ウネウネちゅどーん(擬音?)
ALAXALA Networksのサイトにコラムが載り始めたので読んでみたり。
そして重箱の隅をつついて自爆するぜ。
ALAXALA Networks:技術コラム エンジニアが語るアラクサラの技術
第1回 「セキュリティ認証・検疫〜MAC VLANでダイナミックに実現〜
はやってるのかどうかいまいち怪しい(←金かかりますから)検疫ネットワーク関連のお話ですが、最近ハードウェアでMACアドレスベースのVLANをハードウェア処理するボードを出したのでそのお話。
センタ(コア)スイッチがMACアドレスベースでネットワーク切り離しするので、エッジとの間の接続がそのままでいいし!とかそんな感じ。
でもスロットリングはやってくれないんですかそうですか。
ついでに802.1X認証なのでエッジのスイッチ自体は対応させないといけないです。
ダイナミックVLANベースだとハードウェア投資がやっぱりバカになりませんというのは変わらず。しょうがないですけど。
ところでさっきのコラム、
そらそうだ。しかしTagVLANでエッジまで運んだ場合との違いは構築・運用の違いが主になるよねそれだと、と。ポートベースだと下にHUBつけられたらお終いなのでダメといえばダメですが。
「でさ、なにがいいたいのさ」
「やっぱりトラフィックコントロール入れようぜといいたい」
「高いから無理。そもそもVLANタイプが高い」
「まあそうなんだけど」
「でもまあ、サーバセグメントの前に認証ゲートウェイぐらいは導入しておこうよね、とは思う。わりかし安いし」
「デスクグループごとにVLAN切りまくるというのも意外と役立つよ?」
「管理が面倒だから嫌」
そして重箱の隅をつついて自爆するぜ。
ALAXALA Networks:技術コラム エンジニアが語るアラクサラの技術
第1回 「セキュリティ認証・検疫〜MAC VLANでダイナミックに実現〜
はやってるのかどうかいまいち怪しい(←金かかりますから)検疫ネットワーク関連のお話ですが、最近ハードウェアでMACアドレスベースのVLANをハードウェア処理するボードを出したのでそのお話。
センタ(コア)スイッチがMACアドレスベースでネットワーク切り離しするので、エッジとの間の接続がそのままでいいし!とかそんな感じ。
でもスロットリングはやってくれないんですかそうですか。
ついでに802.1X認証なのでエッジのスイッチ自体は対応させないといけないです。
ダイナミックVLANベースだとハードウェア投資がやっぱりバカになりませんというのは変わらず。しょうがないですけど。
ところでさっきのコラム、
Tag VLANだとパケットのTagを詐称される可能性もあります。ですがMACアドレスは端末固有のものですので偽れませんし、MACアドレスの変更は簡単じゃないかと思うなぁ…と思ったら
もしMACアドレスを詐称してつなげようとしたとしても、再認証を一定間隔で送り続けていますので、すり抜ける可能性もない訳です。と続いていました。
そらそうだ。しかしTagVLANでエッジまで運んだ場合との違いは構築・運用の違いが主になるよねそれだと、と。ポートベースだと下にHUBつけられたらお終いなのでダメといえばダメですが。
「でさ、なにがいいたいのさ」
「やっぱりトラフィックコントロール入れようぜといいたい」
「高いから無理。そもそもVLANタイプが高い」
「まあそうなんだけど」
「でもまあ、サーバセグメントの前に認証ゲートウェイぐらいは導入しておこうよね、とは思う。わりかし安いし」
「デスクグループごとにVLAN切りまくるというのも意外と役立つよ?」
「管理が面倒だから嫌」
Comments