[SyJet]

А ещё есть arp inspection

[zhenya`]

Не на всех 2950 оно есть...

[Diman_xxxx]

пора бы гуру сообща методичку написать по вводу влан на клиена

[DruGoe_DeLo]

Вот для этого и есть dhcp-snooping, port-isolation и PVLAN.

Либо CVLAN (VLAN на клиента), как глобальное решение всех подобных проблем.

Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет.

 

А ещё есть arp inspection

Есть и инструмент довольно хороший. Но как уже сказали не на всех 2950 оно имеется. А рубить корявки арп запросов чуть дальше от абонента, например на выше стоящем оборудовании. Но это не совсем правильно. Хотя можно попробовать и как крайний вариант.

 

пора бы гуру сообща методичку написать по вводу влан на клиена

я уже писал выше что метод vlan на пользователя нас не устраивает. При выборе методов мы изначально думали делать 1 влан на пользователя, но отказались. Прошу больше эту тему не поднимать и не тратить ни своё драгоценное время ни моё.

Изменено 12 мая, 2015 пользователем DruGoe_DeLo

[alibek]

Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет.

Изоляция портов не даст этому абоненту мешать другим абонентам.

А запретит доступ в интернет arp-inspection, биндинг IP-MAC-Port или другие инструменты, доступные на используемом коммутаторе доступа.

[DruGoe_DeLo]

Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет.

Изоляция портов не даст этому абоненту мешать другим абонентам.

А запретит доступ в интернет arp-inspection, биндинг IP-MAC-Port или другие инструменты, доступные на используемом коммутаторе доступа.

Ну я бы так не сказал. Допустим мы сидим с вами на 1 cisco у которой настроены изоляция портов. Да мы друг друга не увидим и мой хакерский dhcp не повредит вам. Но если я напишу ручками ваш IP то возникнут проблемы :). Да по сути эту проблему решает ARP-inspection. Но это в том случаи если мы бы в интернет выходили через сам биллинг а dhcp поднимали скажем на самих cisco. DHCP мы поднимаем на самой ideco к сожалению он оказался долеко не идеальный... но как вариант инспекцию мы не отбрасываем и рассматриваем как крайнию меру. опция 82 решила бы эту проблему на корню но мы выходим в интернет не через сам билинг от сюда и куча вопросов и не понятностей. На данный момент мы думаем над скриптом.

Смысл такой. Изначально все пользователи у нас в гостевом vlan. При получении dhcp запроса, положительного баланса, авторизации по опции 82 мы выдаём IP. Если допустим в течении часа мы от пользователя не получаем dhcp запрос он остаётся в гостевом vlan. Таким образом если пользователь и пропишет ручками IP соседа, он всё равно никуда не выйдет. Но что-то пока мы думаем над скриптом, я отписываюсь на форуме в поиске идей (порой посещают мысли уже написать свой биллинг а то эти вечные костыли в виде скриптов, которые приходится дописывать, потому что видите ли в биллинге они написаны коряво, уже напрягает).

Так же расматриваем вариант поднятия dhcp с опцией 82 на главной cisco со всеми приколами и инспекциями, но тогда наши девочки просто сума сойдут у них будет 2 окна а не одно красивое :(...

P.S. Для прояснения картины изоляция портов у нас работает, это самое первое что мы учли при построении сети :).

Изменено 12 мая, 2015 пользователем DruGoe_DeLo

[GrandPr1de]

и всё таки, не смотря на ваши просьбы не писать про влан на юзера.

Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы.

Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес.

Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске.

Вы даже с технологией не ознакомились, как испольяется схема влан на юзера. Если вы не знаете этот вариант - то увы, вы читали\искали мало и по диагонали.

Изменено 12 мая, 2015 пользователем GrandPr1de

[DruGoe_DeLo]

и всё таки, не смотря на ваши просьбы не писать про влан на юзера.

Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы.

Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес.

Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске.

Вы даже с технологией не ознакомились, как испольяется схема влан на юзера. Если вы не знаете этот вариант - то увы, вы читали\искали мало и по диагонали.

Повторюсь. Влан на пользователя нас не устраивает. Если бы изначально использовали этот вариант я бы и не отписывался тут и не открывал темы с этим вопросом. В любом случаи спасибо за потраченное ваше время и ответ. Но в дальнейшем не трате его зря.

[GrandPr1de]

Ну есть ещё влан на свич ;-)

А вообще вы пытаетесь решить проблему с помощью молотка и какой-то матери, вместо нормальных средств.

Dynamic arp inspection - как крайний вариант, IPMB - не подходит, хотя идеально решает вашу проблему.

Зачем подымать дхцп на циске, когда там достаточно релеев и дхцп снупингов?

Кстати абсолютно ничего не мешает подымать на циске 5-10 вланов вместо влан на клиента, все равно адресация в переделах аннамбереда сохранится, или аналогов типо SuperVlan.

[Saab95]

DHCP мы поднимаем на самой ideco к сожалению он оказался долеко не идеальный

 

Вам нужно выкинуть софтроутер и настроить схему классический биллинг, тогда никаких проблем возникать не будет.

[Wz2002]

DruGoe_DeLo пишет, что ARP-Inspection не работает, если DHCP на стороннем устройстве, а не на Cisco.

 

GrandPr1de пишет, что пофигу где DHCP и похоже, что ARP-Inspection вообще не нужен, если:

Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы.

Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес.

Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске.

 

GrandPr1de можете поделиться информацией о Вашей схеме, готов отблагодарить через Qiwi или карту Сбербанка.

[GrandPr1de]

DruGoe_DeLo пишет, что ARP-Inspection не работает, если DHCP на стороннем устройстве, а не на Cisco.

 

GrandPr1de пишет, что пофигу где DHCP и похоже, что ARP-Inspection вообще не нужен, если:

Есть рабочая схема, cisco catalys любой л3, на нее сводится пачка вланов, она их все принимает как аннамберед интерфейсы.

Дальше настроен dhcp snooping + relay, в этой ситуации, если абонент не запросил адрес по дхцп, циска даже не учит его мак адрес.

Ни в таблице маков ни в арп. Т.е. если пошел мимо дхцп - максимум что сможешь, поставить тот же адрес который выдает дхцп и работать будешь до того времени пока жива запись dhcp snooping-a на циске.

 

GrandPr1de можете поделиться информацией о Вашей схеме, готов отблагодарить через Qiwi или карту Сбербанка.

 

Да всю инфу собрал с просторов интернета, так что бесплатно могу.

Есть фря с isc dhcp, на нем примерно такая конфигурация на каждого абонента (у меня авторизация по номеру влана + remote-id терминирующего свича), как вам выдавать, по маку или по чём ешё уже ваше дело, главное что бы была запись dhcp relay и dhcp snooping на циске, которая терминирует.

class "{HOSTNAME}" {
match if suffix(option agent.remote-id,5) = "{REMOTEID}" and binary-to-ascii(10, 16, "", substring(option agent.circuit-id,2,2)) = "{CIRCUITID}"; }

pool {
range {IP};
allow members of "{HOSTNAME}";
}

host {HOSTNAME} {
fixed-address {IP};
}

 

Дальше на циско настроено примерно следующее :

ip routing
ip dhcp relay information option

ip dhcp snooping vlan 100-200,300-400,etc
ip dhcp snooping information option format remote-id string 11111
ip dhcp snooping

interface Loopback0
ip address xx.xxx.xx.1 255.255.0.0
no ip redirects
no ip unreachables
no ip proxy-arp

interface Vlan100
ip unnumbered Loopback0
ip helper-address xx.xxx.x.1
no ip redirects
no ip unreachables
no ip proxy-arp

interface Vlan200
ip unnumbered Loopback0
ip helper-address xx.xxx.x.1
no ip redirects
no ip unreachables
no ip proxy-arp

interface Vlan400
ip unnumbered Loopback0
ip helper-address xx.xxx.x.1
no ip redirects
no ip unreachables
no ip proxy-arp

interface Vlan900
ip unnumbered Loopback0
ip helper-address xx.xxx.x.1
no ip redirects
no ip unreachables
no ip proxy-arp

 

Ну лично у меня потом заводятся скриптом на циске вланы на каждого пользователя. Можно применять и масштабнее чем в пределах одного пользователя

Изменено 14 мая, 2015 пользователем GrandPr1de