[Nailer]

ЗЫ. PPPoE имеет большой минус - его надо настраивать у клиента.

 

Сетки /30 можно раздать по DHCP, но в такой схеме придется делать привязку mac к ip в DHCP, что тоже не удобно. Хотя имхо, проблемы надо по максимуму решать у себя, не переваливая их на клиента и его комп.

[mav]

ЗЫ. PPPoE имеет большой минус - его надо настраивать у клиента.

 

Сетки /30 можно раздать по DHCP, но в такой схеме придется делать привязку mac к ip в DHCP, что тоже не удобно. Хотя имхо, проблемы надо по максимуму решать у себя, не переваливая их на клиента и его комп.

Вот тут его минус, согласен. Плюс, для многих не привычно для входа в сеть запускать соединение.

[krab]

dot1x тоже надо настраивать с клиентской стороны...

3750 вне всяких сомнений рулит, но его в каждый ящик не поставишь :)

[Susanin]

Позвольте уж и мне свое видение схемы описать.

Сразу скажу - у нас эта схема пока еще не используеться - нет необходимого оборудования. Но в ближайщие месяц-полтора мы её запустим полностью.

Во первых - не посчитайте меня ярым сторонником фирмы D-Link, просто мы с этой фирмой много работаем по поводу радиооборудования, поэтому и в схеме я буду указывать оборудование их марки. Хотя, значительная часть элементов можно заменить продуктами других вендоров.

 

Данная схема не предназначена для сетей с количеством абонентов > 1k.

Итак:

1. На домах ставим абонентский свич. В нашем случае - DES-2108. От него нам интересно: Port security и Сегментация трафика. Собственно, на каждый порт привязываем абонентский MAC и разрезаем все порты друг от друга. Вот как раз здесь наверняка можно найти аналогичную свичку другого производителя.

Далее, в центр ставим DES-3828. От него нам нужна прежде всего необходима одна изюминка - IP+MAC blinding. Эта фича (как я понял) являеться продолжением static ARP, но кроме ip защищает также и MAC. т.е. через свичку теперь не может пройти пакет с таким-же IP но другим маком, и с таким-же MAC, но другим ip.

Как сообщили мне в региональном представительстве D-link в четвертом квартале 2005 г. должна выйти следующая версия прошивки для 3828, в которой уже можно будет делать привязку IP+MAC+PORT.

 

Получаем:

1.Абонент не может сменить MAC - так как тогда не пройдет дальше абонентского свича.

2.Абонент не может сменить IP - так как тогда не пройдет выше центрального свича.

3. Абонент не может сменить и IP+MAC одновременно.

4. За счет сегментации трафика абоненты изолированы друг от друга на L2.

5.Полный контроль над всеми абонентскими портами.

 

Стоимость ооборудования:

DES-3828 - примерно - 900$

DES-2108 - примерно - 90$.

 

Сфера приминения - в ДС (или участках ДС) с кол-во абонентов от 150 до 350.

 

Плюсы:

+изоляция абонентов;

+отсутствие возможности НСД (несанкционированного доступа к сети) стандартными способами (сменой сетевых реквизитов);

+нет никакой настройки оборудования со стороны клиента;

+нет необходимости в каких-либо дополнительных программных средствах

 

Минусы:

-Это все-таки D-Link. Хотя в качестве абонентских свичей наверняка можно найти замену.

-Крики абонентов о невозможности поиграть в сетевую игру с соседом. Отчасти решаеться отключение изоляции между некоторыми портами.

-трафик не идет через сервер - следовательно нет полного контроля. (В принципе, если нет НСД, то необходимость полного контроля не так остра);

-нельзя (если и можно, то я еще не нашел способа) логировать попытки НСД.

 

Вот собственно моя схема.

Жду комментариев, особенно с критикой :).

[Nag]

Susanin, совершенно не понятно - за чем так сложно??? Для авторизации пользователя на порту вполне достаточно тупого мак-секьюрити и управления по SNMP. Все остальное уже от лукавого - лишние навороты и лишние глюки.

Следующий уровень - выставление приоритетов на портах, но это уже в основном для корпоративки - для физиков пока избыточно. То же самое - фильтрация вирусного трафика и его нарезка.

 

ЗЫ. Имхо 90 баксов за 8 примитивно управляемых портов - совсем даже не мало... ;-)

[Бригинец Александр]

Susanin,

схема понятная.

1-ый уровень 2108 привязываешь мак к порту

2-ой уровень 3828 привязываешь ИП к маку.

 

только в сети с 150-300 машин второй уровень можно убрать. а привязку мак к ИП сделать непосредственно прописав ручками в арп шлюзовой машины. При етом если сыкономить на 3828 900$ то неплохой машине.

 

А подскажите знающие кошководы, какая из младших моделек каталистов потдерживает подобную привязку ИП - МАК....?

[Susanin]

Susanin,  

схема понятная.

1-ый уровень 2108 привязываешь мак к порту

2-ой уровень 3828 привязываешь ИП к маку.

 

только в сети с 150-300 машин второй уровень можно убрать. а привязку мак к ИП сделать непосредственно прописав ручками в арп шлюзовой машины. При етом если сыкономить на 3828 900$ то неплохой машине.

Ага. только я же написал - схема для ДС. А в ДС кроме шлюзовой есть еще серваки, и не все они под Unix-системами. А на Win делать привязку - это уже гемор. Поэтому IMHO, лучше на свичке.

Да и экономия 900$ из расчета даже на 150 абонентов - не такая уж большая.

Кроме того, эта схема позволит в дальнейшем без затрат перейти, в случае необходимости, на 802.1q!

Опять-же IMHO, если есть возможность ставить свичку, я всегда выберу её а не Unix-сервер.

[Susanin]

Susanin, совершенно не понятно - за чем так сложно??? Для авторизации пользователя на порту вполне достаточно тупого мак-секьюрити и управления по SNMP.

Ткните носом, где можно почитать поподробнее про авторизацию через SNMP. Очень интересно.

 

ЗЫ. Имхо 90 баксов за 8 примитивно управляемых портов - совсем даже не мало... ;-)

Согласен, поэтому и писал сразу что этот элемент наверняка можно заменить. Вот сейчас и ищу альтернативу. Думал - может кто что предложит. В основном все упираеться в возможность сегментации трафика, если без нее - то есть куча предложений.

[Nag]

Susanin, а зачем авторизовать через SNMP? Достаточно смотреть на это бело софтом биллинга и авторизатора - и управлять портом в случае разных событий (то же самое мак-секьюрити предусматривает от 4 вариантов реакции как правило).

 

По свитчу - что подразумевается под сегментацией?

Не совсем понятно.

По железкам - попробуйте посмотреть на http://4isp.ru

Ну или мне в мыло написать...

[Susanin]

По свитчу - что подразумевается под сегментацией?  

Не совсем понятно.  

По железкам - попробуйте посмотреть на http://4isp.ru

Ну или мне в мыло написать...

Я под "Сегментацией" принимал функцию на свиче, которая позволяет определить какой порт с каким может обмениваться данными, а с каким нет. Позволяет на не очень умном свиче создать схему - 1 общий порт, остальные порты - клиентские. Клиенсткие могут взаимодействовать только с серверным портом.

[Гoсть]

1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень.

2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения".

3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть.

 

Жду опровержений ;)

[Susanin]

1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень.

2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения".

3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть.

 

Жду опровержений ;)

1. Т.е. MAC совсем не контролировать ? Или в другом месте ? (в каком тогда..)

2. Полностью согласен. Я этого и не отрицал.

Логин/пароль - это хорошо, когда речь идет тока об инете. А с локальными ресурсами ? На игровые тоже логин/пароль ставить ?

3. Хм.. А для домохозяек мне курсы проводить ? IMHO, чем меньше настроек у абонента - тем меньше гемора у службы поддержки.

 

4. Собственно, а изоляция клиентов ?

[Nag]

1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень.

 

 

А тут и опровергать нечего.

Езернет работает по МАСам. Поэтому на порту можно:

1. авторизовать по МАСу.

2. давать порт не езернетый, а какой-то другой - типа IP, PPP, и .т.п.

Что не так и просто.

IP требует коммутатора L3, РРР - поддержки авторизации по радиусу на порту свитча (забыл буковку в 802.1).

 

Далее, а при чем тут вынос куда-то технологии? Контроль по МАС вполне может делаться так, что пользователь про него может и не знать вообще.

Это вещи не связанные одна с другой. :-)

 

2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения".

 

Клиент предпочитает что бы у него работало. Пароль и логин ему не нужен вообще. См. на телефонию - где там есть пароль на доступ?

А уж как с этим связан договор - вовсе не понятно.

 

3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть.  

 

Во-вервых, сетап не освоен всеми подряд. Особенно новыми клиентами. На большой сети это серьезно напрягает.

Во-вторых, обычный РРРоЕ (не тот что на порту по радиусу) не дает НИКАКОГО контроля над сетью. Клиент может запросто поставить любые реквизиты и по плоскому езернету творить ЛЮБЫЕ чудеса.

В-третьих, терминация туннелей довольно затратный процесс.

В-четвертых, на РРРоЕ плохо накладываеются сервисы типа телефонии, ТВ, и т.п.

Да - все в принципе решаемо. Но вопрос - зачем раскидывать грабли и потом прыгать между ними? ;-)

[Nag]

Я под "Сегментацией" принимал функцию на свиче, которая позволяет определить какой порт с каким может обмениваться данными, а с каким нет. Позволяет на не очень умном свиче создать схему - 1 общий порт, остальные  порты - клиентские. Клиенсткие могут взаимодействовать только с серверным портом.

 

Честно говоря, это на мой взгляд не сильно актуально.

Схема с портовыми виланами (как описана) хорошо работает только на небольшой сети, либо как небольшая часть большой сети.

В остальных случаях желательны тегированные виланы 802.1q.

Это даст возможность управлять любым портом отдельно не зависимо от его местонахождения как портом рутера.

И правила разделения создавать уже на маршрутизаторе на узле сети...

 

Тем более железо под 802.1q стоит счас более чем разумные 5-6 баксов за порт.

[Гoсть]

1. Забываем про существование МАК адресов. Решаем эту задачу с помощью VLAN в любых его проявлениях.

2. Клиента нужно идентифицировать. Не компьютер, а именно клиента, который получает услугу.

3. Клиенту удобно пользоваться услугой только когда ему это требуется. А не когда включен компьютер.

4. Услуг может быть больше одной. Клиенту не удобно получать услуги в виде трафа. Клиенту нужен удобный стартовый портал для выбора услуг.

 

Заметьте, ключевыми словами является КЛИЕНТ и УСЛУГА. А никак не MAC, PPPoE и прочая ботва.

[Nag]

1. Забываем про существование МАК адресов. Решаем эту задачу с помощью VLAN в любых его проявлениях.

2. Клиента нужно идентифицировать. Не компьютер, а именно клиента, который получает услугу.

3. Клиенту удобно пользоваться услугой только когда ему это требуется. А не когда включен компьютер.

4. Услуг может быть больше одной. Клиенту не удобно получать услуги в виде трафа. Клиенту нужен удобный стартовый портал для выбора услуг.

 

Заметьте, ключевыми словами является КЛИЕНТ и УСЛУГА. А никак не MAC, PPPoE и прочая ботва.

 

1. Пора определиться - вы вилан на пользователя предлагаете или РРРоЕ? ;-) А то получается разнонаправленная тенденция.

Вообще, Vlan и МАС - для работы КЛИЕНТА и УСЛУГИ в плане авторизации мало отличаются. Надо просто смотреть немного шире - ведь не обязательно жестко привязывать МАК к пользователю, к порту, или договору. Нужно понимать откуда (и куда) пошел пакет из клиентского провода - это, по идее, достаточно для дальнейшего анализа и принятия мер (отключения, предупреждения, и т.п.)

.

Vlan дать на пользователя можно, это даже очень хорошо, - но на сегодня это банально не нужно (или не выгодно).

 

2. См. на телефонию - для идентификации вполне достаточно физического кабеля. ;-) Это, кстати, удобнее и проще.

 

3. Бедные, бедные пользователи телефонов. Они не могут подключать услугу по мере необходимости. ;-) Впрочем, если клиент хочет отключить интернет - он может благополучно "загасить" сетевой интерфейс. Или поднимать его когда надо. :-)

Только реально никому эти пляски давно не нужны - чем проще выход в сеть, тем лучше.

 

4. Стартовый портал - это хорошо. Только, уж извините, при чем тут вооще способ авторизации???

 

ЗЫ. Гoсть, такое впечатление что два последних поста под вашим ником писали два разных человека. Они же никак и ничем логически не связаны.

В первом - "МАС-плохо", а вот РРРоЕ - хорошо. Во втором "Вилан - хорошо, а главное УСЛУГА". :-)))

Хочется понять, о чем вообще речь идет...

[Гoсть]

1. Для физ.клиентов классической ДС лучше всего подходит PPPoE. Для юр.лиц, офисов и бизнес-центров - 802.1q.

2. Недостаточно.

3. Чем УДОБНЕЙ пользоваться УСЛУГОЙ тем лучше.

4. Стартовый портал - это и есть способ идентификации клиента и авторизации/аккаунтинга оказываемых ему услуг. Читай классику - циско SSG.

 

Nag, не цепляйся к словам, зри в корень.

[Nag]

Гoсть, как бы не убедительно аргументация звучит. :-) Про сравнение РРРоЕ и пор-секьюрити сломано много копий, много сетей пользуются разными способами.

Можно сказать при каких условиях одно лучше другого - например РРРоЕ удобен для небольших сетей построенных на неуправляемом жедезе. Но (на мой взгляд) не оправдан в больших сетях с управляемыми портами.

 

А SSG как способ идентификации - не в этой жизни. Или уже есть примеры реализации в России?

И опять же не понятно, как это все зависит от РРРоЕ или виланов...

[Гoсть]

Nag,

беда в том что ты знаешь КАК делать, но не знаешь ЧТО. Вот когда будет ЧТО-И-КАК вот тогда продолжим.

[Nag]

Nag,

беда в том что ты знаешь КАК делать, но не знаешь ЧТО. Вот когда будет ЧТО-И-КАК вот тогда продолжим.

 

Как бы это сказать...

На форуме менторские обороты выглядят забавно, но не более того... :-)

[lumen2006]

Имееться локальная сеть из 50 компьютеров соеденных несколькими коммутаторами с поддержкой 802.1x с выходом в интернет.

Требуеться установить freeradius для того чтобы он проверял пользователей по ip и mac, порту на комутаторе и разрешал доступ в локальную сеть.

А доступ в интернет разрешаеться в данный момент с другого компьютера и чтоб он так же и разрешал доступ в интернет.

[martin74]

это заказ на работу? или как?

[lumen2006]

нет не заказ

интереисуюсь как именно через radius это можно реализовать