Nieuw netwerk: 4000 users, wat voor authenticatie?

donderdag 18 april 2002 22:25

kweet niet of het al zo is gemeld maar waarom geen secure poorten.

Dit houdt in dat de switch de eerste keer elk mac adres accepteert maar de volgende keer alleen maar het mac adres van de eerste keer accepteert. Het mac adres is dan alleen maar in te zetten op die specifieke poort en kan nergens anders aan gehangen te worden dus spoofing lijkt me in deze geen probleem meer.

Verder wat betreft beheerstaken, het enige wat gedaan moet kunnen worden is een poort resetten zodat ie weer in freestatus staat zodat er weer 1 keer geconnect kan worden om het nieuwe mac adres te authenticeren.

Voordeel hiervan is o.a. dat elk os kan, gebruiker gewoon zijn pc kan vervangen alleen netwerkkaart overzetten en het is een grotendeelse hardware oplossing

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:20 schreef ghostrdr01 het volgende:
kweet niet of het al zo is gemeld maar waarom geen secure poorten.

Dit houdt in dat de switch de eerste keer elk mac adres accepteert maar de volgende keer alleen maar het mac adres van de eerste keer accepteert. Het mac adres is dan alleen maar in te zetten op die specifieke poort en kan nergens anders aan gehangen te worden dus spoofing lijkt me in deze geen probleem meer.

Verder wat betreft beheerstaken, het enige wat gedaan moet kunnen worden is een poort resetten zodat ie weer in freestatus staat zodat er weer 1 keer geconnect kan worden om het nieuwe mac adres te authenticeren.

Voordeel hiervan is o.a. dat elk os kan, gebruiker gewoon zijn pc kan vervangen alleen netwerkkaart overzetten.

en alweer een mooie bijdrage

En dit is gewoon in te stellen op de switch?
Daarme bedoel ik (ff heel simpel gezegd) telnet opzetten, bovenstaande configureren met standaard commando's en klaar? of moet dit beheerd worden met een stukje software?

(Als ik teveel vraag moet je het zeggen

Ik wil graag met gefundeerde ideëen aankomen)

donderdag 18 april 2002 22:30

Acties:

donderdag 18 april 2002 22:33

Op donderdag 18 april 2002 22:25 schreef Chieltjuh het volgende:

[..]

en alweer een mooie bijdrage

En dit is gewoon in te stellen op de switch?
Daarme bedoel ik (ff heel simpel gezegd) telnet opzetten, bovenstaande configureren met standaard commando's en klaar? of moet dit beheerd worden met een stukje software?

(Als ik teveel vraag moet je het zeggen Ik wil graag met gefundeerde ideëen aankomen)

Ik geloof dat dit inderdaad via telnet op de switch werkt. Hoe het precies werkt kan mischien door een cisco guru hier vertelt worden dat weet ik helaas niet, ik weet wel dat dit op mijn werk zo ingericht is ( Werk bij een middelgrote bank waar security wel een issue is ) en dat het voor dit soort dingen prima functioneert.

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:30 schreef ghostrdr01 het volgende:

[..]

Ik geloof dat dit inderdaad via telnet op de switch werkt. Hoe het precies werkt kan mischien door een cisco guru hier vertelt worden dat weet ik helaas niet, ik weet wel dat dit op mijn werk zo ingericht is ( Werk bij een middelgrote bank waar security wel een issue is ) en dat het voor dit soort dingen prima functioneert.

mooi zo.. thankx! En doe geen moeite hoor.. Ik hoef de boel niet in te gaan regelen. Ik zit puur in het overleg op adviesbasis (beleid/IT), vanuit de huurdersbelangen.
Het leek er echter op dat de uitvoerders een beetje vastzaten wb dit authenticatieverhaaltje. Ik denk dat ik ze, dankzij jullie, wel weer van wat stof tot nadenken kan voor zien

donderdag 18 april 2002 22:33

Acties:

Arioch

<geek>

* Arioch denkt aan LDAP op een linux of als het niet anders kan een winblows servertje

donderdag 18 april 2002 22:38

Acties:

donderdag 18 april 2002 22:40

Op donderdag 18 april 2002 22:33 schreef Bl4cKH4T het volgende:
* Ghost(NL) denkt aan LDAP op een linux of als het niet anders kan een winblows servertje

Hoe zie je dat dan als ik vragen mag ? als ik het goed begrijp wil de topic starter een manier om fysieke toegang tot het netwerk te kunnen authenticeren, niet op software niveau oid...

Of is er een manier om dit via LDAP te regelen wat ik niet weet, ben nml wel leergierig

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:38 schreef ghostrdr01 het volgende:

[..]

Hoe zie je dat dan als ik vragen mag ? als ik het goed begrijp wil de topic starter een manier om fysieke toegang tot het netwerk te kunnen authenticeren, niet op software niveau oid...

Of is er een manier om dit via LDAP te regelen wat ik niet weet, ben nml wel leergierig

/me vraagt zich dat ook af
Ik ben nu ff
http://www.umich.edu/~dirsvcs/ldap/doc/rfc/rfc1777.txt
aan het lezen. Wie weet zit er wel wat in.

/edit: Gaat me bij nader inzien toch een beetje ver

Wie weet wil Bl4cKH4T wat toelichting geven

donderdag 18 april 2002 22:42

Acties:

donderdag 18 april 2002 22:44

Voor zover mijn kennis reikt is LDAP een mechanisme om een directory service op te zetten waarbinnen allerlei objecten zijn opgeslagen varierend van pc's tot printers tot users geordend in organizational units, sites of andere soorten van verzamelingen.....

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

donderdag 18 april 2002 22:44

Niet geheel ontopic:

waarom doet Surfnet daar moeilijk over??

Ik ken hier (Groningen) genoeg mensen die al lang niet meer studeren en nog elke dag genieten van hun heerlijke verbinding....

Het is overigens welzo dat je hier ingeschreven moet staan bij HBO of uni om in deze flats te komen tegenwoordig.

En iedereen z'n mac adres is aan z'n ip gebonden.

Acties:

Verwijderd

sproggle denkt aan vlan's over het netwerk, ip's die niet over een poort geswitched worden kunnen ook niet geabused worden en als je via een leuk systeem per woning of zelfs per aansluiting IP's kan toewijzen dan zal het worst zijn of iemand spoofed of niet want zijn verkeer wordt gewoon niet geaccepteerd.

donderdag 18 april 2002 22:47

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:42 schreef ghostrdr01 het volgende:
Voor zover mijn kennis reikt is LDAP een mechanisme om een directory service op te zetten waarbinnen allerlei objecten zijn opgeslagen varierend van pc's tot printers tot users geordend in organizational units, sites of andere soorten van verzamelingen.....

Ja zoiets ja, geloof ik ook.. maar ook applicaties als een soort OU, die dan via een TCP request door de LDAP uitgevoerd worden. hmm.. niet echt van toepassing op wat wij willen (en waarschijnlijk ook een beetje omslachtig)

donderdag 18 april 2002 22:49

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:44 schreef Azrael het volgende:
Niet geheel ontopic:

waarom doet Surfnet daar moeilijk over??

Ik ken hier (Groningen) genoeg mensen die al lang niet meer studeren en nog elke dag genieten van hun heerlijke verbinding....

Klopt. Ze doen er ook NOG niet moeilijk over, maar Surfnet heeft wel aangegeven dat ze in de (nabije) toekomst wat strikter willen gaan zijn in wie ze toelaten.
Surfnet investeert op dit moment enorm in haar infrastructuur. Ze heeft een netwerk dat tot de beste van de wereld behoort. En wil dientengevolge dan ook (begrijpelijk) dat niet gerechtigden daar ook geen gebruik van mogen maken.

donderdag 18 april 2002 22:50

Acties:

Verwijderd

Gerbuik gewoon VLAN's
Elke poort op de switchs is dan toegekend aan een gebruiker. En de switchs weet bij welke VLAN die poort hoort.

Dan kan de student zelf nog andere apparatuur aan het netwerk hangen.

donderdag 18 april 2002 22:56

Acties:

donderdag 18 april 2002 22:59

Als ik alles ff op een rijtje zet is dan dit wat je wil:

- Je wilt ervoor zorgen dat alleen een bepaalde groep mensen fysieke toegang heeft tot het netwerk.

- Je wilt binnen die groep een onderverdeling maken voor bepaalde isp's, een logische toegang imho.

- Je wilt dit het liefst in hardware opgelost zien ? --> refererend aan je stelling dat de beheerstaken tot het minimum beperkt moeten blijven.

Om dan meteen maar een aanzet te geven tot een mogelijke oplossing:

- Punt 1 los je op met de secure switch poorten.
- Punt 2 zou je dmv vlan's kunnen oplossen, voor elke isp een vlan
- Punt 3 is een gevolg ervan als je dit met een goede uitgebreide switch doet, de enige beheertaken die je hebt, zijn:

- het toevoegen/verwijderen van een poort uit een vlan, dit zou je evt. ook fysiek kunnen patchen op een patchpanel.
- Het resetten van een poort ivm nieuwe klant cq nieuwe netwerkkaart.

Als ik nog iets vergeten ben brand dan los

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

donderdag 18 april 2002 23:01

Op donderdag 18 april 2002 22:49 schreef Chieltjuh het volgende:

[..]

Klopt. Ze doen er ook NOG niet moeilijk over, maar Surfnet heeft wel aangegeven dat ze in de (nabije) toekomst wat strikter willen gaan zijn in wie ze toelaten.
Surfnet investeert op dit moment enorm in haar infrastructuur. Ze heeft een netwerk dat tot de beste van de wereld behoort. En wil dientengevolge dan ook (begrijpelijk) dat niet gerechtigden daar ook geen gebruik van mogen maken.

aha, ok, dat is mogelijk.

4000 gebruikers is natuurlijk ook best wel veel, maar ja, wat is misbruik he...

Studenten kunnen er evengoed misbruik van maken, logisch haast met zo'n snelle verbinding.

Lijkt me ook dat je alleen toegang krijgt als je student bent, maar ja, wie ben ik, er zal wel over nagedacht zijn door de deskundigen

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:56 schreef ghostrdr01 het volgende:
Als ik alles ff op een rijtje zet is dan dit wat je wil:

- Je wilt ervoor zorgen dat alleen een bepaalde groep mensen fysieke toegang heeft tot het netwerk.

>> Zoiets. Iedereen mag in principe toegang (maar dit moet ook uitgeschakeld kunne zijn) Maar mag niks faken. Dus evt. 'illegale' praktijken moeten ALTIJD tot de betreffende gebruiker zijn te herleiden

- Je wilt binnen die groep een onderverdeling maken voor bepaalde isp's, een logische toegang imho.

>>Die optie moet iig later beschikbaar worden, dus ja, meteen implementeren is wel zo slim

- Je wilt dit het liefst in hardware opgelost zien ? --> refererend aan je stelling dat de beheerstaken tot het minimum beperkt moeten blijven.

graag! dank u!

Om dan meteen maar een aanzet te geven tot een mogelijke oplossing:

- Punt 1 los je op met de secure switch poorten.
- Punt 2 zou je dmv vlan's kunnen oplossen, voor elke isp een vlan
- Punt 3 is een gevolg ervan als je dit met een goede uitgebreide switch doet, de enige beheertaken die je hebt, zijn:

- het toevoegen/verwijderen van een poort uit een vlan, dit zou je evt. ook fysiek kunnen patchen op een patchpanel.
- Het resetten van een poort ivm nieuwe klant cq nieuwe netwerkkaart.

Als ik nog iets vergeten ben brand dan los

brand!

nee. ziet er goed uit zo. Ik begin een redelij kcompleet plaatje te krijgen van een goede oplossing. Ik denk dat ik de URL van dit topic maar eens ga door mailen aan de verantwoordelijke van het UCI. thnx!

donderdag 18 april 2002 23:03

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 22:59 schreef Azrael het volgende:

[..]

aha, ok, dat is mogelijk.

4000 gebruikers is natuurlijk ook best wel veel, maar ja, wat is misbruik he...

Studenten kunnen er evengoed misbruik van maken, logisch haast met zo'n snelle verbinding.

Lijkt me ook dat je alleen toegang krijgt als je student bent, maar ja, wie ben ik, er zal wel over nagedacht zijn door de deskundigen

Tuurlijk ook studenten kunnen misbruik maken van zo'n verbinding, daarom moet het ook logbaar zijn. Het gaat er alleen om dat Surfnet gaat zeggen: Prima, ook niet Universitaire studenten mogen toegang (tot de nieuwe ringleiding), alleen niet tot Surfnet, dus moeten wij kunnen routeren naar alternatieve ISP's. That's all

donderdag 18 april 2002 23:05

Acties:

donderdag 18 april 2002 23:09

>> Zoiets. Iedereen mag in principe toegang (maar dit moet ook uitgeschakeld kunne zijn) Maar mag niks faken. Dus evt. 'illegale' praktijken moeten ALTIJD tot de betreffende gebruiker zijn te herleiden

Dmv secure poorten kun je misbruik in ieder geval herleiden tot een poort, dus in principe tot een gebruiker.

Wil je dit dichter hebben dan zul je een proxy of firewall met userauthenticatie oid moeten inregelen maar dan gaat je minimum aan beheerstaken eraan

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 23:05 schreef ghostrdr01 het volgende:

[..]

Dmv secure poorten kun je misbruik in ieder geval herleiden tot een poort, dus in principe tot een gebruiker.

Wil je dit dichter hebben dan zul je een proxy of firewall met userauthenticatie oid moeten inregelen maar dan gaat je minimum aan beheerstaken eraan

Dat eerste lijkt me IMHO ook voldoende, zeker als ik je vertel dat bij de tweede optie ivm de throughputeisen van 8Gbit, 8 firewalls met 1 Gbit throughput geplaatst moeten worden, je financieel een beetje ziekjes wordt

donderdag 18 april 2002 23:10

Acties:

donderdag 18 april 2002 23:12

Op donderdag 18 april 2002 23:09 schreef Chieltjuh het volgende:

[..]

Dat eerste lijkt me IMHO ook voldoende, zeker als ik je vertel dat bij de tweede optie ivm de throughputeisen van 8Gbit, 8 firewalls met 1 Gbit throughput geplaatst moeten worden, je financieel een beetje ziekjes wordt

Absoluut waar, wel snel en stoer

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

donderdag 18 april 2002 23:13

Op donderdag 18 april 2002 23:03 schreef Chieltjuh het volgende:

[..]

Tuurlijk ook studenten kunnen misbruik maken van zo'n verbinding, daarom moet het ook logbaar zijn. Het gaat er alleen om dat Surfnet gaat zeggen: Prima, ook niet Universitaire studenten mogen toegang (tot de nieuwe ringleiding), alleen niet tot Surfnet, dus moeten wij kunnen routeren naar alternatieve ISP's. That's all

Ooh, is dat alles...
waarom moeilijk doen als het makkelijk kan, laat die mensen dan gewoon niet op die ringleiding, waarom zouden ze daar toegang op moeten hebben in vredesnaam

Jullie willen ze toch weer naar een andere ISP doorsluizen...

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 23:10 schreef ghostrdr01 het volgende:

[..]

Absoluut waar, wel snel en stoer

een factor 10 in de kosten weegt denk ik niet op tegen de stoerigheid. Laat ik het zo zeggen: Als ik ze vertel dat ze maar 10x zoveel poen moeten neertellen, omdat dat stoer is, ben ik denk ik mijn geloofwaardigheid een beetje kwijt

donderdag 18 april 2002 23:16

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 23:12 schreef Azrael het volgende:

[..]

Ooh, is dat alles...
waarom moeilijk doen als het makkelijk kan, laat die mensen dan gewoon niet op die ringleiding, waarom zouden ze daar toegang op moeten hebben in vredesnaam

Jullie willen ze toch weer naar een andere ISP doorsluizen...

Omdat die ringleiding speciaal voor 'ons' is aangelegd.

sorry, kon je niet weten

De ringleiding is aangelegd om alle Studentencomplexen in Nijmegen überhaupt ergens op aan te kunnen sluiten. Die ringleiding wordt vervolgens 'ergens' gekoppeld met het Surfnet. Op deze koppeling moet dus uiteindelijk gefilterd kunnen worden. snappie-vous?

/edit: Maar, ik ga slapieslapie. Alvast bedankt voor je meedenken allen. Ik lees morgen nog wel eventuele reacties.
Ik laat anders sowieso wel via dit topique weten of jullie bijdrages nuttig zijn geweest (voor mij iig wel. heb weer een hoop geleerd

donderdag 18 april 2002 23:18

Acties:

Verwijderd

Topicstarter

/dubbel

donderdag 18 april 2002 23:29

Acties:

donderdag 18 april 2002 23:56

Op donderdag 18 april 2002 23:16 schreef Chieltjuh het volgende:

[..]

Omdat die ringleiding speciaal voor 'ons' is aangelegd.

sorry, kon je niet weten

De ringleiding is aangelegd om alle Studentencomplexen in Nijmegen überhaupt ergens op aan te kunnen sluiten. Die ringleiding wordt vervolgens 'ergens' gekoppeld met het Surfnet. Op deze koppeling moet dus uiteindelijk gefilterd kunnen worden. snappie-vous?

Uhm, maar wie zijn "ons" dan?

Ik neem toch aan dat daar de studenten mee bedoeld worden, of zie ik dat verkeerd?

Het is toch niet een soort gemeentelijke kabel die wordt aangelegd?

Dan lijkt me dat je je klanten ook aan de poort kunt selecteren...

Acties:

rtgo

Lemmus Lemmus

"ons" zijn de bewoners van panden van de SSHN. Daar zitten ook niet-studenten bij.

Life of a Lemmus Total Hardware 1999

vrijdag 19 april 2002 02:44

Acties:

Coen Rosdorff

Wat je uiteindelijk wil is iemand zijn ip adres opgeven ivm met routering naar isp X, en je wil aan de hand van een ip adres vast stellen welke gebruiker erbij hoort ivm abuse.

Voor beide zaken kom je denk ik al snel bij PPPoE uit. (Of een ander soort tunnel)
IP-adressen uitgeven met dhcp aan de hand van het mac zegt immers niets, omdat iemand zijn ip ook hard kan instellen. Als iemand een ip adres hard instelt, dan kan je nooit nagaan wie dat adres heeft gebruikt om misbruik te maken (moeilijke zin dit

)

URT klinkt trouwens als het gateway systeem wat MXstream vroeger had. (KPN gebruikt toen nog enkel cisco) Veel mensen hebben daar nog boze dromen over.

vrijdag 19 april 2002 07:34

Acties:

Verwijderd

Topicstarter

Op donderdag 18 april 2002 23:29 schreef Azrael het volgende:

[..]

Uhm, maar wie zijn "ons" dan?

Ik neem toch aan dat daar de studenten mee bedoeld worden, of zie ik dat verkeerd?

Het is toch niet een soort gemeentelijke kabel die wordt aangelegd?

Dan lijkt me dat je je klanten ook aan de poort kunt selecteren...

SSHN ism de KUN en de HAN financieren het plaatje, dus ja, je hebt een ringleiding dwars door Nijmoland, die particulier is.

Op vrijdag 19 april 2002 02:44 schreef little_soundman het volgende:
Wat je uiteindelijk wil is iemand zijn ip adres opgeven ivm met routering naar isp X, en je wil aan de hand van een ip adres vast stellen welke gebruiker erbij hoort ivm abuse.

Voor beide zaken kom je denk ik al snel bij PPPoE uit. (Of een ander soort tunnel)
IP-adressen uitgeven met dhcp aan de hand van het mac zegt immers niets, omdat iemand zijn ip ook hard kan instellen. Als iemand een ip adres hard instelt, dan kan je nooit nagaan wie dat adres heeft gebruikt om misbruik te maken (moeilijke zin dit )

URT klinkt trouwens als het gateway systeem wat MXstream vroeger had. (KPN gebruikt toen nog enkel cisco) Veel mensen hebben daar nog boze dromen over.

Het wordt een vrij statische omgeving met half-maandelijkse mutaties. Waarschijnlijk worden wel IP-adressen middels DHCP uitgedeeld, maar deze worden dan meteen gekoppeld aan het MAC en de Poort op de Switch, welke dan dus eigenlijk statisch worden. Ik denk dat dit het maximaal controleerbare is.

Heb je nachtmerries over ciscospullen? achhh

Ik heb geen idee of het hetzelfde is. Ik heb nog wel een leuk docutje erover. zel 'm ff sharen voor de geïnteresseerden.
http://www.minervaplaats.cx/~michiel/CiscoSecureURT_DS.pdf

vrijdag 19 april 2002 10:10

Acties:

Rukapul

Dit wordt trouwens een nogal forse investering wbt hardware en dan is het toch eigenlijk treurig dat er zo op de kosten bezuinigd wordt.

Gezien de aparatuur die je nodig hebt is het verstandig om bij meerdere leveranciers offertes te vragen voor de switches enzo. Het is onverstandig om direct er vanuit te gaan dat het allemaal cisco moet worden (kwam die naam vaak tegen in het verhaal). Met name de switches zullen wat geavanceerder moeten worden dan de huis-tuin-en-keuken switch

vrijdag 19 april 2002 10:25

Acties:

Verwijderd

ik kwam ook nog een leuk stukje software tegen

misschien dat jij hier iets mee kan?

http://www.dyband.com/products/prodInfo/index.htm

Dyband, an intelligent IP traffic management solution, measures and controls the bandwidth usage of individuals and groups, allowing ISPs to control aggressive users, minimize network congestion, reduce packet loss, and eliminate congestion-related outages. By efficiently managing existing bandwidth, service providers can add more subscribers to the current Internet backbone connection, minimizing network costs.

*Houd dus traffic in de gate enzo.. Kan je niet-studenten limiten op bijvoorbeeld 100 kb/s en de rest gewoon vol laten blazen.

Dyband maintains a moving 24-hour window of statistics for each managed object. Reports on "Top 10" users, based on operator-defined criteria, provide real-time visibility into who is consuming bandwidth. In addition to displaying these statistics in real time, Dyband can store the statistics in any ODBC database for later reporting and analysis. This facilitates capacity planning, well-timed provisioning, usage-based billing, and customer and technical services.

Daarmee kan je weer de personen waarschuwen die een paar honderd GB per week doen.. Doen ze in twente ook. 15 gb upload is nu de max geloof ik. Maar je kan nog rustig 150 doen. Maar dat is een ander verhaal

Hier in Delft was geloof ik het plan om met je collegekaart in te moeten loggen. Niet-studenten vallen dan automatisch buiten de boot.. Koppel student aan kamer en fraude is ook nagenoeg onmogelijk. Nadeel zou misschien zijn dat je 4000 chiplezers ofzo moet hebben.

vrijdag 19 april 2002 10:29

Acties:

mavink

Ik denk dat beveiliging op bases van MAC-adres op de switchpoorten maar een deel van het verhaal is.

Omdat je een deel "surfnet-gebruikers" met Surfnet-IP's hebt, en een deel die IP's uit de reeks van een andere provider krijgt, zal je het beste ook met VLAN's kunnen gaan werken.

Verkeer voor die twee groepen wordt dan echt helemaal gescheiden.

vrijdag 19 april 2002 10:35

Acties:

joosd

hoe ga het mac verhaal inpassen bij mensen die meerdere pc's op 1 kamer hebben (die willen nogal eens wisselen van macadres) en dan heb je wel veel onderhoudt of gedonder, proxy lijkt mij slimmer aan de hand van kamer en straatnaam en nummers,

vrijdag 19 april 2002 10:41

Acties:

TrailBlazer

Karnemelk FTW

Mischien heb ik er overheen gelezen. Maar als je inderdaad mac/poort combinatie doet kan je ook een DHCP server gebruiken die IP's uitdeelt aan de hand van MAC Adres. Dan weet je altijd wie wat doet.
Als er een onbepekdn mac adres op de poort komt poort laten shutten en 5 euro vragen om te unshutten volgende keer 10 euro enzovoort leren ze het wel af om te kloten

vrijdag 19 april 2002 10:45

Acties:

TrailBlazer

Karnemelk FTW

Op donderdag 18 april 2002 19:12 schreef Chieltjuh het volgende:

[..]

Ook hier volslagen mee eens (mooi hè, het met elkaar eens zijn )
Maarrrrrr... sja, dan moet er iemand zitten die MAC adresjes gaat bijhouden.. en dat kost tijd en geld

Ja tuurlijk kost dit tijd en geld maar denk je dat een netwerk van 4000 man altijd probleemloos loopt daar moet je in in vesteren. Desnoods maak je een ingenieus progje wat dmv van een webapplicatie users in staat stelt zijn MAC adres te wijzigen dat scheelt al een hoop werk. Uiteraadr in beperkte mate. Meer dan een keer per week vind ik verdacht

vrijdag 19 april 2002 10:59

Acties:

vrijdag 19 april 2002 13:21

In Delft hebben wij de randvoorwaarde van verkeersscheiding die SURFnet stelt ook gehad, met een aantal aanvullende randvoorwaarden. Zo moest onderling verkeer in de complexen ook kunnen zonder dat het over de centrale router ging, moesten er voorzieningen zijn voor mobiele werkplekken en voor meerdere werkplekken achter 1 poort.

Toendertijd heeft de Stichting OnLine Internet, een studentenstichting die ook belangenbehartiging op ICT gebied bij de TU Delft doet, een advies uitgebracht waarin een aantal van deze randvoorwaarden zijn gedefinieerd. Misschien heb je er wat aan om duidelijk tegen het UCI te kunnen zeggen wat je wil, en vooral wat je niet wil.

Acties:

Verwijderd

Topicstarter

Op vrijdag 19 april 2002 10:10 schreef Rukapul het volgende:
Dit wordt trouwens een nogal forse investering wbt hardware en dan is het toch eigenlijk treurig dat er zo op de kosten bezuinigd wordt. [...]

Klopt, er komen ook geavanceerde switches hoor. Het idd een behoorlijke investering, maar hij mag niet te groot worden, omdat in principe een grrot deel van de kosten zullen worden verhaald op de huurders, middels verhoging van de servicekosten. Dit mag een niet te zware woonlastverhoging worden.

Op vrijdag 19 april 2002 10:25 schreef lothar het volgende:
ik kwam ook nog een leuk stukje software tegen misschien dat jij hier iets mee kan?

http://www.dyband.com/products/prodInfo/index.htm

ziet er idd leuk uit, echter het is te uitgebreid. Het moet eenvoudig, 1 x configureren en alleen veranderen bij mutaties. Een simpele logfile die excessieve traffic naar boven brengt moet voldoende zijn.
m.a.w. er zit mag geen actief(ve) beheer(der) achter zitten.
E.e.a. zal worden gemonitord door het UCI.

Op vrijdag 19 april 2002 10:35 schreef joosd het volgende:
hoe ga het mac verhaal inpassen bij mensen die meerdere pc's op 1 kamer hebben (die willen nogal eens wisselen van macadres) en dan heb je wel veel onderhoudt of gedonder, proxy lijkt mij slimmer aan de hand van kamer en straatnaam en nummers,

Om het maar even heel simpel te zeggen: Die hebben dan pech gehad

Dat zijn dingen waar we geen rekening mee kunnen en willen houden. We bieden internettoegang en geen scala aan mogelijkheden. Ik denk dat de bezitter van meerdere PC's toch wel in de categorie valt dat ie weet hoe hij NAT moet opzetten.

Ik weet niet of dit systeem straks actief wordt verboden, maar feitelijk kun je er toch niks aan doen, en ach zolang het niet hinderend is... Soit!

Op vrijdag 19 april 2002 10:41 schreef TrailBlazer het volgende:
Mischien heb ik er overheen gelezen. Maar als je inderdaad mac/poort combinatie doet kan je ook een DHCP server gebruiken die IP's uitdeelt aan de hand van MAC Adres. Dan weet je altijd wie wat doet.
Als er een onbepekdn mac adres op de poort komt poort laten shutten en 5 euro vragen om te unshutten volgende keer 10 euro enzovoort leren ze het wel af om te kloten

Dat eerste deel was zo ongeveer al langsgeweest.

Dat geld-ideetje klinkt wel aardig

Op vrijdag 19 april 2002 10:45 schreef TrailBlazer het volgende:

[..]

Ja tuurlijk kost dit tijd en geld maar denk je dat een netwerk van 4000 man altijd probleemloos loopt daar moet je in in vesteren. Desnoods maak je een ingenieus progje wat dmv van een webapplicatie users in staat stelt zijn MAC adres te wijzigen dat scheelt al een hoop werk. Uiteraadr in beperkte mate. Meer dan een keer per week vind ik verdacht

Ik denk dat je je moet afvragen of je deze mogelijk ter beschikking WILT stellen aan gebruikers....

Op vrijdag 19 april 2002 10:59 schreef jochemd het volgende:
In Delft hebben wij de randvoorwaarde van verkeersscheiding die SURFnet stelt ook gehad, met een aantal aanvullende randvoorwaarden. Zo moest onderling verkeer in de complexen ook kunnen zonder dat het over de centrale router ging, moesten er voorzieningen zijn voor mobiele werkplekken en voor meerdere werkplekken achter 1 poort.

[..enz..]

dank voor de linkjes. De randvoorwaarden zijn al ontwikkeld en is al over beslist. Ze zijn redelijk overeenkomstig Delft, moet ik zeggen. Het gaat echt om de technische implementatie van het authenticatieverhaal.
Toch bedankt

---

Ik denk dat ik nu al een heel aardig verhaal bij elkaar heb, dankzij jullie. Eens kijken of het UCI er iets mee kan.

vrijdag 19 april 2002 13:55

Acties:

Verwijderd

Proxy's, LDAP, RADIUS, DHCP bla bla is allemaal geen oplossing, deze dingen zijn in een ethernet netwerk eenvoudig te overriden of te omzeilen.

Ook portssecurity of MAC adres aan een poort bieden schiet niet op, mensen hangen er een switch of een hub aan of wisselen hun desktop aansluiting met hun laptop en daar begint het gedonder: leg een psychology studente maar eens uit dat haar MAC Adress alleen maar in dat gat van de muur wordt geaccepteerd

Zoals ik eerder zei in dit topic: VLAN's, dan boeit het verder niet wat mensen aansluiten op het poortje in hun kamer en of ze wel IP ze zelf instellen, MAC's spoofen etc. Ze hebben namelijk maar beschikking over een beperkt aantal IP nummers of mischien zelfs maar 1.

Het zal alleen een heel georganiseer zijn om voor 4000 studenten de VLAN's te moeten beheren maar er zullen ongetwijfeld wel tools voor zijn die dit flink kunnen vereenvoudigen.

vrijdag 19 april 2002 14:13

Acties:

vrijdag 19 april 2002 15:51

Op vrijdag 19 april 2002 13:21 schreef Chieltjuh het volgende:

Een simpele logfile die excessieve traffic naar boven brengt moet voldoende zijn.

Wat weer de leuke vraag oplevert wat excessive traffic is. Temeer daar het UCI heeft aangegeven geen datalimiet te willen hanteren.

Om het maar even heel simpel te zeggen: Die hebben dan pech gehad Dat zijn dingen waar we geen rekening mee kunnen en willen houden. We bieden internettoegang en geen scala aan mogelijkheden. Ik denk dat de bezitter van meerdere PC's toch wel in de categorie valt dat ie weet hoe hij NAT moet opzetten.

Waarom beperk je je hier tot PC's? In dat zelfde document staat dat het UCI met VoIP aan de slag wil. Het lijkt me dan dat je toch rekening moet houden dat mensen hardwarematige VoIP toestellen hebben. En ik kan zonder enige technische kennis best een desktop, laptop en internet-radio hebben (vroeger had ik dat zelf, inmiddels pretendeer ik die technische kennis wel te hebben).

Het gaat echt om de technische implementatie van het authenticatieverhaal.

Het is mij nog steeds niet helemaal duidelijk wat je precies wil authenticeren. De gebruiker, de computer of de switchpoort waar het hele zakje aan hangt?

Ik zou gaan voor het laatste: IEEE 802.1X (Port Based Access Control). Client zit standaard in XP, en er bestaat een GPL client voor Linux. Het werkt samen met Radius, en dus met de bestaande authenticatiestructuur van SURFnet Thuis. Kan je ook studenten/medewerkers van andere instelling naadloos authenticeren.
Iedereen in een standaard VLAN dat het pand niet uit komt en switch iemand zodra die zich geauthenticeerd heeft in een ander VLAN. Vereist wel dat de switrches 802.1X ondersteunen en enig idee hebben van laag 3 protocollen, zodat je niet alsnog al het interne verkeer over 1 punt jaagt.

Kijk ook eens naar de documenten m.b.t. dit vraagstuk zoals die door SURFnet zelf zijn geschreven.

Acties:

TrailBlazer

Karnemelk FTW

Op vrijdag 19 april 2002 13:55 schreef sproggle het volgende:
Ook portssecurity of MAC adres aan een poort bieden schiet niet op, mensen hangen er een switch of een hub aan of wisselen hun desktop aansluiting met hun laptop en daar begint het gedonder: leg een psychology studente maar eens uit dat haar MAC Adress alleen maar in dat gat van de muur wordt geaccepteerd

Heel simpel
Jij een computer aansluiten alleen die computer geen andere. Alleen die begrepen dus alleen die. Anders niet meer werken en geld kosten waarom daarom doei

vrijdag 19 april 2002 16:47

Acties:

Verwijderd

Op vrijdag 19 april 2002 15:51 schreef TrailBlazer het volgende:
Jij een computer aansluiten alleen die computer geen andere. Alleen die begrepen dus alleen die. Anders niet meer werken en geld kosten waarom daarom doei

Oh sorry ik dacht dat er een goed en degelijk netwerk moest komen maar jij wil er een soort casema netwerk van maken met de support van een chello-helpdesk?

vrijdag 19 april 2002 20:38

Acties:

Verwijderd

100% zeker LDAP. LDAP is voor dit soort situaties gemaakt itt. iets als MySQL; LDAP is sneller in dit geval. Je kunt erg makkelijk LDAP integreren voor je services dmv. een plugin. Er zijn LDAP plugins voor o.a. smtpd, pop3d, sshd, imapd, httpd, ftpd, smbd en ga zo maar door, waarbij ik wil opmerken dat niet elke daemon het support. Dat zeg ik er even bij voor het geval je email oid. wilt aanbieden: dat kan met LDAP accounts.

En het leukste: er is ook LDAP support voor radiusd.

vrijdag 19 april 2002 22:52

Acties:

_Arthur

blub

Voor de mensen die meerdere pc's willen gebruiken. Neem als extra service een simpele router op. Zoals bv een DraytekVigor2000e. Deze heeft gewoon het toegestane mac adres en de gebruiker achter het routertje kan 4pcs/e.d. aansluiten mbv NAT. Moet genoeg zijn lijkt me.

vrijdag 19 april 2002 23:25

Acties:

vrijdag 19 april 2002 23:37

Op vrijdag 19 april 2002 22:52 schreef _Arthur het volgende:
Voor de mensen die meerdere pc's willen gebruiken. Neem als extra service een simpele router op. Zoals bv een DraytekVigor2000e. Deze heeft gewoon het toegestane mac adres en de gebruiker achter het routertje kan 4pcs/e.d. aansluiten mbv NAT. Moet genoeg zijn lijkt me.

Tuurlijk. Help je meteen al je leuke features zoals multicast met IGMP snooping om zeep. En features zoals VoIP functioneren ook wat minder goed als je er meerdere achter een aansluiting wil hebben.

SURFnet heeft absoluut geen tekort aan IP adressen. Dan ga je toch niet met allerlei oplossingen als NAT werken. Ik heb trouwens ooit op de SURFnet website gezien dat NAT ongewenst is.

Acties:

Verwijderd

Pff moeilijk hoor...

Je hebt switches... Ondersteunen voor zulke netwerken zeker SNMP, elk switch poortje geef je een nummer:

switch A poortnummer 1 = lelystraat 2
switch A poortnummer 2 = lelystraat 4
switch B poortnummer 4 = willemstraat 8

bijvoorbeeld he? Dan pak je een simpele linux doos en laat daar mooie mrtg grafiekjes van draaien. Met een zeer kleine SQL database en een php script wat elke dag van de logfiles van mrtg het preciese verbruik meet, en zet in dat een script een mailer die mailt naar de aangewezen beheerder als switch X met poortnummer X over zijn dagelijkse limiet heen is of als het gebruik een lange tijd een piek heeft gehad bv boven de 60 mbit twee uur continu.

Vrij simpel dus. Helemaal geen authenticatie nodig. Het is even de infra bepalen. Dan de bak installeren met de nodige scripts. En elke poort heb je al van te voren bepaald dus dat veranderd nooit.

Zeg je van dit is teveel werk dan is elke andere oplossing meer werk. Of je wilt niets meten.

Deze oplossing rulez. En is vrijwel gewoon erg goedkoop. Een 3com met 24 poorten (3300 XM) kost maar 700 euro. En een simpele bak (p3 1,0 ghz met een dikke schijf) kost ook geen drol. Tadaaa!

vrijdag 19 april 2002 23:52

Acties:

zaterdag 20 april 2002 00:12

[b]Deze oplossing rulez. En is vrijwel gewoon erg goedkoop. Een 3com met 24 poorten (3300 XM) kost maar 700 euro. En een simpele bak (p3 1,0 ghz met een dikke schijf) kost ook geen drol. Tadaaa!

Dat goedkoop valt nog wel te bezien omdat het hier om 4000 aansluitingen gaat, dat betekent 4000 / 24 = minimaal 167 switches a 700 euro het stuk is 117.000 euro

dus dat feest gaat niet op

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:25

Op vrijdag 19 april 2002 20:38 schreef dystopia het volgende:
100% zeker LDAP. LDAP is voor dit soort situaties gemaakt itt. iets als MySQL; LDAP is sneller in dit geval. Je kunt erg makkelijk LDAP integreren voor je services dmv. een plugin. Er zijn LDAP plugins voor o.a. smtpd, pop3d, sshd, imapd, httpd, ftpd, smbd en ga zo maar door, waarbij ik wil opmerken dat niet elke daemon het support. Dat zeg ik er even bij voor het geval je email oid. wilt aanbieden: dat kan met LDAP accounts.

En het leukste: er is ook LDAP support voor radiusd.

Sorry hoor maar om even alle LDAP fans op weg te helpen... LDAP staat voor Lightweight Directory Access Protocol wat draait op TCP/IP. Er wordt gevraagd om een fysieke toegangsblokkering tot het netwerk, niet om een software matige authenticatie. LDAP is een protocol welke een nieuwe dimensie geeft aan het fenomeen domeinen. LDAP is dus geen oplossing.

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:29

Overtuigd Dipsomaan

Op vrijdag 19 april 2002 23:52 schreef ghostrdr01 het volgende:

[..]

Dat goedkoop valt nog wel te bezien omdat het hier om 4000 aansluitingen gaat, dat betekent 4000 / 24 = minimaal 167 switches a 700 euro het stuk is 117.000 euro dus dat feest gaat niet op

Tja.. Als je Hardware level Access Control wilt doen, kom je toch in de ddurdere ranges switches (cisco 3524? of 3548). Dus voor 4000 poorten is dat een bak geld. Daar komt bij dat in een flat de afstandern toch best groot zijn, dus of het word fiber uit de muur of een grote bak switches. Trouwens, 10Gig Backbone, dus ook 10GB Backbone switches.. die zijn ook niet goeiekoop...

Nothing is a problem once you've debugged the code

Acties:

zaterdag 20 april 2002 00:33

Op zaterdag 20 april 2002 00:25 schreef DaRealRenzel het volgende:

[..]

Tja.. Als je Hardware level Access Control wilt doen, kom je toch in de ddurdere ranges switches (cisco 3524? of 3548). Dus voor 4000 poorten is dat een bak geld. Daar komt bij dat in een flat de afstandern toch best groot zijn, dus of het word fiber uit de muur of een grote bak switches. Trouwens, 10Gig Backbone, dus ook 10GB Backbone switches.. die zijn ook niet goeiekoop...

Wat ik probeer te zeggen is dat het inderdaad niet goedkoop gaat worden in tegenstelling tot wat werd beweerd door NewAgePerformance..... die dacht voor 700 euro incl een paar knaken voor een pctje klaar te zijn

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:40

Overtuigd Dipsomaan

Effe voor de duidelijkheid, ben voor een klant met een netwerkje bezig: 2x 6509 SwitchFabric met MSFC, 2x 6509 Switch Fabric, 1x 6506, 24x 3508 en 288x 3524.. Da's een hele hoop. ALleen fiber patchcables alleen al €. 90.000.. GBIC's kosten ook €. 1000 per stuk en daar gaan er een kleine 400 van doorheen.. SX, LX en ZX....
Tja.. Bedrijfsterrein van 12 vierkante KM, vestiging 50km verderop en nog wat andere meuk....

Leuk grapje.. Iets meer dan 2 Mln. US$

Nothing is a problem once you've debugged the code

Acties:

zaterdag 20 april 2002 00:43

Op zaterdag 20 april 2002 00:33 schreef DaRealRenzel het volgende:
Effe voor de duidelijkheid, ben voor een klant met een netwerkje bezig: 2x 6509 SwitchFabric met MSFC, 2x 6509 Switch Fabric, 1x 6506, 24x 3508 en 288x 3524.. Da's een hele hoop. ALleen fiber patchcables alleen al €. 90.000.. GBIC's kosten ook €. 1000 per stuk en daar gaan er een kleine 400 van doorheen.. SX, LX en ZX....
Tja.. Bedrijfsterrein van 12 vierkante KM, vestiging 50km verderop en nog wat andere meuk....

Leuk grapje.. Iets meer dan 2 Mln. US$

Nou omdat ik in een zo gezellige bui ben vandaag probeer ik het nog een keer duidelijk te maken. Mijn point is dat NewAgePerformance het iets te mooi maakt, daarmee inderdaad bevestigend wat jij zegt dat het veel geld kost

snap je het nu

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:44

Overtuigd Dipsomaan

Huu pert... rustig... ga ff biertje pakken... Maak ook alleen maar iets duidelijk !!

keep it koel...

Nothing is a problem once you've debugged the code

Acties:

zaterdag 20 april 2002 00:46

Op zaterdag 20 april 2002 00:43 schreef DaRealRenzel het volgende:
Huu pert... rustig... ga ff biertje pakken... Maak ook alleen maar iets duidelijk !!

keep it koel...

Ik drink niet en ik maak ook iets duidelijk

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:46

Overtuigd Dipsomaan

Wat zitten wij elkaar dan lekker te begrijpen

Nothing is a problem once you've debugged the code

Acties:

zaterdag 20 april 2002 00:49

ok dan

vrijdagavond rulez

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

zaterdag 20 april 2002 00:52

Overtuigd Dipsomaan

Euh... wil nie zeiken of zo.. maar is al zaterdagmorgen...

Nothing is a problem once you've debugged the code

Acties:

zaterdag 20 april 2002 00:57

Op zaterdag 20 april 2002 00:49 schreef DaRealRenzel het volgende:
Euh... wil nie zeiken of zo.. maar is al zaterdagmorgen...

das waar

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Aetje

Troubleshooting met HAMERRR

Hmmz... Dus als ik 't goed begrijp:

Alle clients zitten direct op de backbone. Komt geen gate tussen. (da's vragen om proxies/NAT routers in de aangesloten bakken)
Er moet iets gevonden worden wat er voor zorgt dat alleen bepaalde clients dus toegang krijgen tot het internet.

Dit is dus iets wat op lvl3 van 't OSI model: Netwerk, geregeld moet gaan worden. Hiervoor zal toch echt een aantal rechten per subnet, en het correcte IP aan elke client gegeven moeten worden. Een idee zou zijn, daar de aansluitingen toch vast zijn, en grotendeels waarschijnlijk ook wel permanent, iedere client een vast IP te geven. En dan niet de MAC, maar het IP aan een bepaalde poort van de switch te binden. Het IP wordt server side door een DHCP server uitgedeeld... Wat valt er dan nog te spoofen? (zie maar 'ns een andere fysieke aansluiting te spoofen

)

Heeft iedere client het juiste IP, dan is de rest een kwestie van de routers instellen. Overigens is met een vast IP per connectie ook relatief eenvoudig het ge(ver)bruik van de verbinding te zien... mocht het de spuigaten uit gaan lopen...

Suc6

Forget your fears...
...and want to know more...

zaterdag 20 april 2002 01:31

Acties:

Verwijderd

Op donderdag 18 april 2002 18:23 schreef Rukapul het volgende:
bla....MAC....bla....

Dus iedereen krijgt een I-Mac?

zaterdag 20 april 2002 03:07

Acties:

Verwijderd

Ehm mensen, dit is sinds kort Professional Networking & Servers een forum waarin het niveau hoog moet blijven mensen die de melk hebben horen klotsen maar niet weten waar de tepel hangt of nog erger: mensen die niet eens iet hebben horen klotsen kunnen beter niks zeggen en gewoon braaf het topic lezen in de hoop dat ze er slimmer van worden.

Want er is maar 1 nette manier om in een ethernet LAN per switchpoort IP restricties op te leggen en dat is dmv VLAN's en iedereen die over LDAP begint te blaten omdat het sneller is als MySQL kan zich beter nog even verdiepen in het OSI model. DHCP is ook niet echt een oplossing of je zou het moeten zien te koppelen aan je firewall maar dan is het nog niet waterdicht.

Daarentegen is een abuse detectie systeem zoals NewAgePerformance voorstelt: switches monitorren via SNMP, logs laten parsen en stats uit maken per aansluiting.

En als ghostrdr01 een de prijs van een switchpoort van nog geen 30 euro duur vindt vraag ik me af wat ie dan zou willen gebruiken.

Kortom, ik vindt het een ruk topic met ruk reacties en het vreemdste is nog wel dat de reacties van mensen met enigzins clue worden niet megenomen in overwegingen.

zaterdag 20 april 2002 08:17

Acties:

Arno

PF5A

Op zaterdag 20 april 2002 03:07 schreef sproggle het volgende:
Kortom, ik vindt het een ruk topic met ruk reacties en het vreemdste is nog wel dat de reacties van mensen met enigzins clue worden niet megenomen in overwegingen.

Leuk dat je dat vind, maar denk je dat je ZELF nu niet dit topic op deze manier omlaag haalt

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

zaterdag 20 april 2002 10:06

Acties:

zaterdag 20 april 2002 10:11

Op zaterdag 20 april 2002 03:07 schreef sproggle het volgende:
En als ghostrdr01 een de prijs van een switchpoort van nog geen 30 euro duur vindt vraag ik me af wat ie dan zou willen gebruiken.

offtopic:
Ik weet niet hoe je hier nu weer bij komt, eerst vanacht iemand anders moeten uitleggen dat ik ook snap dat dit netwerk veel geld gaat kosten. Ik heb nooit gezegd dat het goedkoop gaat worden. Wat ik zei was dat NewAgePerformance het iets te mooi voorspiegelde dus dat wat hij zei te goedkoop was. Dus ik weet niet hoe je dit uit mijn reacties filtert maar daar ben ik best benieuwd naar.

i5-12600K PRIME Z690M-PLUS D4 64GB 980 Pro M.2 1TB  MBA M1 13" 8GB 256GB (Late '20)

Acties:

Verwijderd

Op zaterdag 20 april 2002 00:40 schreef ghostrdr01 het volgende:

[..]

Nou omdat ik in een zo gezellige bui ben vandaag probeer ik het nog een keer duidelijk te maken. Mijn point is dat NewAgePerformance het iets te mooi maakt, daarmee inderdaad bevestigend wat jij zegt dat het veel geld kost snap je het nu

hehe om iets duidelijk te maken heb ik het over een goedkope oplossing voor 4000 gebruikers. Ik vind het bedrag waar ik dan totaal op kom vrijwel de goedkoopste.

Een radius of ldap en al die ONZIN, schiet gewoon niet op als je het op ethernet niveau doet.

Zoals ik al zij, de oplossing die ik bied is vrijwel de goedkoopste.

En zo en zo ga je de switches op de backbone zetten met gigabit LX (als de kabel lang is) en niet op 10 gig. Is nergens voor nodig als er een datalimiet aan het verbruik zit.

Zo en zo vermoed ik dat heel de gedachte die jij hebt te mooi is. En ik niet. Ik geef aan dat 1 switch zoveel kost als je dat zoveel * zoveel users moet doen. Vind ik het nog goedkoop. Ja erg he... Want er moest volgens de gebruiker een knakensysteem bedacht worden.

Je kan het ook zo aanpakken:

Je koopt voor elke flat een foundry 15000 stopt hem vol met poorten en de duurste processor interface (daar kan je namelijk modules instoppen met 10 gigabit interfaces) Laten we zeggen dat iedere flat 200 aansluitingen heeft: dat is 20 switches per flat.

Per switch heb je een 9 blades van 10/100 24 poorten nodig.
Per switch heb je twee 10 gigabit interfaces nodig.

Je gaat dan van switch naar switch omdat je zo gezegd een ring hebt liggen. En hoppa je hebt een rondje.

Je wilt ten eerste niet weten wat zo een foundry kost met die specificaties. En ten tweede zullen er maar weinig mensne zijn die zo een ding goed kunnen instellen. Dus dat kost ook weer geld.

Dan pakken we per switch een mrtg log bak die zijn logfiles op een centraal punt opslaat waar twee statistieken servers de hele dag de poorten staan analyseren. Zo en zo laat je iedereen inbellen op een VPN gateway met pptp. En die pptp server geeft weer door welke gebruiker op welke poort van de switch zit en hoe lang.

Bla bla bla bla bla... veel geld...

Dus je hebt twee manieren. De dure manier en/of zoals ik eerder had aangegeven de goedkope manier.

En je gaf aan dat het beheer minimaal moest zijn en dat de kosten van alles ook minimaal moest zijn. Zowaar je in je eerste post schrijft.

En als er geen geld is voor beheer dan is er ook geen geld voor de infra... Dus als je bespaart op de infra is er ook geld voor een beetje beheer

zaterdag 20 april 2002 13:32

Acties:

Aike

Ben n00b hier, en heb net het hele topic gelezen. Snap er niet alles van, maar vroeg me af wat nu de output is. Heb je nu 4000 pc's (of alleen de studenten op 1 ip adres ? Of krijgen ze allemaal een eigen ip voor internet. En hebben ze, als dat niet zo is, intern wel een vast ip.

/me of the Pentium heeft thuis 3 computertjes in een netwerkje....

Mijn blog over het deployen van Ruby on Rails: RunRails.com

zondag 21 april 2002 10:37

Acties:

Theodoor

Op zich is het scheiden van verkeer op het criteria niet-student wel-student via MAC-adres, IP-nummers etc. vrijwel onmogelijk. Er hoeft namelijk maar 1 student die aan de KUN studeert in zo'n huis te wonen en de anderen bewoners kunnen gratis SURFNET-internet krijgen. Dat kan dan bijvoorbeeld via een NAT-doos die in de kamer van de KUN-student staat, via deze NAT-doos kunnen dan de niet-KUN-studenten internetten. De enige oplossing is aanmelding (gebruikersnaam/wachtwoord) via een webapplicatie, java-programma of een proxy. Maar zelfs dan heb je studenten die hun gebruikersnaam/wachtwoord weggeven, zodat mede-studenten gebruik kunnen maken van de SURFNET-verbinding.

zondag 21 april 2002 11:12

Acties:

Remco

waarom niet gewoon dhcp op mac-adres, en dan b.v. isa-server.
Dan kan je een bandbreedte beperking opleggen aan de gebruiker.
Als de gebruiker zo stom is, of om zijn connectie te sharen, of om zijn ww weg te geven dan is dat zijn/haar eigen probleem.
Na overtreding van het datalimiet gewoon locken, en zij/hij komt naar de beheerder toe en kan je dus zeggen dat er of te veel verkeer word gegenereerd, of dat diegene maar niet zijn/haar ww moet afstaan.
Na een maand of drie ben je hier vanaf (misschien eerder als je een document de ronde doet).

Wat je overhoud is een netwerk waar de gebruikers zelf verantwoording moeten nemen, want anders is de consequentie dat ze geen toegang meer hebben tot het einde v/d b.v. maand.

Wat betreft switches, gewoon geografisch indelen en onderling met fiber op de backbone zetten.

The best thing about UDP jokes is that I don't care if you get them or not.

zondag 21 april 2002 11:50

Acties:

Verwijderd

Op zondag 21 april 2002 11:12 schreef Remc0 het volgende:
waarom niet gewoon dhcp op mac-adres, en dan b.v. isa-server.
bla bla bla

Maar hoezo werken ze op een Macintosh?

zondag 21 april 2002 13:33

Acties:

Verwijderd

Op zondag 21 april 2002 11:50 schreef claar het volgende:

[..]

Maar hoezo werken ze op een Macintosh?

Een MAC-adres heeft niets met een Macintosh te maken, maar is een adres dat elke netwerkkaart (in ieder geval op Ethernet en Token Ring netwerken) heeft. MAC staat voor Media Access Control.

Als je dit niet weet, lijkt mij PNS voorlopig wat te hoog gegrepen...

zondag 21 april 2002 14:15

Acties:

Verwijderd

Op zaterdag 20 april 2002 10:11 schreef NewAgePerformance het volgende:

[..]
Een radius of ldap en al die ONZIN, schiet gewoon niet op

RADIUS is anders een algemeen geaccepteerd systeem van netwerkauthenticatie. Het dus zomaar ONZIN te noemen omdat jij er toevallig slechte (geen?) ervaring mee hebt, vind ik een regelrechte flame.

als je het op ethernet niveau doet.

Waar staat dat de authenticatie op ethernet niveau moet? Er staat alleen maar dat er voorkomen moet worden dat niet-studenten gebruik kunnen maken van SURFnet. Dat kan prima op laag 3...

Zoals ik al zij, de oplossing die ik bied is vrijwel de goedkoopste.

Maar is de goedkoopste ook op lange termijn de goedkoopste? Is goedkoopste ook de beste?
Is goedkoopste ook het veiligste?
Is goedkoopste ook degene met de meeste mogelijkheden voor de gebruiker?

Je koopt voor elke flat een foundry 15000 stopt hem vol met poorten en de duurste processor interface (daar kan je namelijk modules instoppen met 10 gigabit interfaces) Laten we zeggen dat iedere flat 200 aansluitingen heeft: dat is 20 switches per flat.

He? Je gaat 20 foundry's PER FLAT neerzetten????

Dan pakken we per switch een mrtg log bak die zijn logfiles op een centraal punt opslaat waar twee statistieken servers de hele dag de poorten staan analyseren. Zo en zo laat je iedereen inbellen op een VPN gateway met pptp. En die pptp server geeft weer door welke gebruiker op welke poort van de switch zit en hoe lang.

Waarom gebruik je dan niet gewoon de accounting van de VPN gateway? Dan heb je helemaal geen houtje-touwtje oplossing nodig met MRTG. MRTG is ook helemaal niet geschikt voor dit soort dingen.

Bla bla bla bla bla... veel geld...

Dus je hebt twee manieren. De dure manier en/of zoals ik eerder had aangegeven de goedkope manier.

En je gaf aan dat het beheer minimaal moest zijn en dat de kosten van alles ook minimaal moest zijn. Zowaar je in je eerste post schrijft.

En als er geen geld is voor beheer dan is er ook geen geld voor de infra... Dus als je bespaart op de infra is er ook geld voor een beetje beheer

Maar vaak betekent: besparen op de infra = duurder beheer. Bovendien, infra is een eenmalige kostenpost (tot het afgeschreven is natuurlijk) terwel beheer elke dag terugkomt.

zondag 21 april 2002 16:28

Acties:

ElbY

Mogelijke nieuwe zijstraat...

useraccount + password + vasco-key (www.vasco.com)

Systeem allicht bekend bij telebankiers

Mocht 1 van bovenstaande niet aanwezig zijn (usr/psw/vasco) -> geen toegang

Mogelijke obstakel:
Authenticatie dient te geschieden zodra een host de eerste maal contact probeert te maken met internet. Op dat moment moet er geauthenticeerd worden. Authenticatie van de sessie dient gecached te worden totdat de host uitgezet wordt en mag geenzins in een eerder stadium afvallen.

Obstakel overwonnen, dan eerst de nadelen van het systeem:
- misschien toch de kosten? (geen idee wat zoiets kost)
- hoe ga je om met diefstal en/of verlies van de vasco?

voordelen:
- misbruik door andere individuen ondervangen
- transparant aan OS
- geen extra onderhoud wanneer een gebruiker nieuwe hardware plaatst (andere NIC)
- vraag borg voor vasco; gebruikers zijn dan een stuk zuiniger op hun apparaat

Dit systeem wordt niet enkel gehanteerd bij banken, maar ook het normale bedrijfsleven. Echter daar waar ik dit systeem heb zien draaien was tijdens inbel-sessies. Daarom ben ik wel een beetje bang dat het genoemde obstakel niet overwonnen kan worden.
Mocht dit op het eerste gezicht een kandidaat-oplossing vormen, zoek dan eerst uit of het obstakel overwonnen kan worden...

zondag 21 april 2002 17:24

Acties:

reddog33hummer

Dat schept mogelijkheden

Vlans
schakelen in de switch
voordelen:
beheeren kan uit de luie stoel
nadelen:
duurder materiaal

Physiek gescheiden
gewoon in de patchkast de boel uit elkaar houden
voordelen:
goedkoper
nadelen:
indien 1 persoon ergens tussen materiaalverkwisting
beheerder moet lopen en stekkers wisselen.

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

zondag 21 april 2002 19:24

Acties:

Verwijderd

Op donderdag 18 april 2002 22:42 schreef ghostrdr01 het volgende:
Voor zover mijn kennis reikt is LDAP een mechanisme om een directory service op te zetten waarbinnen allerlei objecten zijn opgeslagen varierend van pc's tot printers tot users geordend in organizational units, sites of andere soorten van verzamelingen.....

Nope... LDAP is een toegangsmechanisme tot de door jou geschetste Directory.
LDAP = Lightweight Directory Access Protocol

zondag 21 april 2002 20:34

Acties:

Verwijderd

Op zondag 21 april 2002 17:24 schreef reddog33hummer het volgende:
Vlans
schakelen in de switch
voordelen:
beheeren kan uit de luie stoel
nadelen:
duurder materiaal

Volgens mij ondersteund elke switch wel VLAN's. De thuis-producten als de E-techjes en Edimaxen daargelaten natuurlijk, maar als je daarmee een netwerk met 4000 gebruikers wilt bouwen, dan is er wat mis met je :-)

zondag 21 april 2002 20:44

Acties:

Verwijderd

Op zondag 21 april 2002 14:15 schreef jeroenr het volgende:

[..]

RADIUS is anders een algemeen geaccepteerd systeem van netwerkauthenticatie. Het dus zomaar ONZIN te noemen omdat jij er toevallig slechte (geen?) ervaring mee hebt, vind ik een regelrechte flame.

Haha nou genoeg ervaring maar het schiet gewoon niet op voor zo een netwerk. xDSL en DIAL-UP ervaring en authenticatie voor VPN netwerken via radius dus daar geen discussie over mogelijk voor 4000 gebruikers om die voor iets authenticatie te geven is de radius authenticatie wel geschikt maar niet voor dit lan.

Dus geen flame.

[..]

Waar staat dat de authenticatie op ethernet niveau moet? Er staat alleen maar dat er voorkomen moet worden dat niet-studenten gebruik kunnen maken van SURFnet. Dat kan prima op laag 3...

Prima switch level based layer 3. Dus alles op ethernet niveau. Gaan we verder........

[..]

Maar is de goedkoopste ook op lange termijn de goedkoopste? Is goedkoopste ook de beste?
Is goedkoopste ook het veiligste?
Is goedkoopste ook degene met de meeste mogelijkheden voor de gebruiker?

Klaarblijkelijk begrijp je me verkeerd. Het moest toch goedkoop te managen zijn? Discussie over dit punt over.

[..]

He? Je gaat 20 foundry's PER FLAT neerzetten????

extreem he? Euh nee 1 foundry per flat

Maar als jij wilt dat het er 20 zijn waarom niet dan he? Daarom staat als je nog beter hebt gelezen dan mijn fouten, dat dit ook de dure oplossing is! Dus 1 of 20 het allebei duurder.

[..]

Waarom gebruik je dan niet gewoon de accounting van de VPN gateway? Dan heb je helemaal geen houtje-touwtje oplossing nodig met MRTG. MRTG is ook helemaal niet geschikt voor dit soort dingen.

Jeah right een regelrechte flame op de mogelijkheden van mrtg metingen.

Natuurlijk ik ga 4000 users achter 1 vpn gateway zetten. Zit mij af te bekken maar zelf nul komma nul verstand van een netwerk.

[..]

Maar vaak betekent: besparen op de infra = duurder beheer. Bovendien, infra is een eenmalige kostenpost (tot het afgeschreven is natuurlijk) terwel beheer elke dag terugkomt.

Mee eens daarom gaf ik ook twee opties aan. Vrij simpel. Jij zegt het zo en ik zeg het met een uitleg erbij.

En met 3com's en logging per poort op basis van huisnummer en straat is toch nog de beste oplossing. En als ze niet op surfnet mogen dan is het toch super zoals jij hierboven zegt. Gewoon niet doorpatchen.

zondag 21 april 2002 21:21

Acties:

Verwijderd

Op zondag 21 april 2002 20:44 schreef NewAgePerformance het volgende:

[..]

Haha nou genoeg ervaring maar het schiet gewoon niet op voor zo een netwerk. xDSL en DIAL-UP ervaring en authenticatie voor VPN netwerken via radius dus daar geen discussie over mogelijk voor 4000 gebruikers om die voor iets authenticatie te geven is de radius authenticatie wel geschikt maar niet voor dit lan.

Dus geen flame.

Onderbouw dat eens? Ik zie er namelijk geen enkel probleem mee, maar ik kan iets over het hoofd zien hoor...

Prima switch level based layer 3. Dus alles op ethernet niveau. Gaan we verder........

Deze opmerking raakt kant nog wal.
Het voordeel van Layer 3 is, dat je je authenticatie centraal kan doen. Dus, bijvoorbeeld, gebruikers een IP-adres geven op basis van RADIUS authenticatie en dan op je border-routers routeren naar SURFnet of [vul willekeurige provider in]. Of je nu layer 2 of 3 switches gebruikt, maakt hierin totaal geen verschil.

Klaarblijkelijk begrijp je me verkeerd. Het moest toch goedkoop te managen zijn? Discussie over dit punt over.

Goedkoop managen kan m.i. beter centraal dan decentraal: dus niet op elke switch gaan managen, maar op 1 of meerdere centrale systemen. Zoals (een) RADIUS server(s), of (een) BAS-server(s).

extreem he? Euh nee 1 foundry per flat Maar als jij wilt dat het er 20 zijn waarom niet dan he? Daarom staat als je nog beter hebt gelezen dan mijn fouten, dat dit ook de dure oplossing is! Dus 1 of 20 het allebei duurder.

Mmm... als we op Layer 2 gaan authenticeren kan het met een goedkope switch, maar als we op een hogere laag gaan authenticeren (dus: de switch heeft in principe minder te doen) hebben we een zwaardere switch nodig? Leg dat eens uit...

Jeah right een regelrechte flame op de mogelijkheden van mrtg metingen.

Helemaal niet. Met MRTG kan je hele leuke dingen doen, ik gebruik het zelf ook veel. Maar het is niet bedoeld om er accounting mee te doen. Met wat hacken in een scriptje is het zeker mogelijk, maar ik vraag me af of het wenselijk is.

Natuurlijk ik ga 4000 users achter 1 vpn gateway zetten. Zit mij af te bekken maar zelf nul komma nul verstand van een netwerk.

Ik heb helemaal niet gezegd dat er 4000 users achter 1 VPN gateway moeten zetten. Overigens zijn er zat systemen die dat aankunnen bv. de Alcatel 7410 BAS of de Cisco 6400. Maar vanwege redundantie zou ik er meer -kleinere- systemen van maken.
En om nu gelijk maar weer op de persoon te gaan zitten flamen gaat helemaal wat ver. FYI: ik heb netwerken beheerd en gebouwd met een veelvoud van 4000 users.

Mee eens daarom gaf ik ook twee opties aan. Vrij simpel. Jij zegt het zo en ik zeg het met een uitleg erbij.

En met 3com's en logging per poort op basis van huisnummer en straat is toch nog de beste oplossing.

"is toch nog de beste oplossing" klinkt erg arrogant: vind jij de beste oplossing. Ik vind namelijk van niet. :-)

En als ze niet op surfnet mogen dan is het toch super zoals jij hierboven zegt. Gewoon niet doorpatchen.

Niet doorpatchen?
Wat bedoel je daarmee? Wat ik uit het verhaal begrijp, is dat ze wel gebruik mogen maken van het netwerk van de St. Studendenhuisvesting, maar niet van het netwerk van SURF. Dus: op een centrale locatie komen 2 of meer koppelingen, met SURFnet en 1 of meer andere providers. Eigenlijk vergelijkbaar met hoe KPN MXStream aanbiedt.

zondag 21 april 2002 21:40

Acties:

zondag 21 april 2002 21:50

Op zondag 21 april 2002 20:44 schreef NewAgePerformance het volgende:

Haha nou genoeg ervaring maar het schiet gewoon niet op voor zo een netwerk. xDSL en DIAL-UP ervaring en authenticatie voor VPN netwerken via radius dus daar geen discussie over mogelijk voor 4000 gebruikers om die voor iets authenticatie te geven is de radius authenticatie wel geschikt maar niet voor dit lan.
..
Prima switch level based layer 3. Dus alles op ethernet niveau. Gaan we verder........

RADIUS is hier uitstekend geschikt voor, om meerdere redenen.

Ten eerste kan bijvoorbeeld IEEE 802.1X, waarmee je gebruikers dynamisch in een bepaald VLAN kan zetten, overweg RADIUS. Switches zoals de HP ProCurve 2524 en 4108GL kunnen hier mee overweg. Dit heeft als voordeel dat je de authenticatie echt helemaal naar de rand van je netwerk verplaatst, en dus capaciteitsgroei in principe makkelijker te realiseren is (het is niet zo makkelijk om een VPN/PPPoE server op te schalen).

Daarnaast is RADIUS binnen SURFnet een redelijk standaard protocol (het wordt al gebruikt voor authenticatie van ADSL en inbel verbindingen, alsmede voor toegang tot campuslicentie software). Dat heeft als voordeel dat ook bewoners die student/medewerker zijn via een andere bij SURFnet aangesloten instelling eenvoudig geauthenticeerd kunnen worden. Gewoon een forward doen naar een SURFnet RADIUS server en die zorgt er wel voor.

En met 3com's en logging per poort op basis van huisnummer en straat is toch nog de beste oplossing. En als ze niet op surfnet mogen dan is het toch super zoals jij hierboven zegt. Gewoon niet doorpatchen.

Dat is voor mij nog maar de vraag, omdat het me nog steeds niet duidelijk is wat er precies geauthenticeerd moet worden.

Moet een switchpoort geauthentiseerd worden? -> statische VLAN's
Moet één persoon achter een switchpoort geauthentiseerd worden? -> 802.1X
Moet een IP stack achter een switchpoort geauthenticeerd worden? -> PPPoE
Moet een applicatie geauthentiseerd worden? -> kom over een paar jaar terug

Acties:

Verwijderd

Op zondag 21 april 2002 21:40 schreef jochemd het volgende:

[..]
Ten eerste kan bijvoorbeeld IEEE 802.1X, waarmee je gebruikers dynamisch in een bepaald VLAN kan zetten, overweg RADIUS.

Hee... goed idee, had ik nog niet aan gedacht! Dit lijkt me echt dé oplossing:

- Door authenticatie met RADIUS geen gevaar van MAC-adres spoofen
- Mogelijk om m.b.v. RADIUS centraal accounting (bandbreedtegebruik meten) te doen.
- Inderdaad schaalbaar
- Geen mogelijk SPOF (Single Point Of Failure) zoals met een BAS, mits je de RADIUS voldoende redundant uitvoert.
- Goed centraal beheersbaar
- Gebruikers kunnen meerdere PC's aansluiten, mits je dat toestaat in RADIUS of ze NAT gebruiken.
- Gebruikers kunnen zonder problemen hun computer op een andere kamer gebruiken.

Weet er iemand ook nog nadelen?

maandag 22 april 2002 00:48

Acties: