crank Posted April 8, 2016 · Report post Добрый день, коллеги. Начинаем переходить на IP unnumbered. Адреса раздаем по DHCP, релеем и точкой терминирования абонентов выступает C3750. Схема vlan на коммутатор выбрана из соображения того, что большая часть коммутаторов имеет следующий функционал, который и планируется использовать: Есть: 802.1Q + Port Isolation + DHCP Snooping Нет: IP Source Guard + QinQ + не пропускают пакеты QinQ (MTU изменить нельзя) Все остальные свичи умеют всё вышеперечисленное и даже больше. Правильно ли я понимаю, что IP Source Guard нужен только для защиты от IP Spoofing'а и кража трафика без него невозможна? Очень не хочется возиться с ACL, чтобы разрешать на порту только трафик с определенного IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted April 8, 2016 · Report post Vlan per user, PPPOE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 · Report post PPPoE - это другая технология. С vlan per user все и так понятно, но вопрос был по схеме vlan на свич. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted April 8, 2016 · Report post не будет никакой кражи при правильной opt82 просто не использовать poll на аннамбереде, а использовать dhcp snooping + dhcp relay непосредственно на циске либо влан пер юзер, тогда вешайте опт82 где угодно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 · Report post Забыл уточнить, что используем привязку по MAC вместо opt82, но думаю значения это не имеет в данном случае. dhcp relay и dhcp snooping включены на циске. Вот типовой пример настройки vlan интерфейса: interface Vlan105 description dhcp-test ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface end Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 8, 2016 · Report post Самое правильное это работа без привязок по макам, но с контроля маков у абонентов. То есть если у абоненты был один мак, потом стал другой, значит абонент сменил роутер или компьютер. Тут привязка лишний повод звонка в техподдержку. Если же на кабель абонента кто-то сядет, абонент заметит и пожалуется. Такая ситуация может быть в случаях, когда абонент редко пользуется интернетом, а в момент его отсутствия кто-то подключил его кабель. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 8, 2016 · Report post ... в момент его отсутствия кто-то подключил его кабель. Зачем? О_о Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 8, 2016 · Report post Зачем? О_о Как зачем? специально или по ошибке, а может монтажники другого провайдера кабель перепутали. Вот чужой человек и пользуется интернетом. Потом основной клиент жалуется и проверяют его порт, говорят что все ок и начинаются веселые разбирательства, когда приходят к абоненту, видят что у него линка нет, проверяют все щитки на предмет где обрыв. То есть тратят много времени. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 (edited) · Report post Соорудил тест на стенде. Ноутбук и роутер в одном вилане на одном коммутаторе. Каждый получает свой IP по DHCP. Вот тут если на ноутбуке прописать IP адрес роутера, то можно спокойно работать. Особенно если с роутера почти нет никакой активности. Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Привожу конфиг циски ! ip dhcp snooping vlan 105,107,124,153,158 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 105,107,124,153,158 ! interface Loopback1 ip address 10.1.X.1 255.255.224.0 secondary ip address 91.X.X.X 255.255.252.0 ! interface Vlan105 description dhcp-test ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan107 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan124 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan153 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan158 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! Я не придумал еще способов как можно поюзать чужой трафик, кроме как прописать себе чужой MAC адрес, но это уже довольно сложно будет вычислить наобум. Edited April 8, 2016 by crank Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted April 8, 2016 · Report post Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 · Report post В любом случае случае придется переполучать адреса, т.к. маршруты на абонентов тоже пропадут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 8, 2016 (edited) · Report post МАК клиента вычислять не надо, его можно "поймать". dot1x не подойдет для ваших целей? Edited April 8, 2016 by VolanD666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 · Report post Каким образом можно поймать мак? Схема вилан на свич + port isolation. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 8, 2016 · Report post Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted April 8, 2016 · Report post Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно. Есть конечно и оно работает - привязки IP - MAC востанавливаються при рестаре. Но при ip unnumbered свичу нужно еще прописывать маршруты (VLAN) до конкретного IP. А эта инфра НЕ ВОСТАНАВЛИВАЕТЬСЯ при загруке лиз с FTP. К сожалению, наш случай :( Поэтому следим за хорошим питанием циски и забываем команду reload ;-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted April 8, 2016 · Report post Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто. Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 8, 2016 · Report post Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто. Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82. Использую авторизацию по маку + изоляцию портов. Сам считаю, что этого должно быть достаточно, но решил проконсультироваться правильно ли я всё понял.)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted April 8, 2016 · Report post Запилите MAC+VLAN, тогда кражи трафика не будет Прибежал легальный МАС, но на счету нет денег, белый IP не выдаем Прибежал легальный МАС, на счету есть деньги, но мак не со своего VLAN, белый IP не выдаем (если параноик, можете запилить notification) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vitalvas Posted April 9, 2016 · Report post У вас нет проблем с "ip route-cache same-interface"? У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса Вернул "ip route-cache cef" - вроде пока глюков нету.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted April 9, 2016 · Report post crank А что мешает сделать vlan per user? Оно фактически даже проще этих хитрых схем с изоляциями и привязками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted April 9, 2016 · Report post Усложняется схема работы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted April 9, 2016 · Report post Да нет же, упрощается схема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted April 9, 2016 · Report post Можно выдавать IP-адрес ориентируясь на опцию 82, а трафик блокировать на DPI. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted April 9, 2016 · Report post если подмена MAC + IP то только авторизация по порту либо влан на юзера и авторизация по терминирующей железке + номер влана или q-in-q и авторизация по svlan + cvlan + по терминирующей железке (аля remote-id) а опция 82 содержит много инфы, можно авторизовать по опции 82 и вытягивать из нее только мак и remote-id таким образом терминирующая железка либо свитч доступа + мак абона, тоже не годится Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted April 10, 2016 · Report post У вас нет проблем с "ip route-cache same-interface"? У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса Вернул "ip route-cache cef" - вроде пока глюков нету.. Такого глюка пока не замечал. Порт вы меняете на терминирующей железке или на доступе? А что мешает сделать vlan per user? Оно фактически даже проще этих хитрых схем с изоляциями и привязками. В моем случае это сделать проблемно, т.к. не получиться поднять QinQ (доступ этого не умеет. см. первый пост), а без этого виланы быстро закончатся. В общем схема vlan на свич, и будем считать что переделать на что-то другое нет возможности. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...