Jump to content

Аналоги DHCP Snooping и IP Source Guard

Zelya
 Share

Recommended Posts

Zelya

Zelya

Posted
Posted

Здравствуйте!

 

В коммутаторах Cisco, начиная с простейших 2950 есть такие features - DHCP snooping и Option-82 Data Insertion. В сочетании с IP Source Guard это позволяет осуществить очень красивую схему, когда пользователь получает по DHCP адрес на основании MAC адреса коммутатора и номера порта, при этом те, кто адрес по DHCP не получал, работать не могут. Однако IP Source Guard есть только начиная с 3550 EMI, что стоит довольно существенных денег (как минимум $1500, судя по price.ru). Нет ли у других производителей чего-нибудь похожего, но не настолько дорогого? Уж очень я не люблю PPPoE, PPTP и все, что с этим связано...

repa

repa

Posted
Posted

Касательно DHCP snooping, альтернативой может быть фильтр по портам, протокол UDP. Довольно много железа.

 

А вот IP Source Guard. Хорошая вьюча. В других пока не встречал.

Zelya

Zelya

Posted
  • Author
Posted

Справедливости ради надо отметить, что есть у Foundry Networks (какой-то недоделанный, как можно загрести в одну кучу под названием dynamic learning все - IP, ARP, DHCP, BOOTP?) и Riverstone Networks (у этих вроде бы нормальный). Но цены на это оборудование абсолютно неизвестны...

Ascent77

Ascent77

Posted
Posted
Roman Ivanov, Option 82 хороша, но не всем подходит, появилось много пользователей, которым нужно более 1-го реального ип, и которые готовы за это платить.
Zelya

Zelya

Posted
  • Author
Posted
Roman Ivanov, Option 82 хороша, но не всем подходит, появилось много пользователей, которым нужно более 1-го реального ип, и которые готовы за это платить.

Не понял, а почему нельзя прописать пул адресов? Если они все все равно принадлежат одному пользователю?

Roman Ivanov

Roman Ivanov

Posted
Posted
Roman Ivanov, Option 82 хороша, но не всем подходит, появилось много пользователей, которым нужно более 1-го реального ип, и которые готовы за это платить.
Не понял, а почему нельзя прописать пул адресов? Если они все все равно принадлежат одному пользователю?

 

именно.

Ascent77

Ascent77

Posted
Posted

Zelya,

Не понял, а почему нельзя прописать пул адресов? Если они все все равно принадлежат одному пользователю?

пул не обеспечивает повторяемости ип у клиента, сегодня ип на компьютере отца, завтра на компьютере сына. Проблема, что к ип часто привязывают доступ к различным платным и не очень ресурсам и т.д.,

и будет сложно обяснить клиенту почему у него постоянный и реальный ип, постоянно прыгает:)

Zelya

Zelya

Posted
  • Author
Posted
Zelya,

Не понял, а почему нельзя прописать пул адресов? Если они все все равно принадлежат одному пользователю?

пул не обеспечивает повторяемости ип у клиента, сегодня ип на компьютере отца, завтра на компьютере сына. Проблема, что к ип часто привязывают доступ к различным платным и не очень ресурсам и т.д.,

и будет сложно обяснить клиенту почему у него постоянный и реальный ип, постоянно прыгает:)

RFC 2131: "If an address is available, the new address SHOULD be chosen as follows:

o The client's current address as recorded in the client's current binding, ELSE

o The client's previous address as recorded in the client's (now expired or released) binding, if that address is in the server's pool of available addresses and not already allocated..."

У нас ISC dhcpd годами выдает один и тот же адрес. Так что если адрес прыгает - значит клиент на адресах "сэкономил" ;-)

Ascent77

Ascent77

Posted
Posted

мы говорим об обычном DHCP основанном на MAC адресах сетевых карт или об option 82 insert? как объяснял, Roman Ivanov, option 82 позволяет выдавать ип на основе порта коммутатора, не заботясь о мак адресе клиента.

1) Вопрос, как DHCP-server будет знать какой ип из пула какому клиентскому компьютеру принадлежит, учитывая, что порт подключения один?

2) Или же все таки мак адрес клиента учитывается при выделении ип, в дополнение к информации о порте коммутатора?

Roman Ivanov если не трудно, проясните, пожалуйста, ситуацию.

Roman Ivanov

Roman Ivanov

Posted
Posted
2) Или же все таки мак адрес клиента учитывается при выделении ип, в дополнение к информации о порте коммутатора?

Roman Ivanov если не трудно, проясните, пожалуйста, ситуацию.

 

Тоже учитывается. Можно даже привязать к нему ;)

  • 16 years later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.