crank Опубликовано 8 апреля, 2016 · Жалоба Добрый день, коллеги. Начинаем переходить на IP unnumbered. Адреса раздаем по DHCP, релеем и точкой терминирования абонентов выступает C3750. Схема vlan на коммутатор выбрана из соображения того, что большая часть коммутаторов имеет следующий функционал, который и планируется использовать: Есть: 802.1Q + Port Isolation + DHCP Snooping Нет: IP Source Guard + QinQ + не пропускают пакеты QinQ (MTU изменить нельзя) Все остальные свичи умеют всё вышеперечисленное и даже больше. Правильно ли я понимаю, что IP Source Guard нужен только для защиты от IP Spoofing'а и кража трафика без него невозможна? Очень не хочется возиться с ACL, чтобы разрешать на порту только трафик с определенного IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 8 апреля, 2016 · Жалоба Vlan per user, PPPOE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 · Жалоба PPPoE - это другая технология. С vlan per user все и так понятно, но вопрос был по схеме vlan на свич. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 8 апреля, 2016 · Жалоба не будет никакой кражи при правильной opt82 просто не использовать poll на аннамбереде, а использовать dhcp snooping + dhcp relay непосредственно на циске либо влан пер юзер, тогда вешайте опт82 где угодно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 · Жалоба Забыл уточнить, что используем привязку по MAC вместо opt82, но думаю значения это не имеет в данном случае. dhcp relay и dhcp snooping включены на циске. Вот типовой пример настройки vlan интерфейса: interface Vlan105 description dhcp-test ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 апреля, 2016 · Жалоба Самое правильное это работа без привязок по макам, но с контроля маков у абонентов. То есть если у абоненты был один мак, потом стал другой, значит абонент сменил роутер или компьютер. Тут привязка лишний повод звонка в техподдержку. Если же на кабель абонента кто-то сядет, абонент заметит и пожалуется. Такая ситуация может быть в случаях, когда абонент редко пользуется интернетом, а в момент его отсутствия кто-то подключил его кабель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 апреля, 2016 · Жалоба ... в момент его отсутствия кто-то подключил его кабель. Зачем? О_о Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 апреля, 2016 · Жалоба Зачем? О_о Как зачем? специально или по ошибке, а может монтажники другого провайдера кабель перепутали. Вот чужой человек и пользуется интернетом. Потом основной клиент жалуется и проверяют его порт, говорят что все ок и начинаются веселые разбирательства, когда приходят к абоненту, видят что у него линка нет, проверяют все щитки на предмет где обрыв. То есть тратят много времени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 (изменено) · Жалоба Соорудил тест на стенде. Ноутбук и роутер в одном вилане на одном коммутаторе. Каждый получает свой IP по DHCP. Вот тут если на ноутбуке прописать IP адрес роутера, то можно спокойно работать. Особенно если с роутера почти нет никакой активности. Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Привожу конфиг циски ! ip dhcp snooping vlan 105,107,124,153,158 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 105,107,124,153,158 ! interface Loopback1 ip address 10.1.X.1 255.255.224.0 secondary ip address 91.X.X.X 255.255.252.0 ! interface Vlan105 description dhcp-test ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan107 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan124 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan153 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! interface Vlan158 ip unnumbered Loopback1 ip helper-address 192.168.4.18 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface ! Я не придумал еще способов как можно поюзать чужой трафик, кроме как прописать себе чужой MAC адрес, но это уже довольно сложно будет вычислить наобум. Изменено 8 апреля, 2016 пользователем crank Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 8 апреля, 2016 · Жалоба Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 · Жалоба В любом случае случае придется переполучать адреса, т.к. маршруты на абонентов тоже пропадут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 апреля, 2016 (изменено) · Жалоба МАК клиента вычислять не надо, его можно "поймать". dot1x не подойдет для ваших целей? Изменено 8 апреля, 2016 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 · Жалоба Каким образом можно поймать мак? Схема вилан на свич + port isolation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 8 апреля, 2016 · Жалоба Включил на циске arp inspection и всё. Больше таким образом нельзя работать. Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 8 апреля, 2016 · Жалоба Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта. А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно. Есть конечно и оно работает - привязки IP - MAC востанавливаються при рестаре. Но при ip unnumbered свичу нужно еще прописывать маршруты (VLAN) до конкретного IP. А эта инфра НЕ ВОСТАНАВЛИВАЕТЬСЯ при загруке лиз с FTP. К сожалению, наш случай :( Поэтому следим за хорошим питанием циски и забываем команду reload ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 8 апреля, 2016 · Жалоба Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто. Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 апреля, 2016 · Жалоба Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто. Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82. Использую авторизацию по маку + изоляцию портов. Сам считаю, что этого должно быть достаточно, но решил проконсультироваться правильно ли я всё понял.)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 8 апреля, 2016 · Жалоба Запилите MAC+VLAN, тогда кражи трафика не будет Прибежал легальный МАС, но на счету нет денег, белый IP не выдаем Прибежал легальный МАС, на счету есть деньги, но мак не со своего VLAN, белый IP не выдаем (если параноик, можете запилить notification) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalvas Опубликовано 9 апреля, 2016 · Жалоба У вас нет проблем с "ip route-cache same-interface"? У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса Вернул "ip route-cache cef" - вроде пока глюков нету.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 9 апреля, 2016 · Жалоба crank А что мешает сделать vlan per user? Оно фактически даже проще этих хитрых схем с изоляциями и привязками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Liner's Опубликовано 9 апреля, 2016 · Жалоба Усложняется схема работы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 9 апреля, 2016 · Жалоба Да нет же, упрощается схема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VPN Опубликовано 9 апреля, 2016 · Жалоба Можно выдавать IP-адрес ориентируясь на опцию 82, а трафик блокировать на DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 9 апреля, 2016 · Жалоба если подмена MAC + IP то только авторизация по порту либо влан на юзера и авторизация по терминирующей железке + номер влана или q-in-q и авторизация по svlan + cvlan + по терминирующей железке (аля remote-id) а опция 82 содержит много инфы, можно авторизовать по опции 82 и вытягивать из нее только мак и remote-id таким образом терминирующая железка либо свитч доступа + мак абона, тоже не годится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 10 апреля, 2016 · Жалоба У вас нет проблем с "ip route-cache same-interface"? У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса Вернул "ip route-cache cef" - вроде пока глюков нету.. Такого глюка пока не замечал. Порт вы меняете на терминирующей железке или на доступе? А что мешает сделать vlan per user? Оно фактически даже проще этих хитрых схем с изоляциями и привязками. В моем случае это сделать проблемно, т.к. не получиться поднять QinQ (доступ этого не умеет. см. первый пост), а без этого виланы быстро закончатся. В общем схема vlan на свич, и будем считать что переделать на что-то другое нет возможности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...