PPPoE дубликат серверы в сети

[SamJan]

Как боротся с сабжем?

Скажем в сетке появляется RAS с установленным PPPoE драйвером, и мутит воду PPPoE концентратору, или плохой юзверь ставит PPPoE концентратор. Находим сервер, оказывается наш абонент решил сделать VPN для своих партнеров, тоже наших абонентов.

[Taras]

Прописывать у ВАШИХ абонентов имя конкретного (вашего) РРРоЕ-концентратора + не использовать PAP (на всякий случай)

[Guest]

Прописывать у ВАШИХ абонентов имя конкретного (вашего) РРРоЕ-концентратора + не использовать PAP (на всякий случай)

pppoeservice2:

   allow mode direct                              # Only for use on server-side

   enable lqr proxy                               # Enable LQR and proxy-arp

   set cd 5!

   # enable chap pap passwdauth                    # Force client authentication

   set ifaddr 172.16.0.1 172.16.1.1-172.16.100.1 255.255.255.255

  rs

   disable passwdauth

   disable utmp

   set dns 172.16.1.1 172.16.1.2

   accept dns                                    # Allow DNS negotiation

   enable mschapv2 mppe

   disable deflate pred1

   disable ipv6cp

   deny deflate pred1

   set mppe 128 *

   set timeout 0

   set mru max 1492

   set mtu max 1492

   set speed sync

[Guest]

Прописывать у ВАШИХ абонентов имя конкретного (вашего) РРРоЕ-концентратора + не использовать PAP (на всякий случай)

pppoeservice2:                                     # Your service name

   allow mode direct                              # Only for use on server-side

   enable lqr proxy                               # Enable LQR and proxy-arp

   set cd 5!

   # enable chap pap passwdauth                    # Force client authentication

   set ifaddr 172.16.0.1 172.16.1.1-172.16.100.1 255.255.255.255

  rs

   disable passwdauth

   disable utmp

   set dns 172.16.1.1 172.16.1.2

   accept dns                                    # Allow DNS negotiation

   enable mschapv2 mppe

   disable deflate pred1

   disable ipv6cp

   deny deflate pred1

   set mppe 128 *

   set timeout 0

   set mru max 1492

   set mtu max 1492

   set speed sync

[SamJan]

так в том то и дело, что наш абонент цепляется к рам в Инет по PPPoE с указанным именем. Автоматически, при активации RAS, у него активируется PPPoE концентратор, а там указаны наши данные по имени концентратора, и другие абоненты видят его машину как концентратор...

Пока не вижу никакого решения... :(

[Guest]

так в том то и дело, что наш абонент цепляется к рам в Инет по PPPoE с указанным именем. Автоматически, при активации RAS, у него активируется PPPoE концентратор, а там указаны наши данные по имени концентратора, и другие абоненты видят его машину как концентратор...

Пока не вижу никакого решения... :(

 

ne ponjal- utebja klient sam delaet server?

umenja naprimer stoit na SERVICE NAME: v windowse "pppoeservice2"

vtorpi server na "pppoeservice3" itd.

[SamJan]

вово

[UglyAdmin]

Сегментировать трафик, чтобы абоненты не могли друг с другом напрямую.

А если им надо - то делать им отдельный VLAN за дополнительные бабки, м.б. небольшие :)

[Bushi]

А вот интересно, можно ли как нибудь защититься от ложных ответов PPPoE PADO от клиентов с помощью управляемых коммутаторов?

В Discovery-уровне используется протокол Ethernet 0х8863, а в самой сессии - 0х8864. Можно попробовать фильтровать 0x8663, но тогда клиенты вообще не смогут находить PPPoE-сервера. Как вариант, можно запретить весь клиентский не-IP трафик или запретить протоколы 0x8663 и 0x8664 между клиентскими портами.

[Roman Ivanov]

А вот интересно, можно ли как нибудь защититься от ложных ответов PPPoE PADO от клиентов с помощью управляемых коммутаторов?

В Discovery-уровне используется протокол Ethernet 0х8863, а в самой сессии - 0х8864. Можно попробовать фильтровать 0x8663, но тогда клиенты вообще не смогут находить PPPoE-сервера. Как вариант, можно запретить весь клиентский не-IP трафик или запретить протоколы 0x8663 и 0x8664 между клиентскими портами.

 

При нормальных коммутаторах PPPoE уже не нужен.

Разве что для едениц.

[Bushi]

А вот интересно, можно ли как нибудь защититься от ложных ответов PPPoE PADO от клиентов с помощью управляемых коммутаторов?

В Discovery-уровне используется протокол Ethernet 0х8863, а в самой сессии - 0х8864. Можно попробовать фильтровать 0x8663, но тогда клиенты вообще не смогут находить PPPoE-сервера. Как вариант, можно запретить весь клиентский не-IP трафик или запретить протоколы 0x8663 и 0x8664 между клиентскими портами.

 

При нормальных коммутаторах PPPoE уже не нужен.

Разве что для едениц.

 

Почему это не нужен? Глупости какие. Да, управляемые коммутаторы обеспечивают нужный уровень безопасности, но двуточечное соединение по запросу удобно как и пользователю, так и оператору.

[Nag]

Почему это не нужен? Глупости какие. Да, управляемые коммутаторы обеспечивают нужный уровень безопасности, но двуточечное соединение по запросу удобно как и пользователю, так и оператору.

 

Огласите весь список удобств. ;-)

 

Мне вот как пользователю РРРоЕ совсем не нужно. Отдельный вилан нравится намного больше почему-то.

[Bushi]

Почему это не нужен? Глупости какие. Да, управляемые коммутаторы обеспечивают нужный уровень безопасности, но двуточечное соединение по запросу удобно как и пользователю, так и оператору.

 

Огласите весь список удобств. ;-)

 

Мне вот как пользователю РРРоЕ совсем не нужно. Отдельный вилан нравится намного больше почему-то.

 

Отдельный вилан для сетки из 100-та пользователей может и пойдет. А если их 6 тысяч? И только 10% одновременно из них сидит в Интернете. И где столько адресов на всех взять? Так что без PPP с динамическим пулом никуда.

[Roman Ivanov]

Почему это не нужен? Глупости какие. Да, управляемые коммутаторы обеспечивают нужный уровень безопасности, но двуточечное соединение по запросу удобно как и пользователю, так и оператору.

 

Оно удобно оператору.

Но неудобно пользователю.

Для пользователя VPN - это дополнительный гимор. Поймите и то, что % неграмотных пользователей растет. И скоро будет больше 50%. Настройка PPPoE после реинсталла win98 - для них как пляска с бубном.

[Roman Ivanov]

Мне вот как пользователю РРРоЕ совсем не нужно. Отдельный вилан нравится намного больше почему-то.

 

Именно.

Cisco 2950.

один VLAN на 32 юзера. На каждого port protected.

Почти 100% защита от дурости.

[Roman Ivanov]

Отдельный вилан для сетки из 100-та пользователей может и пойдет. А если их 6 тысяч? И только 10% одновременно из них сидит в Интернете. И где столько адресов на всех взять? Так что без PPP с динамическим пулом никуда.

 

www.ripe.net.

AS бужет стоить 4500 Euro в первый год, 2000 Euro во второй.

Или менее Euro на юзера в первый год.

 

А теперь подумайте - сколько паразитного траффика к ним придет ;)

И учтено в Вашем биллинге будет. Как раз этот 1 Euro.

 

К тому же сразу можно статику давать - в случае умных коммутаторов - рай. Любой abuse за 2 минуты вычислить. И одного человека можно выгнать из поддержки - звонить МЕНЬШЕ будут.

[Bushi]

Отдельный вилан для сетки из 100-та пользователей может и пойдет. А если их 6 тысяч? И только 10% одновременно из них сидит в Интернете. И где столько адресов на всех взять? Так что без PPP с динамическим пулом никуда.

 

www.ripe.net.

AS бужет стоить 4500 Euro в первый год, 2000 Euro во второй.

Или менее Euro на юзера в первый год.

 

А теперь подумайте - сколько паразитного траффика к ним придет ;)

И учтено в Вашем биллинге будет. Как раз этот 1 Euro.

 

К тому же сразу можно статику давать - в случае умных коммутаторов - рай. Любой abuse за 2 минуты вычислить. И одного человека можно выгнать из поддержки - звонить МЕНЬШЕ будут.

 

AS у нас есть. Есть и блок адресов с префиксом /20 (4096 адресов). И для всех пользователей все равно не хватает. Как и виланов.

А пользователю удобно PPP, потому что он спокоен и знает, что когда соединение не установлено, то нет паразитного трафика.

 

Именно.

Cisco 2950.

один VLAN на 32 юзера. На каждого port protected.

Почти 100% защита от дурости.

 

В 2950 всего по-моему 64 вилана. То есть количество пользователей будет ограничено 2048?

 

Для пользователя VPN - это дополнительный гимор. Поймите и то, что % неграмотных пользователей растет. И скоро будет больше 50%. Настройка PPPoE после реинсталла win98 - для них как пляска с бубном.

 

В любом случае требуется настройка клиентской ОС, и от этого никуда не денешься. Да и посмотрите на ADSL-провайдеров, количество абонентов которых исчисляется десятками тысяч. Все используют PPPoE.

И vlan здесь никак не поможет, да и не для этого он задумывался - чисто корпоративная приблуда. Максимум для чего он годится - подключать корпоративщиков-выделенщиков, да еще в аренду сдавать (если конечно в сети есть QoS).

[Roman Ivanov]

> AS у нас есть. Есть и блок адресов с префиксом /20 (4096 адресов).

> И для всех пользователей все равно не хватает. Как и виланов.

Получите второй блок, третий. В чем проблема ?

 

> А пользователю удобно PPP, потому что он спокоен и знает, что

> когда соединение не установлено, то нет паразитного трафика.

99% это не волнует на самом деле.

 

> В 2950 всего по-моему 64 вилана. То есть количество пользователей

> будет ограничено 2048?

Почему?

В ОДНОМ 2950 до 64-х VLAN.

S EI - 250.

Номера то - до тысячи.

Итого 27 000 человек в теории.

Никто же не заставляет ставить 2950 SI на Core ;)

 

> В любом случае требуется настройка клиентской ОС, и от этого

> никуда не денешься.

Правда? А почему мне не нужно ничего у клиента настраивать?

Option 82 дает много хорошего. Ну не надо мне у клиента ничего настраивать. Втыкнул - и работает.

 

> Да и посмотрите на ADSL-провайдеров, количество абонентов

> которых исчисляется десятками тысяч. Все используют PPPoE.

Там иначе почти никак. И я знаю тех, кто ADSL ушел из-за этих логинов и паролей.

 

> И vlan здесь никак не поможет, да и не для этого он задумывался -

> чисто корпоративная приблуда.

Странно - но он ПОМОГАЕТ. И работает.

 

> Максимум для чего он годится - подключать

> корпоративщиков-выделенщиков, да еще в аренду сдавать (если

> конечно в сети есть QoS).

Пересмотрите свой взгляд на сети. Он годится намногое.