Jump to content

Блеск и нищета PPPoE.

San
 Share

Recommended Posts

San

San

Posted
Posted

Как бы не начать флэйм на выходные глядя.... Ну да ладно...

 

Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети.

Может кто предложит способы борьбы с хулиганомы кроме силовых.

В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен.

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Как бы не начать флэйм на выходные глядя.... Ну да ладно...

 

Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети.

Может кто предложит способы борьбы с хулиганомы кроме силовых.

В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен.

смотря какие задачи решаете при помощи PPPoE и сколько денег есть на их решение.

Если нужно контроллировать подключение клиентов - Static MAC Address Table, Port Security, IP-MAC Binding, ACL - это поможет контроллировать, чтобы на порту свича был именно тот, кто запалтил за подключение деньги.

Но, понятное дело, все это требует управляемого свича уже на уровне доступа.

San

San

Posted
  • Author
Posted

Уточняем. При помощи PPPoE пользователь входит в сеть. Авторизуется и получает доступ к ресурсам внутренней сети и к Интернет.

 

Port Based Vlan это конечно хорошо, но для меня загадка как он

работает. Тегироанные vlan это понятно. И как будет вся система работать если заводить копеечные порт-бэйсед свитчи в нечто управляемое, которое и будет в свою очередь поднимать вланы по бэкхолу. По типу один дом-один влан.

 

Видимо всю сеть придется переделывать. А ещё проще строить собственную а старую сдать на цветмет.

Бригинец Александр

Бригинец Александр

Posted
Posted
Port Based Vlan это конечно хорошо, но для меня загадка как он

работает. Тегироанные vlan это понятно

ты таки умудрился сделать второй шаг не зделав перого... первый случай это как раз самое понятное и простое. поэтому то и имеет решения на уже указаных дешеых свитчах в отличае от тегирования.

В кратце: ты объявляешь что порт 1 и 2 относится к первому вилану. порт 1 и 3 ко второму, порт 1 и 4 к третьему и т. д. В результате получается что со второго по х порты не могут друг дружку даже пропинговать а могут видеть только первый порт на котором ставишь к примеру сервер. Все просто.

San

San

Posted
  • Author
Posted

Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами?

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами?

IMHO, если есть возможность делать все на 802.1Q - лучше использовать его.

LessM

LessM

Posted
Posted

Тут теги не нужны... Пакету на каждом свиче по дороге будет только один путь - к твоему серверу... Вбок не свернет, назад тоже никак... И только сервер сможет его развернуть и отправить к другому компу, опять же одной только дорогой....

San

San

Posted
  • Author
Posted

Понятно что путь один. Только как поведут себя пакеты вышедшие с первого порта этого чудо-устройства когда они попадут не в транковый порт вышестоящего свитча. Причем не только не в транковый а в порт на котором поднят влан. Причем влан например с нумером 10..... ? почему такой вопрос? да потому что если там все таки есть тэги то они с 1 по 15 видимо.....

smsm

smsm

Posted
Posted

ну нету, нету в портовых вланах тэгов. Внутри устройства, служебные, может и есть, но наружу нет. Вышли они с одной свича, воткнулись в другой. Снаружи свича маки как маки, никаких отличий. Но внутри свича таблица коммцтации не даст соединятся макам напрямую порт-порт.

San

San

Posted
  • Author
Posted

Собственно так и предполагал.....

Вот только интересно почему таки vlan назвали....

Ох уж эти маркетологи........ ох уж эти сказочники..........

smsm

smsm

Posted
Posted
Ох уж эти маркетологи........ ох уж эти сказочники..........

 

" ага, работа такая " (С) Волк

вообще да, каждого второго отстрелить для профилактики нужно :)

LessM

LessM

Posted
Posted
вообще да, каждого второго отстрелить для профилактики нужно :)

А оставшихся утопить... Ну че только гады не напишут, лишь бы продать....

smsm

smsm

Posted
Posted

да ладно, фигня

вот контора одна хабы купила. каталист 2950, кажется 5 штук. продавались именно как хабы. покупатели потом переписку с продавцом показали, накладные.. имхо продавцы тоже люди, почти как маркетологи :)

  • 1 month later...
bishop

bishop

Posted
Posted

Есть еще ассиметричные вланы. Тоже вещь.

Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно?

kaa

kaa

Posted
Posted
Есть еще ассиметричные вланы. Тоже вещь.

Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно?

Точно.

bishop

bishop

Posted
Posted

тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

Yuz

Yuz

Posted
Posted
тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

По поводу Вланов могу сказать точно 255 есть у НР 2650 с последней прошивкой

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

посмотрите так же в сторону серии DES-3000 - 8, 16 и 24 порта, необходимые Вам VLAN и SNMP v3

По поводу опыта предыдущего общения - все же VoIP из другой серии, объективно некоторые проблемы со старой линейкой H.323 устройств были.

  • 3 weeks later...
G.Y.S.

G.Y.S.

Posted
Posted

автору топика:

А что собственно вы хотите контролировать в сегменте?

Юзера отключить за неуплату: без упр. железок может только монтажник. Напр-ть через себя инет трафик на др-х юзеров - мало выгодно - при грамотной тариф политике. Вирусы можно порезать поставивь пару l2.

+ пару гигабит линков - чтобы легче было жить с тунелями

PPPoE.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.