLANs... Og bruge ca. 3 millioner på en langt dyrere løsning, der giver en meget lille øgelse i funktionalitet. :-P
Men de vil så også smide en distributionsswitch (L3) ud på hvert kollegie, for at terminere VLANs... Og bruge ca. 3 millioner på en langt dyrere løsning, der giver en meget lille øgelse i funktionalitet. :-P
#20
Don't use HP ? :D
Mener ikke Cisco har nogen begraensning paa antal af VLANs, fx.
Selvom jeg normalt holder mig langt fra Cisco, saa er de vel rimeligt skraeddersyede til jeres stoerrelse af netvaerk ? ;)
Hmm.. I kunne lave junction-points hvor trafik filtreres igennem en lidt mere avanceret router.
Det kan jo fx bare vaere en random linux install med iptables ellers noget BSD med pf. (pf <3)
Hvis i har 1000 vaerelser er de vel delt op i "sale", "etager" eller noget lignende?
Men det kommer jo saa lidt an paa hvad i tilbyder af hastighed, hvis alle skal have gigabit bliver det ligepludselig en rimeligt hardcore server der skal til :P
#26
Det er kun fordi de segmenterer ret voldsomt.
Praecis, det ville jeg ogsaa goere hvis jeg var jer.
Maaske ikke lige med Cisco, men saa med whatever andet udstyr der kan faaes for penge og ikke din foerste foedte soen :)
Saa er det jo bare et spoergsmaal om, hvorvidt i skal bruge mere end 1Gbit uplink til hvert segment :)
Mjah, hvis i havde startet med Cisco, havde den samlede pris ikke vaeret saa meget hoejere, men det er nemt at vaere bagklog og det er nemt at anbefale en loesning i ikke har brug for :P
Anbefalede maks VLAN: Omkring 40.
Værelser: 1000+
Konklussion: Glem det. :-P
Don't use HP ? :D
Mener ikke Cisco har nogen begraensning paa antal af VLANs, fx.
Selvom jeg normalt holder mig langt fra Cisco, saa er de vel rimeligt skraeddersyede til jeres stoerrelse af netvaerk ? ;)
Vi har managed switche, men de kan ikke blackliste traffik fra porte baseret på hvad oprindelses MAC'en ikke må være.
Hmm.. I kunne lave junction-points hvor trafik filtreres igennem en lidt mere avanceret router.
Det kan jo fx bare vaere en random linux install med iptables ellers noget BSD med pf. (pf <3)
Hvis i har 1000 vaerelser er de vel delt op i "sale", "etager" eller noget lignende?
Men det kommer jo saa lidt an paa hvad i tilbyder af hastighed, hvis alle skal have gigabit bliver det ligepludselig en rimeligt hardcore server der skal til :P
#26
Nej, egentlig ikke. Cisco best practice er også maksimalt 40 VLANs. :-)
Det er kun fordi de segmenterer ret voldsomt.
Men de vil så også smide en distributionsswitch (L3) ud på hvert kollegie, for at terminere VLANs...
Praecis, det ville jeg ogsaa goere hvis jeg var jer.
Maaske ikke lige med Cisco, men saa med whatever andet udstyr der kan faaes for penge og ikke din foerste foedte soen :)
Saa er det jo bare et spoergsmaal om, hvorvidt i skal bruge mere end 1Gbit uplink til hvert segment :)
Og bruge ca. 3 millioner på en langt dyrere løsning, der giver en meget lille øgelse i funktionalitet. :-P
Mjah, hvis i havde startet med Cisco, havde den samlede pris ikke vaeret saa meget hoejere, men det er nemt at vaere bagklog og det er nemt at anbefale en loesning i ikke har brug for :P
ZiN (26) skrev:#25: Nej, egentlig ikke. Cisco best practice er også maksimalt 40 VLANs. :-)
Men de vil så også smide en distributionsswitch (L3) ud på hvert kollegie, for at terminere VLANs... Og bruge ca. 3 millioner på en langt dyrere løsning, der giver en meget lille øgelse i funktionalitet. :-P
Hmm... den begrænsning i best practice har jeg ikke hørt om før. Og det var så heller ikke noget vi brugte i det hosting firma hvor jeg har siddet i netværksgruppen.
fidomuh (27) skrev:#20
Don't use HP ? :D
Mener ikke Cisco har nogen begraensning paa antal af VLANs, fx.
Selvom jeg normalt holder mig langt fra Cisco, saa er de vel rimeligt skraeddersyede til jeres stoerrelse af netvaerk ? ;)
Når man først har prøvet cisco netværks udstyr vil man ikke gå tilbage til Dell netværksudstyr eller andet af samme kvalitet eller mangel på på samme :p
#28
Det staar vist et sted i "Datakommunikation" monstrositeten, fra teknisk skole.
Jeg husker det i hvert fald godt :)
#29
Har vi ikke haft den her debat foer? Noget med "Behov" og "Pris" kommer til mine tanker? :P
Men altsaa, det eneste jeg har imod Cisco, er prisen og IOS.
IOS er unoedvendigt dumt og besvaerligt. Med deres management tools er det en del mere brugbart, men prisen er stadig ufatteligt hamper.
22k ex. moms for den mindste cisco router der kunne klare VPN med over 30Mbit? (Og den klarer stadig kun omkring 60-70Mbit....)
Men jeg er ogsaa saa naerig som en gammel dansker der koeber ludere i Thailand. :P
Hmm... den begrænsning i best practice har jeg ikke hørt om før.
Det staar vist et sted i "Datakommunikation" monstrositeten, fra teknisk skole.
Jeg husker det i hvert fald godt :)
#29
Når man først har prøvet cisco netværks udstyr vil man ikke gå tilbage til Dell netværksudstyr eller andet af samme kvalitet eller mangel på på samme :p
Har vi ikke haft den her debat foer? Noget med "Behov" og "Pris" kommer til mine tanker? :P
Men altsaa, det eneste jeg har imod Cisco, er prisen og IOS.
IOS er unoedvendigt dumt og besvaerligt. Med deres management tools er det en del mere brugbart, men prisen er stadig ufatteligt hamper.
22k ex. moms for den mindste cisco router der kunne klare VPN med over 30Mbit? (Og den klarer stadig kun omkring 60-70Mbit....)
Men jeg er ogsaa saa naerig som en gammel dansker der koeber ludere i Thailand. :P
fidomuh (30) skrev:
Har vi ikke haft den her debat foer? Noget med "Behov" og "Pris" kommer til mine tanker? :P
Men altsaa, det eneste jeg har imod Cisco, er prisen og IOS.
IOS er unoedvendigt dumt og besvaerligt. Med deres management tools er det en del mere brugbart, men prisen er stadig ufatteligt hamper.
22k ex. moms for den mindste cisco router der kunne klare VPN med over 30Mbit? (Og den klarer stadig kun omkring 60-70Mbit....)
Men jeg er ogsaa saa naerig som en gammel dansker der koeber ludere i Thailand. :P
Jamen kan man nøjes med en skoda er der da ingen grund til at købe den dyrere men ganske lækre Aston Martin.
Hvad er der nu galt med IOS? Man kunne jo også tage en opel (her HP) og bruge et webinterface. Men igen er det stadig ikke helt på samme niveau med Aston Martin'en.
#31
Exactly :)
Mange ting, men umiddelbart generer det mig mest, fordi det er saa 'irriterende' at bruge, naar man betaler saa mange penge for det.
Cisco har faktisk et UI til config, hvor du kan lave det meste, saa det er primaert prisen der generer mig :P
Jamen kan man nøjes med en skoda er der da ingen grund til at købe den dyrere men ganske lækre Aston Martin.
Exactly :)
Hvad er der nu galt med IOS?
Mange ting, men umiddelbart generer det mig mest, fordi det er saa 'irriterende' at bruge, naar man betaler saa mange penge for det.
Man kunne jo også tage en opel (her HP) og bruge et webinterface. Men igen er det stadig ikke helt på samme niveau med Aston Martin'en.
Cisco har faktisk et UI til config, hvor du kan lave det meste, saa det er primaert prisen der generer mig :P
fidomuh (32) skrev:
Mange ting, men umiddelbart generer det mig mest, fordi det er saa 'irriterende' at bruge, naar man betaler saa mange penge for det.
Jeg bliver nødt til at spørge igen... Hvad er det der er galt med IOS? Er det for svært for dig?
Cisco har faktisk et UI til config, hvor du kan lave det meste, saa det er primaert prisen der generer mig.
Jeg går ud fra at du mener det program der er bygget på java? Jeg må indrømme at jeg aldrig har brugt det andet end til en simpel test hvor jeg ikke havde det nødvendige udstyr men bare skulle bruge en config.
Jeg vil til stadighed foretrække en cli fremfor den konfigurator ting du taler om.
#33
Ingen history, copy/paste fungerer af roev, ingen tab-completion, etc.
Der er for mange ting imo burde vaere bedre.
Dermed ikke sagt at det er decideret daarligt, det er bare irriterende at arbejde med.
Not likely.
Det er nogenlunde min erfaring med det ogsaa, jeg bruger altid CLi anyway, naar vi snakker Cisco, pointen var bare at det er der :)
(Og det er faktisk udemaerket til stoerre udrulninger af configs, da det er nemt at spejle config og tilpasse det til de andre segmenter heri)
Me 2, jeg bliver bare ufatteligt irriteret hver gang jeg bruger IOS.
Det samme bliver jeg dog med Dells forsoeg paa IOS :P
Jeg bliver nødt til at spørge igen... Hvad er det der er galt med IOS?
Ingen history, copy/paste fungerer af roev, ingen tab-completion, etc.
Der er for mange ting imo burde vaere bedre.
Dermed ikke sagt at det er decideret daarligt, det er bare irriterende at arbejde med.
Er det for svært for dig?
Not likely.
Jeg går ud fra at du mener det program der er bygget på java? Jeg må indrømme at jeg aldrig har brugt det andet end til en simpel test hvor jeg ikke havde det nødvendige udstyr men bare skulle bruge en config.
Det er nogenlunde min erfaring med det ogsaa, jeg bruger altid CLi anyway, naar vi snakker Cisco, pointen var bare at det er der :)
(Og det er faktisk udemaerket til stoerre udrulninger af configs, da det er nemt at spejle config og tilpasse det til de andre segmenter heri)
Jeg vil til stadighed foretrække en cli fremfor den konfigurator ting du taler om.
Me 2, jeg bliver bare ufatteligt irriteret hver gang jeg bruger IOS.
Det samme bliver jeg dog med Dells forsoeg paa IOS :P
fidomuh (34) skrev:#33
Ingen history, copy/paste fungerer af roev, ingen tab-completion, etc.
Der er for mange ting imo burde vaere bedre.
Dermed ikke sagt at det er decideret daarligt, det er bare irriterende at arbejde med.
Er du sikker på at du ikke blander noget sammen? Der er tab-completion i IOS. Jeg har så heller aldrig har problemer med c/p. Men det kan jo skyldes forskellige ting.
Er det for svært for dig?
Not likely.
Når man så på at du nævnte deres gui config kunne det sagtens være tilfældet. :)
Det er nogenlunde min erfaring med det ogsaa, jeg bruger altid CLi anyway, naar vi snakker Cisco, pointen var bare at det er der :)
(Og det er faktisk udemaerket til stoerre udrulninger af configs, da det er nemt at spejle config og tilpasse det til de andre segmenter heri)
Jeg har iøvrigt set det brugt af en netværksgruppe. Til min store overraskelse havde de valgt at bruge gui'en istedet for cli til administration af deres cisco udstyr.
Me 2, jeg bliver bare ufatteligt irriteret hver gang jeg bruger IOS.
Det samme bliver jeg dog med Dells forsoeg paa IOS :P
Jeg har aldrig rørt ved en dell switch. Men med de historier jeg har hørt om Dell netværks udstyr og mine egne erfaringer med andet dell udstyr forventer jeg at det forbliver sådan.
#35
JEg har kun minderne fra sidst jeg rodede med IOS - og det er laenge siden ;)
Ja, det er nemmere at lave config paa 1 i CLI og saa bruge GUI'et til at fikse bredere udrulning :)
Er du sikker på at du ikke blander noget sammen? Der er tab-completion i IOS. Jeg har så heller aldrig har problemer med c/p. Men det kan jo skyldes forskellige ting.
JEg har kun minderne fra sidst jeg rodede med IOS - og det er laenge siden ;)
Til min store overraskelse havde de valgt at bruge gui'en istedet for cli til administration af deres cisco udstyr.
Ja, det er nemmere at lave config paa 1 i CLI og saa bruge GUI'et til at fikse bredere udrulning :)
#28: Der er ingen teknisk begrænsning men du bør aldrig route mere end 40 VLANs af gangen grundet routing tabel - de bliver ganske enkelt kæmpestore - som du nok kan forstille dig. :-)
#29: Nu er jeg temmelig ferm med Cisco udstyr og jeg har intet imod at bruge HP. Lidt ligesom jeg ikke har noget imod at bruge Linux, selvom mit arbejde og uddannelse hovedsageligt har været i Windows... :-)
Cisco mod HP er en gammel sag; Cisco har features, IOS (som jeg elsker), TCL, og super god service. HP har pris (HP har ofte højere throughput / DKK end Cisco).
Kollegierne har ikke brug for features, service, TCL eller IOS, så HP er fint. :-)
#30: Vi har en 3550 til 7500 DKK stående, der router 250 Mbps for os uden problemer. :-)
#32: SDM skal dø. DØ SIGER JEG DIG.
#34:
Hold op med at bruge andet end PuTTy til remote config. Console: Slå SSH til post-haste og brug PuTTy. :D
#29: Nu er jeg temmelig ferm med Cisco udstyr og jeg har intet imod at bruge HP. Lidt ligesom jeg ikke har noget imod at bruge Linux, selvom mit arbejde og uddannelse hovedsageligt har været i Windows... :-)
Cisco mod HP er en gammel sag; Cisco har features, IOS (som jeg elsker), TCL, og super god service. HP har pris (HP har ofte højere throughput / DKK end Cisco).
Kollegierne har ikke brug for features, service, TCL eller IOS, så HP er fint. :-)
#30: Vi har en 3550 til 7500 DKK stående, der router 250 Mbps for os uden problemer. :-)
#32: SDM skal dø. DØ SIGER JEG DIG.
#34:
Ingen history, copy/paste fungerer af roev, ingen tab-completion, etc.
Der er for mange ting imo burde vaere bedre.
Hold op med at bruge andet end PuTTy til remote config. Console: Slå SSH til post-haste og brug PuTTy. :D
fidomuh (36) skrev:#35
JEg har kun minderne fra sidst jeg rodede med IOS - og det er laenge siden ;)
Bevares det er også ved at være noget tid siden jeg sidst havde fingerne i en cisco config men den gang havde de altså både c/p og tabcompletion. Så du må finde noget andet at brokke dig over ved IOS. :p
Ja, det er nemmere at lave config paa 1 i CLI og saa bruge GUI'et til at fikse bredere udrulning :)
Nja det er jeg nu ikke nødvendigvis enig med dig i. En nifty lille ting som en tftp server kan også klare jobbet fint uden brug af deres config program.
ZiN (37) skrev:#28: Der er ingen teknisk begrænsning men du bør aldrig route mere end 40 VLANs af gangen grundet routing tabel - de bliver ganske enkelt kæmpestore - som du nok kan forstille dig. :-)
Det afhænger åbenbart af udstyret man gør det på. Det er måske fordi vi brugte cat6500 bokse at det ikke var noget problem?
#29: Nu er jeg temmelig ferm med Cisco udstyr og jeg har intet imod at bruge HP. Lidt ligesom jeg ikke har noget imod at bruge Linux, selvom mit arbejde og uddannelse hovedsageligt har været i Windows... :-)
Cisco mod HP er en gammel sag; Cisco har features, IOS (som jeg elsker), TCL, og super god service. HP har pris (HP har ofte højere throughput / DKK end Cisco).
Kollegierne har ikke brug for features, service, TCL eller IOS, så HP er fint. :-)
På trods af at jeg i min metafor brugte Opel som navn for HP har jeg intet imod at arbejde med det. Jeg finder det bare bøvlet og langsomt at arbejde med når man skal bruge en browser istedet for cli.
#32: SDM skal dø. DØ SIGER JEG DIG.
Med mit ringe kendskab til SDM er jeg enig.
#37
Over IPSEC? I think not.
Vi faar ikke engang 100MBit ud af vores 38-something, som er brand new og kostede 21k.
(Vi har den faktisk kun som uplink til Metro Int., hvor den leger VPN-gateway og UDP filter. ...)
Min arbejdscomputer kan ikke koere Putty :(
#38
Det kunne ogsaa vaere jeg bare skulle tage mig sammen og bruge det snart, saa jeg kan genopfriske hvorfor jeg ikke kan lide det - eller blive overrasket og konvertere til Cisco fanatiker :D
Tjah, den kan lave remote config, i et gui hvor du kan se et map af alt dit cisco udstyr.
Imo er det en del nemmere at rulle ud paa "meget" udstyr, ifht. at skulle remote-boote alt og soerge for at de faar ligepraecis den rigtige config.
Jow, spoergsmaalet er mere hvad der klarer opgaven nemmest - ikke om det kan klare paa anden vis.
I det tilfaelde kunne du jo ogsaa bare spamme config ud direkte i en SSH session til cisco'erne, det er sgu ligefoer jeg ville foretraekke det ifht. tftp :P
Vi har en 3550 til 7500 DKK stående, der router 250 Mbps for os uden problemer. :-)
Over IPSEC? I think not.
Vi faar ikke engang 100MBit ud af vores 38-something, som er brand new og kostede 21k.
(Vi har den faktisk kun som uplink til Metro Int., hvor den leger VPN-gateway og UDP filter. ...)
Hold op med at bruge andet end PuTTy til remote config. Console: Slå SSH til post-haste og brug PuTTy. :D
Min arbejdscomputer kan ikke koere Putty :(
#38
Bevares det er også ved at være noget tid siden jeg sidst havde fingerne i en cisco config men den gang havde de altså både c/p og tabcompletion. Så du må finde noget andet at brokke dig over ved IOS. :p
Det kunne ogsaa vaere jeg bare skulle tage mig sammen og bruge det snart, saa jeg kan genopfriske hvorfor jeg ikke kan lide det - eller blive overrasket og konvertere til Cisco fanatiker :D
Nja det er jeg nu ikke nødvendigvis enig med dig i.
Tjah, den kan lave remote config, i et gui hvor du kan se et map af alt dit cisco udstyr.
Imo er det en del nemmere at rulle ud paa "meget" udstyr, ifht. at skulle remote-boote alt og soerge for at de faar ligepraecis den rigtige config.
En nifty lille ting som en tftp server kan også klare jobbet fint uden brug af deres config program.
Jow, spoergsmaalet er mere hvad der klarer opgaven nemmest - ikke om det kan klare paa anden vis.
I det tilfaelde kunne du jo ogsaa bare spamme config ud direkte i en SSH session til cisco'erne, det er sgu ligefoer jeg ville foretraekke det ifht. tftp :P
#39: Det er ganske muligt at Cat6500 bokse som distributionsenheder løser problemet, men det er ikke ligefrem noget jeg har erfaring med - de er ikke just i et kollegies budget. :D
HP Procurve 4200-serier, 2800-serier, 9300-serier og (er jeg ret sikker på) temmelig meget alle andre har et ganske fint CLI. :-)
På trods af at jeg i min metafor brugte Opel som navn for HP har jeg intet imod at arbejde med det. Jeg finder det bare bøvlet og langsomt at arbejde med når man skal bruge en browser istedet for cli.
HP Procurve 4200-serier, 2800-serier, 9300-serier og (er jeg ret sikker på) temmelig meget alle andre har et ganske fint CLI. :-)
fidomuh (40) skrev:
Det kunne ogsaa vaere jeg bare skulle tage mig sammen og bruge det snart, saa jeg kan genopfriske hvorfor jeg ikke kan lide det - eller blive overrasket og konvertere til Cisco fanatiker :D
Det afhænger jo af dit budget... Det er fandens dyrt at køre cisco over hele linjen. Man kunne jo også se på juniper. Det skulle eftersigende være på højde med cisco. Bare billigere.
Tjah, den kan lave remote config, i et gui hvor du kan se et map af alt dit cisco udstyr.
Imo er det en del nemmere at rulle ud paa "meget" udstyr, ifht. at skulle remote-boote alt og soerge for at de faar ligepraecis den rigtige config.
Jeg har som nævnt meget begrænset erfaring med deres gui værktøj. Hvorvidt det er lettere afhænger jo også af om man skal have samme config ud på samme udstyr. Hvilket vi jo ofte skulle i et hosting center.
Jow, spoergsmaalet er mere hvad der klarer opgaven nemmest - ikke om det kan klare paa anden vis.
I det tilfaelde kunne du jo ogsaa bare spamme config ud direkte i en SSH session til cisco'erne, det er sgu ligefoer jeg ville foretraekke det ifht. tftp :P
Det afhænger jo helt af opgaven. Når vi satte nye bladeenclosures op skulle alle 4 switches jo have samme configs som i andre enclosures. Det eneste der skulle laves om var et dns navn og ip adresser. Vlans blev lavet når de enkelte blades skulle tages i brug. Så alle vlans var som standard trunket til nærmeste dist switch men ikke i brug. I det tilfælde har man fra før min tid vurderet at det var lettere at rulle en config på via tftp.
ZiN (41) skrev:#39: Det er ganske muligt at Cat6500 bokse som distributionsenheder løser problemet, men det er ikke ligefrem noget jeg har erfaring med - de er ikke just i et kollegies budget. :D
Vi gjorde det også på mindre udstyr men de store dist switches var cat6500 bokse. Dejligt men fandens dyrt legetøj.
HP Procurve 4200-serier, 2800-serier, 9300-serier og (er jeg ret sikker på) temmelig meget alle andre har et ganske fint CLI. :-)
Det skal retfærdigvis nævnes at jeg ikke har roddet meget med nyere HP udstyr. Det eneste HP udstyr jeg har adgang til iøjeblikket er et AP (HP 420) med en så nogenlunde cli og et webinterface. Det meste kan klares fra cli men jeg savner lidt IOS når jeg sidder med deres cli.
#42
Juniper er faktisk ogsaa det vi kigger paa herude lige PT, som alternativ til Cisco internationalt.
Af en eller anden aarsag SKAL vi have en 20k+ cisco box staaende i aarhus, for at 3 mand kan komme paa vores VPN.. Sigh :)
Helt klart :)
Hmm.. Fair nok :)
Dengang var der vel heller ikke et gui? :P
Men altsaa, hvis config er saa ens som ved udrulning af blades, saa giver det vel fint mening.. Fordelen i gui'et er at du kan lave din netvaerksplan deri og saa ruller den bare config ud for dig :)
Det afhænger jo af dit budget... Det er fandens dyrt at køre cisco over hele linjen. Man kunne jo også se på juniper. Det skulle eftersigende være på højde med cisco. Bare billigere.
Juniper er faktisk ogsaa det vi kigger paa herude lige PT, som alternativ til Cisco internationalt.
Af en eller anden aarsag SKAL vi have en 20k+ cisco box staaende i aarhus, for at 3 mand kan komme paa vores VPN.. Sigh :)
Det afhænger jo helt af opgaven.
Helt klart :)
Når vi satte nye bladeenclosures op skulle alle 4 switches jo have samme configs som i andre enclosures. Det eneste der skulle laves om var et dns navn og ip adresser. Vlans blev lavet når de enkelte blades skulle tages i brug. Så alle vlans var som standard trunket til nærmeste dist switch men ikke i brug. I det tilfælde har man fra før min tid vurderet at det var lettere at rulle en config på via tftp.
Hmm.. Fair nok :)
Dengang var der vel heller ikke et gui? :P
Men altsaa, hvis config er saa ens som ved udrulning af blades, saa giver det vel fint mening.. Fordelen i gui'et er at du kan lave din netvaerksplan deri og saa ruller den bare config ud for dig :)
fidomuh (44) skrev:#42
Juniper er faktisk ogsaa det vi kigger paa herude lige PT, som alternativ til Cisco internationalt.
Af en eller anden aarsag SKAL vi have en 20k+ cisco box staaende i aarhus, for at 3 mand kan komme paa vores VPN.. Sigh :)
Så ville jeg mene at det ville være snedigere hvis man gav dem en software vpn klient. Det er væsentlig billigere end 20k
Hmm.. Fair nok :)
Dengang var der vel heller ikke et gui? :P
Det skal jeg lade være usagt.
Men altsaa, hvis config er saa ens som ved udrulning af blades, saa giver det vel fint mening.. Fordelen i gui'et er at du kan lave din netvaerksplan deri og saa ruller den bare config ud for dig :)
Det kan være med til at skabe overblik ja. Men hvor god den er til at lave configs ved jeg ikke. Kan man oprette og navngive vlans? Kan man lave trunking af vlans i gui halløjet? Osv :)
#45
Myeah, MISA siger bare GFY naar jeg foreslaar saadan nogle logiske ting. Nix du, saa er man ikke velkommen i Metro Int. netvaerket :(
Saavidt jeg husker, ja.
Mener endda at man kan scripte noget af det, saa den selv kan goere det ud fra templates :)
Så ville jeg mene at det ville være snedigere hvis man gav dem en software vpn klient. Det er væsentlig billigere end 20k
Myeah, MISA siger bare GFY naar jeg foreslaar saadan nogle logiske ting. Nix du, saa er man ikke velkommen i Metro Int. netvaerket :(
Det kan være med til at skabe overblik ja. Men hvor god den er til at lave configs ved jeg ikke. Kan man oprette og navngive vlans? Kan man lave trunking af vlans i gui halløjet? Osv :)
Saavidt jeg husker, ja.
Mener endda at man kan scripte noget af det, saa den selv kan goere det ud fra templates :)
fidomuh (46) skrev:
Myeah, MISA siger bare GFY naar jeg foreslaar saadan nogle logiske ting. Nix du, saa er man ikke velkommen i Metro Int. netvaerket :(
Her skal du tænke på at hvis de autonome it afdelinger får lov til at tænke logisk så vil behovet for den centrale it afdeling muligvis forsvinde. Du må aldrig undervurdere chefen for den centrale it afdelings lyst til at beholde sit arbejde.
Saavidt jeg husker, ja.
Mener endda at man kan scripte noget af det, saa den selv kan goere det ud fra templates :)
Hvis jeg alligevel skal scripte kan jeg jo lige så godt gøre det uden gui'en. En anden ting som vi brugte en del var at oprette det samme vlan (navn og vlan #) på flere switches. Til brug i et esx cluster er det også muligt i gui halløjet? Som du kan se så har jeg vitterlig ikke brugt det meget :)
fidomuh (48) skrev:#47
Der er tilfaelde hvor CLi er langt bedre, og omvendt :)
Bestemt enig. Gui'en kan uden tvivl være med til at skabe overblik hvis man ikke har en opdateret netværkstegning med vlans og hvad har vi.
Noget helt andet er hvor langt er i med jeres bestræbelser på juniper siden?
#49
Omtrent saa langt som "GFY" svaret fra MISA :P
Ej, vi kigger lidt paa det i ny og nae, mest naar vi skal skifte en switch eller lignende. Vi skal have noget andet backbone end vores Dell layer 3 switch "snart", saa det er nok starten :)
Noget helt andet er hvor langt er i med jeres bestræbelser på juniper siden?
Omtrent saa langt som "GFY" svaret fra MISA :P
Ej, vi kigger lidt paa det i ny og nae, mest naar vi skal skifte en switch eller lignende. Vi skal have noget andet backbone end vores Dell layer 3 switch "snart", saa det er nok starten :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund