Dekui uz patarimus.
Radau komutatoriuje galimybe porta priristi tiesiogiai prie konkretaus MAC.
Manau tai visiskai ispres mano mineta problema.






"Vasaris" <none@none.none> wrote in message 
news:icgqcj$pi9$1@trimpas.omnitel.net...
> "Salas" <salas@freemail.lt> wrote in message 
> news:icgb2d$5am$1@trimpas.omnitel.net...
>> Butent kad nebus galimybiu visikai panaikinti everyone/authenticated
>> leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius reikia
>> ideti labai daug darbo, ir vistiek islieka galimybe palikti kaskokia 
>> skyle,
>> arba atvirksciai, dedant apsaugas sutrikdyti normalu darba.
>
> O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius "per-port on 
> behalf of the port-owner"?
> Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai.
>
> Mano požiūriu, skylių itin daug čia nėra.
>
>> Taip pat islieka
>> didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors
>> administratorius neivertins esamos konfiguracijos, ir pamirs si aspekta, 
>> del
>> tokiu acountu.
>
> Nepamirš, jei bus tvarkinga dokumentacija.
>
>> Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai kvailas. 
>> Jau
>> geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti 
>> konkretu
>> MAC adresa.
>
> O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po 
> komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P
>
>> Taip pat priverstinai reikai isjungti Password complexity galimybe visame
>> domene
>
> Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, suvesti 
> slaptažodžiai ir vėl įjungtas. Nes jis galioja tik slaptažodžio pirminio 
> nustatymo/keitimo metu, bet niekaip netikrinamas logon'o metu ir 
> atmetamas, jei per paprastas - tai neįmanoma nei techniškai, nei tuo 
> labiau kriptografiškai logiškai.
>
>> Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, jei 
>> pvz
>
> Tinklo dydis visiškai neturi jokios reikšmės. Turi tik "swiching/routing 
> fabric capacity". Paprastai tarp klientų ir tarp serverių, ir tuo labiau - 
> periferijos jis būna gausiai neišnaudotas.
>
>> 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, esanti 
>> tame
>> paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius komutatorius, 
>> per
>> firewall'a ir paskui tais paciais komutatatoriais atgal i spausdintuva.
>
> Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo topologiją 
> ar kitas charakteristikas.
> Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB turbūt 
> nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių portų vieno 
> komutatoriaus atžvilgiu?
> Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) 
> atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia 
> virtualizacija - pasidaryti našią programinę ugniasienę su velniažin kiek 
> branduolių, atminties ir tinklo pralaidos, kas galiausiai susiveda į 
> filtravimo pralaidumą - juokų darbas.