Nailer Опубликовано 7 октября, 2005 · Жалоба ЗЫ. PPPoE имеет большой минус - его надо настраивать у клиента. Сетки /30 можно раздать по DHCP, но в такой схеме придется делать привязку mac к ip в DHCP, что тоже не удобно. Хотя имхо, проблемы надо по максимуму решать у себя, не переваливая их на клиента и его комп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 7 октября, 2005 · Жалоба ЗЫ. PPPoE имеет большой минус - его надо настраивать у клиента. Сетки /30 можно раздать по DHCP, но в такой схеме придется делать привязку mac к ip в DHCP, что тоже не удобно. Хотя имхо, проблемы надо по максимуму решать у себя, не переваливая их на клиента и его комп. Вот тут его минус, согласен. Плюс, для многих не привычно для входа в сеть запускать соединение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krab Опубликовано 7 октября, 2005 · Жалоба dot1x тоже надо настраивать с клиентской стороны... 3750 вне всяких сомнений рулит, но его в каждый ящик не поставишь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 8 октября, 2005 · Жалоба Позвольте уж и мне свое видение схемы описать. Сразу скажу - у нас эта схема пока еще не используеться - нет необходимого оборудования. Но в ближайщие месяц-полтора мы её запустим полностью. Во первых - не посчитайте меня ярым сторонником фирмы D-Link, просто мы с этой фирмой много работаем по поводу радиооборудования, поэтому и в схеме я буду указывать оборудование их марки. Хотя, значительная часть элементов можно заменить продуктами других вендоров. Данная схема не предназначена для сетей с количеством абонентов > 1k. Итак: 1. На домах ставим абонентский свич. В нашем случае - DES-2108. От него нам интересно: Port security и Сегментация трафика. Собственно, на каждый порт привязываем абонентский MAC и разрезаем все порты друг от друга. Вот как раз здесь наверняка можно найти аналогичную свичку другого производителя. Далее, в центр ставим DES-3828. От него нам нужна прежде всего необходима одна изюминка - IP+MAC blinding. Эта фича (как я понял) являеться продолжением static ARP, но кроме ip защищает также и MAC. т.е. через свичку теперь не может пройти пакет с таким-же IP но другим маком, и с таким-же MAC, но другим ip. Как сообщили мне в региональном представительстве D-link в четвертом квартале 2005 г. должна выйти следующая версия прошивки для 3828, в которой уже можно будет делать привязку IP+MAC+PORT. Получаем: 1.Абонент не может сменить MAC - так как тогда не пройдет дальше абонентского свича. 2.Абонент не может сменить IP - так как тогда не пройдет выше центрального свича. 3. Абонент не может сменить и IP+MAC одновременно. 4. За счет сегментации трафика абоненты изолированы друг от друга на L2. 5.Полный контроль над всеми абонентскими портами. Стоимость ооборудования: DES-3828 - примерно - 900$ DES-2108 - примерно - 90$. Сфера приминения - в ДС (или участках ДС) с кол-во абонентов от 150 до 350. Плюсы: +изоляция абонентов; +отсутствие возможности НСД (несанкционированного доступа к сети) стандартными способами (сменой сетевых реквизитов); +нет никакой настройки оборудования со стороны клиента; +нет необходимости в каких-либо дополнительных программных средствах Минусы: -Это все-таки D-Link. Хотя в качестве абонентских свичей наверняка можно найти замену. -Крики абонентов о невозможности поиграть в сетевую игру с соседом. Отчасти решаеться отключение изоляции между некоторыми портами. -трафик не идет через сервер - следовательно нет полного контроля. (В принципе, если нет НСД, то необходимость полного контроля не так остра); -нельзя (если и можно, то я еще не нашел способа) логировать попытки НСД. Вот собственно моя схема. Жду комментариев, особенно с критикой :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 8 октября, 2005 · Жалоба Susanin, совершенно не понятно - за чем так сложно??? Для авторизации пользователя на порту вполне достаточно тупого мак-секьюрити и управления по SNMP. Все остальное уже от лукавого - лишние навороты и лишние глюки. Следующий уровень - выставление приоритетов на портах, но это уже в основном для корпоративки - для физиков пока избыточно. То же самое - фильтрация вирусного трафика и его нарезка. ЗЫ. Имхо 90 баксов за 8 примитивно управляемых портов - совсем даже не мало... ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 8 октября, 2005 · Жалоба Susanin, схема понятная. 1-ый уровень 2108 привязываешь мак к порту 2-ой уровень 3828 привязываешь ИП к маку. только в сети с 150-300 машин второй уровень можно убрать. а привязку мак к ИП сделать непосредственно прописав ручками в арп шлюзовой машины. При етом если сыкономить на 3828 900$ то неплохой машине. А подскажите знающие кошководы, какая из младших моделек каталистов потдерживает подобную привязку ИП - МАК....? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 8 октября, 2005 · Жалоба Susanin, схема понятная. 1-ый уровень 2108 привязываешь мак к порту 2-ой уровень 3828 привязываешь ИП к маку. только в сети с 150-300 машин второй уровень можно убрать. а привязку мак к ИП сделать непосредственно прописав ручками в арп шлюзовой машины. При етом если сыкономить на 3828 900$ то неплохой машине. Ага. только я же написал - схема для ДС. А в ДС кроме шлюзовой есть еще серваки, и не все они под Unix-системами. А на Win делать привязку - это уже гемор. Поэтому IMHO, лучше на свичке. Да и экономия 900$ из расчета даже на 150 абонентов - не такая уж большая. Кроме того, эта схема позволит в дальнейшем без затрат перейти, в случае необходимости, на 802.1q! Опять-же IMHO, если есть возможность ставить свичку, я всегда выберу её а не Unix-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 8 октября, 2005 · Жалоба Susanin, совершенно не понятно - за чем так сложно??? Для авторизации пользователя на порту вполне достаточно тупого мак-секьюрити и управления по SNMP. Ткните носом, где можно почитать поподробнее про авторизацию через SNMP. Очень интересно. ЗЫ. Имхо 90 баксов за 8 примитивно управляемых портов - совсем даже не мало... ;-) Согласен, поэтому и писал сразу что этот элемент наверняка можно заменить. Вот сейчас и ищу альтернативу. Думал - может кто что предложит. В основном все упираеться в возможность сегментации трафика, если без нее - то есть куча предложений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 8 октября, 2005 · Жалоба Susanin, а зачем авторизовать через SNMP? Достаточно смотреть на это бело софтом биллинга и авторизатора - и управлять портом в случае разных событий (то же самое мак-секьюрити предусматривает от 4 вариантов реакции как правило). По свитчу - что подразумевается под сегментацией? Не совсем понятно. По железкам - попробуйте посмотреть на http://4isp.ru Ну или мне в мыло написать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 10 октября, 2005 · Жалоба По свитчу - что подразумевается под сегментацией? Не совсем понятно. По железкам - попробуйте посмотреть на http://4isp.ru Ну или мне в мыло написать... Я под "Сегментацией" принимал функцию на свиче, которая позволяет определить какой порт с каким может обмениваться данными, а с каким нет. Позволяет на не очень умном свиче создать схему - 1 общий порт, остальные порты - клиентские. Клиенсткие могут взаимодействовать только с серверным портом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 10 октября, 2005 · Жалоба 1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень. 2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения". 3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть. Жду опровержений ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 10 октября, 2005 · Жалоба 1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень.2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения". 3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть. Жду опровержений ;) 1. Т.е. MAC совсем не контролировать ? Или в другом месте ? (в каком тогда..) 2. Полностью согласен. Я этого и не отрицал. Логин/пароль - это хорошо, когда речь идет тока об инете. А с локальными ресурсами ? На игровые тоже логин/пароль ставить ? 3. Хм.. А для домохозяек мне курсы проводить ? IMHO, чем меньше настроек у абонента - тем меньше гемора у службы поддержки. 4. Собственно, а изоляция клиентов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 октября, 2005 · Жалоба 1. Попытки контроля на уровне МАК считаю идеологической ошибкой, свойственной всем начинающим. Технологические вещи не следует выносить на прикладной уровень. А тут и опровергать нечего. Езернет работает по МАСам. Поэтому на порту можно: 1. авторизовать по МАСу. 2. давать порт не езернетый, а какой-то другой - типа IP, PPP, и .т.п. Что не так и просто. IP требует коммутатора L3, РРР - поддержки авторизации по радиусу на порту свитча (забыл буковку в 802.1). Далее, а при чем тут вынос куда-то технологии? Контроль по МАС вполне может делаться так, что пользователь про него может и не знать вообще. Это вещи не связанные одна с другой. :-) 2. Клиент предпочитает быть персонифирован - личный логин/пароль это некая собственность, не зависящая от компьютера. Клиент также любит иметь договор на услуги (или его формы), так как он как-бы делает долговременные "вложения". Клиент предпочитает что бы у него работало. Пароль и логин ему не нужен вообще. См. на телефонию - где там есть пароль на доступ? А уж как с этим связан договор - вовсе не понятно. 3. Не вижу никаких противоречий с сетапом PPPoE у клиента, мастер поключения освоили даже дети и пенсионеры еще на диалапе. У оператора с этим проблем нет, у пионэрских сетей вероятно есть. Во-вервых, сетап не освоен всеми подряд. Особенно новыми клиентами. На большой сети это серьезно напрягает. Во-вторых, обычный РРРоЕ (не тот что на порту по радиусу) не дает НИКАКОГО контроля над сетью. Клиент может запросто поставить любые реквизиты и по плоскому езернету творить ЛЮБЫЕ чудеса. В-третьих, терминация туннелей довольно затратный процесс. В-четвертых, на РРРоЕ плохо накладываеются сервисы типа телефонии, ТВ, и т.п. Да - все в принципе решаемо. Но вопрос - зачем раскидывать грабли и потом прыгать между ними? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 октября, 2005 · Жалоба Я под "Сегментацией" принимал функцию на свиче, которая позволяет определить какой порт с каким может обмениваться данными, а с каким нет. Позволяет на не очень умном свиче создать схему - 1 общий порт, остальные порты - клиентские. Клиенсткие могут взаимодействовать только с серверным портом. Честно говоря, это на мой взгляд не сильно актуально. Схема с портовыми виланами (как описана) хорошо работает только на небольшой сети, либо как небольшая часть большой сети. В остальных случаях желательны тегированные виланы 802.1q. Это даст возможность управлять любым портом отдельно не зависимо от его местонахождения как портом рутера. И правила разделения создавать уже на маршрутизаторе на узле сети... Тем более железо под 802.1q стоит счас более чем разумные 5-6 баксов за порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 10 октября, 2005 · Жалоба 1. Забываем про существование МАК адресов. Решаем эту задачу с помощью VLAN в любых его проявлениях. 2. Клиента нужно идентифицировать. Не компьютер, а именно клиента, который получает услугу. 3. Клиенту удобно пользоваться услугой только когда ему это требуется. А не когда включен компьютер. 4. Услуг может быть больше одной. Клиенту не удобно получать услуги в виде трафа. Клиенту нужен удобный стартовый портал для выбора услуг. Заметьте, ключевыми словами является КЛИЕНТ и УСЛУГА. А никак не MAC, PPPoE и прочая ботва. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 октября, 2005 · Жалоба 1. Забываем про существование МАК адресов. Решаем эту задачу с помощью VLAN в любых его проявлениях.2. Клиента нужно идентифицировать. Не компьютер, а именно клиента, который получает услугу. 3. Клиенту удобно пользоваться услугой только когда ему это требуется. А не когда включен компьютер. 4. Услуг может быть больше одной. Клиенту не удобно получать услуги в виде трафа. Клиенту нужен удобный стартовый портал для выбора услуг. Заметьте, ключевыми словами является КЛИЕНТ и УСЛУГА. А никак не MAC, PPPoE и прочая ботва. 1. Пора определиться - вы вилан на пользователя предлагаете или РРРоЕ? ;-) А то получается разнонаправленная тенденция. Вообще, Vlan и МАС - для работы КЛИЕНТА и УСЛУГИ в плане авторизации мало отличаются. Надо просто смотреть немного шире - ведь не обязательно жестко привязывать МАК к пользователю, к порту, или договору. Нужно понимать откуда (и куда) пошел пакет из клиентского провода - это, по идее, достаточно для дальнейшего анализа и принятия мер (отключения, предупреждения, и т.п.) . Vlan дать на пользователя можно, это даже очень хорошо, - но на сегодня это банально не нужно (или не выгодно). 2. См. на телефонию - для идентификации вполне достаточно физического кабеля. ;-) Это, кстати, удобнее и проще. 3. Бедные, бедные пользователи телефонов. Они не могут подключать услугу по мере необходимости. ;-) Впрочем, если клиент хочет отключить интернет - он может благополучно "загасить" сетевой интерфейс. Или поднимать его когда надо. :-) Только реально никому эти пляски давно не нужны - чем проще выход в сеть, тем лучше. 4. Стартовый портал - это хорошо. Только, уж извините, при чем тут вооще способ авторизации??? ЗЫ. Гoсть, такое впечатление что два последних поста под вашим ником писали два разных человека. Они же никак и ничем логически не связаны. В первом - "МАС-плохо", а вот РРРоЕ - хорошо. Во втором "Вилан - хорошо, а главное УСЛУГА". :-))) Хочется понять, о чем вообще речь идет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 11 октября, 2005 · Жалоба 1. Для физ.клиентов классической ДС лучше всего подходит PPPoE. Для юр.лиц, офисов и бизнес-центров - 802.1q. 2. Недостаточно. 3. Чем УДОБНЕЙ пользоваться УСЛУГОЙ тем лучше. 4. Стартовый портал - это и есть способ идентификации клиента и авторизации/аккаунтинга оказываемых ему услуг. Читай классику - циско SSG. Nag, не цепляйся к словам, зри в корень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 11 октября, 2005 · Жалоба Гoсть, как бы не убедительно аргументация звучит. :-) Про сравнение РРРоЕ и пор-секьюрити сломано много копий, много сетей пользуются разными способами. Можно сказать при каких условиях одно лучше другого - например РРРоЕ удобен для небольших сетей построенных на неуправляемом жедезе. Но (на мой взгляд) не оправдан в больших сетях с управляемыми портами. А SSG как способ идентификации - не в этой жизни. Или уже есть примеры реализации в России? И опять же не понятно, как это все зависит от РРРоЕ или виланов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 12 октября, 2005 · Жалоба Nag, беда в том что ты знаешь КАК делать, но не знаешь ЧТО. Вот когда будет ЧТО-И-КАК вот тогда продолжим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 12 октября, 2005 · Жалоба Nag,беда в том что ты знаешь КАК делать, но не знаешь ЧТО. Вот когда будет ЧТО-И-КАК вот тогда продолжим. Как бы это сказать... На форуме менторские обороты выглядят забавно, но не более того... :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumen2006 Опубликовано 12 февраля, 2008 · Жалоба Имееться локальная сеть из 50 компьютеров соеденных несколькими коммутаторами с поддержкой 802.1x с выходом в интернет. Требуеться установить freeradius для того чтобы он проверял пользователей по ip и mac, порту на комутаторе и разрешал доступ в локальную сеть. А доступ в интернет разрешаеться в данный момент с другого компьютера и чтоб он так же и разрешал доступ в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 13 февраля, 2008 · Жалоба это заказ на работу? или как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumen2006 Опубликовано 13 февраля, 2008 · Жалоба нет не заказ интереисуюсь как именно через radius это можно реализовать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...