IPoE без привязки MAC

[AlKov]

Необходимо запустить сеть на IPoE без привязки к абонентскому железу (МАС клиента).

Т.е. "подключил любую железку - вышел в Интернет".

Схема сети "от абонента":

абонент -- порт DES-3200-XX(vlan на свитч) -- DGS-3420-XX(DHCP relay) --- DHCP сервер(opt 82 выдача IP по номеру порта DES-3200).

 

От подмены IP защитил с помощью dhcp snooping ip-mac-binding на DES-3200, а вот как решить проблему подмены MAC?

Например, некий абонент установил у себя роутер и зачем-то сделал в нём клон МАС компьютера.

Всё работает, все довольны. Через некоторое время, этот абонент продает комп своему соседу (в интерпретации провайдера - "в соседний порт").

Клон МАС в роутере не удаляет (зачем? и так работает).

Что имеем в итоге? Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

Решаемо? Если "да", то каким образом, или без привязки к МАС в данной схеме не обойтись?

[AlKov]

Тут уже была подобная тема про "перетыкальщиков".

Вообще-то читал, и не раз. Но там "моя" проблема не рассматривается.

Или я что-то пропустил?

[sol]

Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

 

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

[orlik]

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

 

Не заблудится , просто оба будут получать как свой трафик так и трафик клиента . А в арп таблице будут 2 ip и один мак адрес

[FATHER_FBI]

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ***й!

[zhenya`]

проверяйте базу лиз на дубли и все..

[AlKov]

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ...!

Уже думал над этим. Но работать не будет.

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

Во-вторых, в данном случае vlan будет просто лишним.

 

проверяйте базу лиз на дубли и все..

И? Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

Кому из двоих тапкой пО лбу? Без чтения (глазками) многотонных логов, "гада" не найти.

Так-что, как вариант, но "аццкий костыль"..

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

[zhenya`]

Звонить абону и решать вопрос.

 

Имхо вероятность переезда компа внутри одного дома очень мала

[AlKov]

Звонить абону и решать вопрос.

Которому из двух? Снова "чтение вагона логов"..

 

Имхо вероятность переезда компа внутри одного дома очень мала

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

[bike]

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

L2 довести до BRAS (DHCP), есть возможность?

[zi_rus]

Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

ничего, оба должны работать

а если китайсы пришлют в город партию роутеров с одинаковыми маками? звонить абонам и просить прописать нормальный мак? тогда лучше сразу рррое делать

[MATPOC]

BRAS + vlan на абонента + DHCP option 82

[AlKov]

L2 довести до BRAS (DHCP), есть возможность?

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

[bike]

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Но...

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

Как id сессии в SEOS 11, в нашем случае (L2 DHCP CLIPS) MAC.

[AlKov]

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

"перейдут", но не "решатся". Это во-первых.

А во-вторых, перейдут не все, вот эта -

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

- никуда не переместится.

И в-третьих - чем "полноценный L3 BRAS" в данном случае отличается от DGS-3420?

Что и как можно сделать на первом, чего не умеет второй (снова учитывая "в данном случае")?

 

P.S. Кстати..

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Вообще, кто-нибудь подобное решил успешно?

У меня такое ощущение, что без привязки МАС к порту, кроме как "ручным разбором полётов", при любом дизайне сети проблему не решить.

Или я ошибаюсь?

[bike]

vlan per customer + DHCP option 82 + L2 BRAS = хоть 1 MAC адрес на всех абонентов, вопрос в ПО BRAS и в Вашем биллинге.

"Ваша проблема" не решаема в одном L2 домене.

Или "vlan per customer" или

Которому из двух? Снова "чтение вагона логов"..

[kayot]

>> BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Целиком и полностью решается.

Для BRAS'a, работающего на L3, одинаковые маки у клиентов не представляют вообще никакой проблемы.

Как сказали выше - даже 1 MAC на всю сеть будет замечательно работать, естественно DHCP должен выдавать адреса не по МАКам, а по номеру порта.

 

У нас данная схема реализована, красота и уют.

[sol]

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

 

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

[FATHER_FBI]

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

[bike]

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

А как подумашь, что могут современные BRASы ...

Кстати - у меня одного, чувство, что все переползают с L2 - L3 - L2 "connected users"?

ip v6?

[AlKov]

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".

 

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

Сам уйду на пенсию, а проблему переложу на плечи молодых, нехай развлекаются. :-)

[NiTr0]

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

ну так что мешает автоматом менять мак в БД на новый, если новый нигде не зарегистрирован в сети, и пинать саппорт (с блокировкой юзера/выдачей юзеру странички авторизации) если мак уже висит у другого абона? таким образом 1) решается проблема случайного перетыкания портов 2) решается проблема клонировщиков маков.

[rdc]

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

[sol]

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

Именно. В пределах одного вилана. Проблема чисто L2.

 

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".

Вам виднее.

 

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

+100500

[AlKov]

Делайте vlan per customer и всё.

Оно конечно, здОрово, но.. Как на указанном железе сиё реализовать?

Я имею ввиду DGS-3420, на котором нет ни ip unnambered, ни его dlink "аналога" - supervlan..

А железки, которые это умеют (DGS-3620, например), бюджет уже не потянет.

Железки уже закуплены. И задача - построить сеть, на том что есть...