SyJet Опубликовано 8 мая, 2015 · Жалоба А ещё есть arp inspection Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 мая, 2015 · Жалоба Не на всех 2950 оно есть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 9 мая, 2015 · Жалоба пора бы гуру сообща методичку написать по вводу влан на клиена Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 12 мая, 2015 (изменено) · Жалоба Вот для этого и есть dhcp-snooping, port-isolation и PVLAN. Либо CVLAN (VLAN на клиента), как глобальное решение всех подобных проблем. Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет. А ещё есть arp inspection Есть и инструмент довольно хороший. Но как уже сказали не на всех 2950 оно имеется. А рубить корявки арп запросов чуть дальше от абонента, например на выше стоящем оборудовании. Но это не совсем правильно. Хотя можно попробовать и как крайний вариант. пора бы гуру сообща методичку написать по вводу влан на клиена я уже писал выше что метод vlan на пользователя нас не устраивает. При выборе методов мы изначально думали делать 1 влан на пользователя, но отказались. Прошу больше эту тему не поднимать и не тратить ни своё драгоценное время ни моё. Изменено 12 мая, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 мая, 2015 · Жалоба Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет. Изоляция портов не даст этому абоненту мешать другим абонентам. А запретит доступ в интернет arp-inspection, биндинг IP-MAC-Port или другие инструменты, доступные на используемом коммутаторе доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 12 мая, 2015 (изменено) · Жалоба Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет. Изоляция портов не даст этому абоненту мешать другим абонентам. А запретит доступ в интернет arp-inspection, биндинг IP-MAC-Port или другие инструменты, доступные на используемом коммутаторе доступа. Ну я бы так не сказал. Допустим мы сидим с вами на 1 cisco у которой настроены изоляция портов. Да мы друг друга не увидим и мой хакерский dhcp не повредит вам. Но если я напишу ручками ваш IP то возникнут проблемы :). Да по сути эту проблему решает ARP-inspection. Но это в том случаи если мы бы в интернет выходили через сам биллинг а dhcp поднимали скажем на самих cisco. DHCP мы поднимаем на самой ideco к сожалению он оказался долеко не идеальный... но как вариант инспекцию мы не отбрасываем и рассматриваем как крайнию меру. опция 82 решила бы эту проблему на корню но мы выходим в интернет не через сам билинг от сюда и куча вопросов и не понятностей. На данный момент мы думаем над скриптом. Смысл такой. Изначально все пользователи у нас в гостевом vlan. При получении dhcp запроса, положительного баланса, авторизации по опции 82 мы выдаём IP. Если допустим в течении часа мы от пользователя не получаем dhcp запрос он остаётся в гостевом vlan. Таким образом если пользователь и пропишет ручками IP соседа, он всё равно никуда не выйдет. Но что-то пока мы думаем над скриптом, я отписываюсь на форуме в поиске идей (порой посещают мысли уже написать свой биллинг а то эти вечные костыли в виде скриптов, которые приходится дописывать, потому что видите ли в биллинге они написаны коряво, уже напрягает). Так же расматриваем вариант поднятия dhcp с опцией 82 на главной cisco со всеми приколами и инспекциями, но тогда наши девочки просто сума сойдут у них будет 2 окна а не одно красивое :(... P.S. Для прояснения картины изоляция портов у нас работает, это самое первое что мы учли при построении сети :). Изменено 12 мая, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 12 мая, 2015 (изменено) · Жалоба и всё таки, не смотря на ваши просьбы не писать про влан на юзера. Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы. Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес. Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске. Вы даже с технологией не ознакомились, как испольяется схема влан на юзера. Если вы не знаете этот вариант - то увы, вы читали\искали мало и по диагонали. Изменено 12 мая, 2015 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 12 мая, 2015 · Жалоба и всё таки, не смотря на ваши просьбы не писать про влан на юзера. Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы. Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес. Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске. Вы даже с технологией не ознакомились, как испольяется схема влан на юзера. Если вы не знаете этот вариант - то увы, вы читали\искали мало и по диагонали. Повторюсь. Влан на пользователя нас не устраивает. Если бы изначально использовали этот вариант я бы и не отписывался тут и не открывал темы с этим вопросом. В любом случаи спасибо за потраченное ваше время и ответ. Но в дальнейшем не трате его зря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 12 мая, 2015 · Жалоба Ну есть ещё влан на свич ;-) А вообще вы пытаетесь решить проблему с помощью молотка и какой-то матери, вместо нормальных средств. Dynamic arp inspection - как крайний вариант, IPMB - не подходит, хотя идеально решает вашу проблему. Зачем подымать дхцп на циске, когда там достаточно релеев и дхцп снупингов? Кстати абсолютно ничего не мешает подымать на циске 5-10 вланов вместо влан на клиента, все равно адресация в переделах аннамбереда сохранится, или аналогов типо SuperVlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 мая, 2015 · Жалоба DHCP мы поднимаем на самой ideco к сожалению он оказался долеко не идеальный Вам нужно выкинуть софтроутер и настроить схему классический биллинг, тогда никаких проблем возникать не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 14 мая, 2015 · Жалоба DruGoe_DeLo пишет, что ARP-Inspection не работает, если DHCP на стороннем устройстве, а не на Cisco. GrandPr1de пишет, что пофигу где DHCP и похоже, что ARP-Inspection вообще не нужен, если: Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы. Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес. Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске. GrandPr1de можете поделиться информацией о Вашей схеме, готов отблагодарить через Qiwi или карту Сбербанка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 мая, 2015 (изменено) · Жалоба DruGoe_DeLo пишет, что ARP-Inspection не работает, если DHCP на стороннем устройстве, а не на Cisco. GrandPr1de пишет, что пофигу где DHCP и похоже, что ARP-Inspection вообще не нужен, если: Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы. Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес. Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске. GrandPr1de можете поделиться информацией о Вашей схеме, готов отблагодарить через Qiwi или карту Сбербанка. Да всю инфу собрал с просторов интернета, так что бесплатно могу. Есть фря с isc dhcp, на нем примерно такая конфигурация на каждого абонента (у меня авторизация по номеру влана + remote-id терминирующего свича), как вам выдавать, по маку или по чём ешё уже ваше дело, главное что бы была запись dhcp relay и dhcp snooping на циске, которая терминирует. class "{HOSTNAME}" { match if suffix(option agent.remote-id,5) = "{REMOTEID}" and binary-to-ascii(10, 16, "", substring(option agent.circuit-id,2,2)) = "{CIRCUITID}"; } pool { range {IP}; allow members of "{HOSTNAME}"; } host {HOSTNAME} { fixed-address {IP}; } Дальше на циско настроено примерно следующее : ip routing ip dhcp relay information option ip dhcp snooping vlan 100-200,300-400,etc ip dhcp snooping information option format remote-id string 11111 ip dhcp snooping interface Loopback0 ip address xx.xxx.xx.1 255.255.0.0 no ip redirects no ip unreachables no ip proxy-arp interface Vlan100 ip unnumbered Loopback0 ip helper-address xx.xxx.x.1 no ip redirects no ip unreachables no ip proxy-arp interface Vlan200 ip unnumbered Loopback0 ip helper-address xx.xxx.x.1 no ip redirects no ip unreachables no ip proxy-arp interface Vlan400 ip unnumbered Loopback0 ip helper-address xx.xxx.x.1 no ip redirects no ip unreachables no ip proxy-arp interface Vlan900 ip unnumbered Loopback0 ip helper-address xx.xxx.x.1 no ip redirects no ip unreachables no ip proxy-arp Ну лично у меня потом заводятся скриптом на циске вланы на каждого пользователя. Можно применять и масштабнее чем в пределах одного пользователя Изменено 14 мая, 2015 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...