Jump to content
Калькуляторы

IPoE без привязки MAC Реализация в схеме "vlan на коммутатор"

Необходимо запустить сеть на IPoE без привязки к абонентскому железу (МАС клиента).

Т.е. "подключил любую железку - вышел в Интернет".

Схема сети "от абонента":

абонент -- порт DES-3200-XX(vlan на свитч) -- DGS-3420-XX(DHCP relay) --- DHCP сервер(opt 82 выдача IP по номеру порта DES-3200).

 

От подмены IP защитил с помощью dhcp snooping ip-mac-binding на DES-3200, а вот как решить проблему подмены MAC?

Например, некий абонент установил у себя роутер и зачем-то сделал в нём клон МАС компьютера.

Всё работает, все довольны. Через некоторое время, этот абонент продает комп своему соседу (в интерпретации провайдера - "в соседний порт").

Клон МАС в роутере не удаляет (зачем? и так работает).

Что имеем в итоге? Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

Решаемо? Если "да", то каким образом, или без привязки к МАС в данной схеме не обойтись?

Share this post


Link to post
Share on other sites

Тут уже была подобная тема про "перетыкальщиков".

Вообще-то читал, и не раз. Но там "моя" проблема не рассматривается.

Или я что-то пропустил?

Share this post


Link to post
Share on other sites

Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

 

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

Share this post


Link to post
Share on other sites

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

 

Не заблудится , просто оба будут получать как свой трафик так и трафик клиента . А в арп таблице будут 2 ip и один мак адрес

Share this post


Link to post
Share on other sites

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ***й!

Share this post


Link to post
Share on other sites

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ...!

Уже думал над этим. Но работать не будет.

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

Во-вторых, в данном случае vlan будет просто лишним.

 

проверяйте базу лиз на дубли и все..

И? Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

Кому из двоих тапкой пО лбу? Без чтения (глазками) многотонных логов, "гада" не найти.

Так-что, как вариант, но "аццкий костыль"..

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

Share this post


Link to post
Share on other sites

Звонить абону и решать вопрос.

Которому из двух? Снова "чтение вагона логов"..

 

Имхо вероятность переезда компа внутри одного дома очень мала

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

Share this post


Link to post
Share on other sites

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

L2 довести до BRAS (DHCP), есть возможность?

Share this post


Link to post
Share on other sites

Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

ничего, оба должны работать

а если китайсы пришлют в город партию роутеров с одинаковыми маками? звонить абонам и просить прописать нормальный мак? тогда лучше сразу рррое делать

Share this post


Link to post
Share on other sites

L2 довести до BRAS (DHCP), есть возможность?

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Share this post


Link to post
Share on other sites

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Но...

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

Как id сессии в SEOS 11, в нашем случае (L2 DHCP CLIPS) MAC.

Share this post


Link to post
Share on other sites

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

"перейдут", но не "решатся". Это во-первых.

А во-вторых, перейдут не все, вот эта -

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

- никуда не переместится.

И в-третьих - чем "полноценный L3 BRAS" в данном случае отличается от DGS-3420?

Что и как можно сделать на первом, чего не умеет второй (снова учитывая "в данном случае")?

 

P.S. Кстати..

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Вообще, кто-нибудь подобное решил успешно?

У меня такое ощущение, что без привязки МАС к порту, кроме как "ручным разбором полётов", при любом дизайне сети проблему не решить.

Или я ошибаюсь?

Share this post


Link to post
Share on other sites

vlan per customer + DHCP option 82 + L2 BRAS = хоть 1 MAC адрес на всех абонентов, вопрос в ПО BRAS и в Вашем биллинге.

"Ваша проблема" не решаема в одном L2 домене.

Или "vlan per customer" или

Которому из двух? Снова "чтение вагона логов"..

Share this post


Link to post
Share on other sites

>> BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Целиком и полностью решается.

Для BRAS'a, работающего на L3, одинаковые маки у клиентов не представляют вообще никакой проблемы.

Как сказали выше - даже 1 MAC на всю сеть будет замечательно работать, естественно DHCP должен выдавать адреса не по МАКам, а по номеру порта.

 

У нас данная схема реализована, красота и уют.

Share this post


Link to post
Share on other sites

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

 

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

Share this post


Link to post
Share on other sites

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

Share this post


Link to post
Share on other sites

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

А как подумашь, что могут современные BRASы ...

Кстати - у меня одного, чувство, что все переползают с L2 - L3 - L2 "connected users"?

ip v6?

Share this post


Link to post
Share on other sites

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".

 

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

Сам уйду на пенсию, а проблему переложу на плечи молодых, нехай развлекаются. :-)

Share this post


Link to post
Share on other sites

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

ну так что мешает автоматом менять мак в БД на новый, если новый нигде не зарегистрирован в сети, и пинать саппорт (с блокировкой юзера/выдачей юзеру странички авторизации) если мак уже висит у другого абона? таким образом 1) решается проблема случайного перетыкания портов 2) решается проблема клонировщиков маков.

Share this post


Link to post
Share on other sites

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

Share this post


Link to post
Share on other sites

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

Именно. В пределах одного вилана. Проблема чисто L2.

 

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".
Вам виднее.

 

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

+100500

Share this post


Link to post
Share on other sites

Делайте vlan per customer и всё.

Оно конечно, здОрово, но.. Как на указанном железе сиё реализовать?

Я имею ввиду DGS-3420, на котором нет ни ip unnambered, ни его dlink "аналога" - supervlan..

А железки, которые это умеют (DGS-3620, например), бюджет уже не потянет.

Железки уже закуплены. И задача - построить сеть, на том что есть...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.