[slava007]

IPSec, ели нужна аутентификация, то RADIUS

[kim-aa]

RasKolbas,

1) Протокол ответственный за аутентификацию называется 802.1x
Он основан на применении сертификатов с открытым ключом, по которым и аутентифицируются хосты.
Данный функционал должен поддерживаться коммутатором.
Не управляемые и дешевые коммутаторы такого не умеют.
С сервером аутентификации коммутаторы обычно связываются по протоколу RADIUS

2) В чистом виде 802.1x сейчас не применяют (т.к. это протокол, а не продукт).
Сейчас существует группа технологий под названием NAC (Network Access Control) - обычно они объединяют и 802.1x и технологию управления шлюзом по умолчанию.
Реализуются или в виде программно-аппаратного комплекса и/или в виде расширения для корпоративных антивирусов

Пример:
http://eval.symantec.com/mktginfo/en...09-3.en-us.pdf

3) Шифрование непосредственно в Ethernet не реализовано за ненадобностью.
Проще всего шифровать на уровне IPSec.

4) Так же для ваших задач можно применять технологии типа PPPoE
Вероятно это единственный выход в случае дешевого сетевого оборудования.
Именно по этому данный протокол так любят провайдеры

[RasKolbas]

Я могу конечно использовать PPPoE. Вводишь пароль, создаётся ppp-соединение и на компьютере поднимается виртуальный ppp-интерфейс. Неизвестный, не знающий пароля таким образом на сервер не попадёт. Можно и без ppp - просто прописать в фаерволе сервера правила с фильтрацией по MAK-адресам - тоже неизвестный не пройдёт. Но в обоих случаях ничто не запретит клиентам обмениваться сообщениями друг с другом, а моя цель как раз защитить клиентские компьютеры, а не сервер. Вобщем раз уж шифрование трафика на которое я так надеялся в ethernet оказывается не реализовано, то какие ещё могут быть варианты?

[slava007]

vlan+ купить управляемый коммутаторы настроить акцес порты на фильтрацию по мак адресам. в таком случае к вам никто, кроме известных вам компов, в сеть не попадет. прямого шифрования l2 на сколько я знаю не существует.

[RasKolbas]

Не так давно читал статьи про VLAN. Он поддерживается на управляемых коммутаторах и компьютерах с *nix. Принцып в том, что ко всем пакетам добавляется vlan-метка, а управляемый коммутатор настроивается так, что он будет сбрасывать на канальном уровне все пакеты, идущие без меток, таким образом компьютер не включённый во VLAN не то что информацию, даже ответа на пинг получить не сможет. А вот вопрос, операционные системы класса WINDOWS vlan поддерживают?

[slava007]

Цитата RasKolbas:

сбрасывать на канальном уровне все пакеты »

немного не так. коммутатор будет отправлять фреймы на все назначенные этому vlan интерфейсы и в транк интерфейсы(им тоже можно назначить пропуск определенных vlan'ов)

Цитата RasKolbas:

А вот вопрос, операционные системы класса WINDOWS vlan поддерживают? »

vlan поддерживают сетевые карты и соответственно их дравера(это имеет смысл, только если сетевая карта используется как транк, тоесть к ней должны поступать фреймы со всех vlan'ов находящимся в транке.

[RasKolbas]

Цитата slava007:

немного не так. коммутатор будет отправлять фреймы на все назначенные этому vlan интерфейсы и в транк интерфейсы(им тоже можно назначить пропуск определенных vlan'ов) »

Перечитал статью про VLAN (http://xgu.ru/wiki/VLAN). Да, действительно неправильно выразился, не пакеты, а фреймы потому что канальный уровень.
Нахождение хостов в разных вланах равносильно подключению их к разным несоединенным друг с другом коммутаторам.
Но небольшие вопросы есть:
1) Если порт 2 на коммутаторе сконфигурирован как access-порт с VLAN2, то хост A, подключённый к этому порту окажется в VLAN2. А если к порту через неуправляемый коммутатор будут подключены хосты A, B и C, то все они окажутся в VLAN2?
2)Тегированый трафик идёт через trunk-порты. Длина кабеля, соединяющей trunk-порты, может быть какой угодно длинной. Что будет, если нарушитель врежется в разрыв этого кабеля? Трафик же тегируется, а не шифруется и никто не мешает нарушителю, установив управляемый коммутатор и перебрав все возможные номера VLAN от 2 до 1001, получить доступ к сети.
3)Всё вышесказанное относится к высокопроизводительным коммутаторам CISCO или совместимым с ними HP и DLINK, стоимостью свыше 20000р. А если мне и 8 портов коммутатора достаточно будет, вот например D-link DES-2108 стоимостью 2 010 руб, такой подойдёт?
4)Если вместо коммутатора я беру компьютер с GNU/Linux я получаю теже возможность или ограниченые? Я вот не пойму если у меня (дистрибутив Debian) в /etc/network/interfaces прописано:

Код:

auto lo eth0.2 eth1

iface lo inet loopback

iface eth0.2 inet manual
   vlan_raw_device eth0

iface eth1 inet manual

это означает что интерфейс eth0 работает как trunk-порт или как accsess-порт?

[slava007]

RasKolbas,
1. да
2.

Цитата RasKolbas:

Длина кабеля, соединяющей trunk-порты, может быть какой угодно длинной »

http://ru.wikipedia.org/wiki/Ethernet

Цитата RasKolbas:

установив управляемый коммутатор и перебрав все возможные номера VLAN от 2 до 1001, получить доступ к сети. »

imho если правильно настроить протокол VTP этих проблем можно избежать. можно также воспользоваться системами безопасности портов(в cisco например port-security)
3. да. также есть маршрутизатор dir-100 который легко перешивается в управляемый свич. собственно говоря вопрос только в фичах, естественно у коммутаторов cisco их больше(rtfm).
4. беря GNU/Linux вы получаете как минимум маршрутизатор.

Цитата RasKolbas:

это означает что интерфейс eth0 работает как trunk-порт или как accsess-порт? »

это значит, что к интерфейсу eth0 относится сабинтерфейс eth0.2 который принадлежит соотв. vlan'у.
http://xgu.ru/wiki/vlan/debian короче это типа интерфейс eth0 транк, а eth0.2 соответствующей ему vlan