ウネウネちゅどーん(擬音?)

2005/09/29 木 15:29
こばげん


ALAXALA Networksのサイトにコラムが載り始めたので読んでみたり。

そして重箱の隅をつついて自爆するぜ。

ALAXALA Networks:技術コラム エンジニアが語るアラクサラの技術
第1回 「セキュリティ認証・検疫〜MAC VLANでダイナミックに実現〜


はやってるのかどうかいまいち怪しい(←金かかりますから)検疫ネットワーク関連のお話ですが、最近ハードウェアでMACアドレスベースのVLANをハードウェア処理するボードを出したのでそのお話。

センタ(コア)スイッチがMACアドレスベースでネットワーク切り離しするので、エッジとの間の接続がそのままでいいし!とかそんな感じ。

でもスロットリングはやってくれないんですかそうですか。
ついでに802.1X認証なのでエッジのスイッチ自体は対応させないといけないです。
ダイナミックVLANベースだとハードウェア投資がやっぱりバカになりませんというのは変わらず。しょうがないですけど。

ところでさっきのコラム、
Tag VLANだとパケットのTagを詐称される可能性もあります。ですがMACアドレスは端末固有のものですので偽れませんし、
MACアドレスの変更は簡単じゃないかと思うなぁ…と思ったら
もしMACアドレスを詐称してつなげようとしたとしても、再認証を一定間隔で送り続けていますので、すり抜ける可能性もない訳です。
と続いていました。
そらそうだ。しかしTagVLANでエッジまで運んだ場合との違いは構築・運用の違いが主になるよねそれだと、と。ポートベースだと下にHUBつけられたらお終いなのでダメといえばダメですが。


「でさ、なにがいいたいのさ」
「やっぱりトラフィックコントロール入れようぜといいたい」
「高いから無理。そもそもVLANタイプが高い」
「まあそうなんだけど」
「でもまあ、サーバセグメントの前に認証ゲートウェイぐらいは導入しておこうよね、とは思う。わりかし安いし」
「デスクグループごとにVLAN切りまくるというのも意外と役立つよ?」
「管理が面倒だから嫌」


comments (0)
trackbacks (0)


<< STARBUCKS RTD
よ、容量… >>
[0] [top]


[Serene Bach 2.25R]