Перейти к содержимому
Калькуляторы

IPoE без привязки MAC Реализация в схеме "vlan на коммутатор"

Необходимо запустить сеть на IPoE без привязки к абонентскому железу (МАС клиента).

Т.е. "подключил любую железку - вышел в Интернет".

Схема сети "от абонента":

абонент -- порт DES-3200-XX(vlan на свитч) -- DGS-3420-XX(DHCP relay) --- DHCP сервер(opt 82 выдача IP по номеру порта DES-3200).

 

От подмены IP защитил с помощью dhcp snooping ip-mac-binding на DES-3200, а вот как решить проблему подмены MAC?

Например, некий абонент установил у себя роутер и зачем-то сделал в нём клон МАС компьютера.

Всё работает, все довольны. Через некоторое время, этот абонент продает комп своему соседу (в интерпретации провайдера - "в соседний порт").

Клон МАС в роутере не удаляет (зачем? и так работает).

Что имеем в итоге? Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

Решаемо? Если "да", то каким образом, или без привязки к МАС в данной схеме не обойтись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут уже была подобная тема про "перетыкальщиков".

Вообще-то читал, и не раз. Но там "моя" проблема не рассматривается.

Или я что-то пропустил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",

т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.

 

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

 

 

Не заблудится , просто оба будут получать как свой трафик так и трафик клиента . А в арп таблице будут 2 ip и один мак адрес

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ***й!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не проще ли реализовать привязку к vlan+switch+port? Если мак лезет не со своего порта, иди ...!

Уже думал над этим. Но работать не будет.

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

Во-вторых, в данном случае vlan будет просто лишним.

 

проверяйте базу лиз на дубли и все..

И? Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

Кому из двоих тапкой пО лбу? Без чтения (глазками) многотонных логов, "гада" не найти.

Так-что, как вариант, но "аццкий костыль"..

 

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Звонить абону и решать вопрос.

 

Имхо вероятность переезда компа внутри одного дома очень мала

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Звонить абону и решать вопрос.

Которому из двух? Снова "чтение вагона логов"..

 

Имхо вероятность переезда компа внутри одного дома очень мала

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какая разница, в одном доме, или вообще, в другом районе?

Всё одно в итоге МАС-и "встретятся" на DGS-3420..

Или если один и тот же МАС будет в разных vlan, коллизии не возникнет?

У DGS-3420 ARP таблица "одна на коммутатор", или много отдельных не пересекающихся, для каждого vlan?

L2 довести до BRAS (DHCP), есть возможность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну мяукнула "проверялка", что МАС 11:22:33:44:55:66 "хэз дупликат" - что дальше?

ничего, оба должны работать

а если китайсы пришлют в город партию роутеров с одинаковыми маками? звонить абонам и просить прописать нормальный мак? тогда лучше сразу рррое делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

BRAS + vlan на абонента + DHCP option 82

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 довести до BRAS (DHCP), есть возможность?

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Но...

Указанная проблема решается в схеме vlan на абонента.

Но порождаются другие...

Как id сессии в SEOS 11, в нашем случае (L2 DHCP CLIPS) MAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Допустим, что есть (сеть ещё не построена, так-что всё решаемо), хотя и очень нежелательно, т.к. ломает весь дизайн.

А что это изменит?

Изменит то, что L2 проблемы перейдут на логику L3 BRAS.

"перейдут", но не "решатся". Это во-первых.

А во-вторых, перейдут не все, вот эта -

Всё сломается ещё на коммутаторе доступа, ибо. если vlan на коммутатор, то у него будет два одинаковых МАС на разных портах. И будет жопэ.

- никуда не переместится.

И в-третьих - чем "полноценный L3 BRAS" в данном случае отличается от DGS-3420?

Что и как можно сделать на первом, чего не умеет второй (снова учитывая "в данном случае")?

 

P.S. Кстати..

Почти идеальный вариант -

BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Вообще, кто-нибудь подобное решил успешно?

У меня такое ощущение, что без привязки МАС к порту, кроме как "ручным разбором полётов", при любом дизайне сети проблему не решить.

Или я ошибаюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlan per customer + DHCP option 82 + L2 BRAS = хоть 1 MAC адрес на всех абонентов, вопрос в ПО BRAS и в Вашем биллинге.

"Ваша проблема" не решаема в одном L2 домене.

Или "vlan per customer" или

Которому из двух? Снова "чтение вагона логов"..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>> BRAS + vlan на абонента + DHCP option 82

Каким образом в этом "почти идеальном.." решается "моя" проблема?

Целиком и полностью решается.

Для BRAS'a, работающего на L3, одинаковые маки у клиентов не представляют вообще никакой проблемы.

Как сказали выше - даже 1 MAC на всю сеть будет замечательно работать, естественно DHCP должен выдавать адреса не по МАКам, а по номеру порта.

 

У нас данная схема реализована, красота и уют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

 

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

 

Смысл, очень упрощённо, в том, что L2 коммутатор хранит в таблице коммутации связку МАС + VLAN ID. Ну, или её хеш. И одинаковые МАС в разных vlan его не смущают. А L3 устройство хранит в том, что выглядит как ARP таблица а на самом деле является таблицей смежности, триплет "логический порт (интерфейс)" + IP + MAC.

 

Ведь может же быть сервер (или другое устройство) с одной сетевухой в разных VLAN...

А как подумашь, что могут современные BRASы ...

Кстати - у меня одного, чувство, что все переползают с L2 - L3 - L2 "connected users"?

ip v6?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как в схеме vlan-per-user эта проблема решается? Ведь в итоге оба МАС всё одно где-то встретятся в ARP таблице?

В моём случае, на DGS-3420. Или дупликаты в разных vlan коммутатор/роутер не волнуют?

Дело в том, что эти два одинаковых МАС будут НА РАЗНЫХ L3 ИНТЕРФЕЙСАХ.

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".

 

Такой вопрос еще к ТС, а что будете делать когда D-Link снимет 3200 серию с производства а в новой серии, по своей привычке, сделают что нибудь через жопу, изменят какие нибудь поля в пакете DHCP и так далее.

Сам уйду на пенсию, а проблему переложу на плечи молодых, нехай развлекаются. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В этом случае в фильтре должен быть обязательно МАС клиента. А если будет МАС, то во-первых, это уже будет "привязка к МАС".

ну так что мешает автоматом менять мак в БД на новый, если новый нигде не зарегистрирован в сети, и пинать саппорт (с блокировкой юзера/выдачей юзеру странички авторизации) если мак уже висит у другого абона? таким образом 1) решается проблема случайного перетыкания портов 2) решается проблема клонировщиков маков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е., если я Вас правильно понял, при моём дизайне сети, проблема может появиться только в пределах одного коммутатора (vlan)?

Именно. В пределах одного вилана. Проблема чисто L2.

 

В таком случае, проблемой её можно не считать. Вероятность, действительно, стремится к "нулю".
Вам виднее.

 

Делайте vlan per customer и всё.

Безо всяких там опций 82, просто вланы. Работает на любых свичах, даже самых древних типа DES-3226, и будет работать на любых будущих моделях.

+100500

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Делайте vlan per customer и всё.

Оно конечно, здОрово, но.. Как на указанном железе сиё реализовать?

Я имею ввиду DGS-3420, на котором нет ни ip unnambered, ни его dlink "аналога" - supervlan..

А железки, которые это умеют (DGS-3620, например), бюджет уже не потянет.

Железки уже закуплены. И задача - построить сеть, на том что есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.