безопасно.любой.

только без обид....просто сразу первая мысль что хочет подменить чей то мак-ип связку....

или вот например сменил комп, а любой нормальный провайдер делает привязку по маку. чтобы не звонить в службу поддержки, можно просто поменять мак

Leon написал(а):

любой нормальный провайдер делает привязку 802.1X сертами или MD5.
Краний случай - vpn

в новосибирске есть только один ушибленный на голову провайдер, который делает аутентификацию на порту при помощи 802.1X, остальные делают через vlan или vpn, в худшем случае
еще бывает pppoe, да

vpn сервак подгружает порой сильна...

Еще Крафт, по крайней мере полгодика назад.

Matrim написал(а):

я говорил про домового провайдера,

Нет, ты говорил про НСК в целом:

Matrim написал(а):

в новосибирске есть только один ушибленный на голову провайдер

Matrim написал(а):

802.1x удобен для беспроводных сетей, т.е. для таких, где есть перемещающиеся пользователи и отдельное шифрование трафика

А чем он для проводных-то неудобен?

Matrim написал(а):

в проводных сетях 802.1х сам по себе бесполезен, без применения ipsec

Что значит "сам по себе бесполезен"? При чем тут ipsec? Технологии разные - один защищает сети, другой - машинки. Можно, конечно, развернуть И 802.1х И ipsec, но где смысл?
Проще openvpn накинуть.

Matrim написал(а):

зачем обычному домашнему пользователю возня с сертификатами, если оно работает хуже чем port security для его случая.

Какая там возня? И как это хуже? Ну накинешь ты switchport port-security. И че? Тебя отрежут и подставят твой мак.

Matrim написал(а):

а еще сейчас модно ставить дома вайфайную точку или раутер и ходить в интернет через ноут - сколько точек поддерживают 802.1x на ethernet порту в качестве клиента?

Ты владеешь устаревшей инфой - уже достаточно много. Из бюджетных, например, - DI-524UP. всего 70 баксов.

Исправлено Leon (05.12.07 12:51)

Matrim написал(а):

802.1x ничего не защищает, он нужен для аутентификации порта
чтобы тырить трафик даже не нужно мак менять, достаточно поставить свич - аутентифицированный порт открыт для всех

Согласен, но! Это если только 802.1x пользовать. Дополнительно настраиваются следующие фигни:
Access Port BPDU Guard Root Guard, кроме того:
отключаем STP на выбранном порту (хотя можно и не, фсе равно errdisable'ом зарубится),
включаем TPL (тестирование длины физического носителя) с занесением в errdisable
включаем тестирование линка с  занесением в errdisable и принудительной аутентификацией заново.
А! Чуть не забыл - errdisable ставим на фсе,
и errdisable recovery на 7200 секунд - пусть мучаются.
Эта задача на тестах CCNA была у меня - секурение порта.

Matrim написал(а):

там работает 802.1x
т.е. есть такой режим, когда wan работает через wifi

И че такого? по спецификации 802.1x пофиг через что работать - хоть через канализацию.

Matrim написал(а):

обычно точка поддерживает подключение к провайдеру через wifi, и там работает 802.1x
т.е. есть такой режим, когда wan работает через wifi

Вот как  раз обычно подключают через витуху, а раздают (к примеру,  у себя в квартире) уже беспроводом.
А насчет "не верю" - возьми да погугли. Х.ли тут не верить-то?

Исправлено Leon (06.12.07 10:54)

Matrim написал(а):

802.1х на порту wan умеют только asus и dlink, причем только на альтернативной прошивке (от энтузиастов)

уже на родной. см чаще офсайты.

Matrim написал(а):

стандарт это одно, а то что делает производитель - это другое

Это ты к чему?

Matrim написал(а):

802.1х на порту wan умеют только asus и dlink, причем только на альтернативной прошивке (от энтузиастов)

а также как минимум 3com и cisco.

Я так вижу, дискуссия зашла в тупик. Модераторы, прикройте плз лавочку тему.

Leon написал(а):

Я так вижу, дискуссия зашла в тупик. Модераторы, прикройте плз лавочку тему.

окей, закрываю

Max написал(а):

и не дорого железки, которые все это умеют, ставить на конечного абонента?

это умеют даже укропы и сурики, смотри чаще офсайты.