Jump to content

MAC + IP + PPPoE

Mist
 Share

Recommended Posts

Mist

Mist

Posted
Posted

Доброго времени суток.

 

Имеется сеть, разбитая на vlan'ы. Нужно сделать так, чтобы локальный айпишник выдавался по DHCP только после авторизации ПППоЕ (т.е. после подключения к инету). Т.е. доступ к другим vlan'ам был доступен только пользователям с положительным балансом и только после подключения ПППоЕ. Принцип - нет инета, нет и локалки. Но есть одно "НО". Локальный трафик должен ходить не через само ПППоЕ соединение.

 

Привязка MAC + IP на сервере легко подделывается, и в данном случае не годится.

 

У кого есть какие-нибудь идеи на этот счет, прошу высказаться :)

Заранее спасибо.

LostSoul

LostSoul

Posted
Posted

непонятно зачем нужно препятствовать работе DHCP если клиент неавторизирован?

Вы тем самым сами подтолкнете его к установке IP самостоятельно, в том числе и некорректного.

 

а так - всё проще, дорабатываете напильником ваш ppoe-сервер, чтоб по подключению клиента vasya он шёл на оборудование и включал vlan в работу, по отключению юзера vasya - изолировал vlan.

 

если я верно вопрос понял...

можно например через радиус авторизовывать и довесить скрипты на радиус...

BB

BB

Posted
Posted
У кого есть какие-нибудь идеи на этот счет, прошу высказаться :)

Идеи? Пойти почитать UserManual-ы....

Без IP не будет никаких PPPoE и вообще ничего...

LostSoul

LostSoul

Posted
Posted
802.1x

 

Очень много думал после выхода WinXP на эту тему.

Но увы - слишком неуниверсально... не годится к точкам доступа WiFi например...

Mist

Mist

Posted
  • Author
Posted

Осуществимо следующее или нет?:

 

Для доступа к другим вланам сделать привязку к МАКу, айпишнику и логину на инет. Айпишники все прописывать руками, DHCP вырубить.

LostSoul

LostSoul

Posted
Posted
Осуществимо следующее или нет?:

 

Для доступа к другим вланам сделать привязку к МАКу, айпишнику и логину на инет. Айпишники все прописывать руками, DHCP вырубить.

 

Привязка MAC-IP реализуется классически ( и так же классически подделывается ).

Чтоб обеспечить привязку к логину ( что было бы действительно довольно надёжно ) - надо чтоб связку в вашем случае активировал PPPoE сервер - клиент подключился, связка активизировалась. отвалился - закрылась.

 

Вот Shiva очень интерестную штуку придумал про авторизацию доступа к среде... в системах Win2K/XP уже есть всё готовое, только сертификат компьютера в личном кабинете загрузить ( 1 клик на ссылку ) - и можно проверять подлинность компьютера... делал ли кто-нибудь на практике?

Mist

Mist

Posted
  • Author
Posted
Осуществимо следующее или нет?:

 

Для доступа к другим вланам сделать привязку к МАКу, айпишнику и логину на инет. Айпишники все прописывать руками, DHCP вырубить.

 

Привязка MAC-IP реализуется классически ( и так же классически подделывается ).

Чтоб обеспечить привязку к логину ( что было бы действительно довольно надёжно ) - надо чтоб связку в вашем случае активировал PPPoE сервер - клиент подключился, связка активизировалась. отвалился - закрылась.

 

Вот Shiva очень интерестную штуку придумал про авторизацию доступа к среде... в системах Win2K/XP уже есть всё готовое, только сертификат компьютера в личном кабинете загрузить ( 1 клик на ссылку ) - и можно проверять подлинность компьютера... делал ли кто-нибудь на практике?

 

Спасибо большое, будем ковыряться.

 

И еще небольшой вопросик:

Есть ли готовые решения по фильтрации широковещательного трафика? Ибо вирусы и всякие ланскопы надоели уже.

SergeiK

SergeiK

Posted
Posted

Господа.

Или я ошибаюсь или PPPoE прекрасно работает без IP.

То есть PPPoE сервер не ставите никаких IP и все работает.

Правда вы не мешаете пользователям поставить любые IP из любых сетей, и работать друг с другом, если они в одном сегменте.

Однако, клиенты с одинаковыми IP находят PPPoE сервер и могут паралельно пользоваться инетом не смотря на то, что в локалке друг-другу мешают.

 

Добавлю, что это не верно для PPTP.

Mist

Mist

Posted
  • Author
Posted

Суть в том, что надо помешать поставить пользователям любые айпишники и видеть остальные сегменты, а так же, подделку связки IP + MAC.

LostSoul

LostSoul

Posted
Posted
Господа.

Или я ошибаюсь или PPPoE прекрасно работает без IP.

Добавлю, что это не верно для PPTP.

Исходя из первого поста - у них локальный трафик без PPPoE ходит...

 

кстати первая услышанная в моей практике нормальная реализация pppoe - держать клиента в отдельном vlan , пока не авторизируется на pppoe-сервере. Решает проблему "левых" серверов радикально :)

Mist

Mist

Posted
  • Author
Posted
Исходя из первого поста - у них локальный трафик без PPPoE ходит...

 

Естественно - локалка не маленькая, маршрутизатор сразу виснет, если трафик гонять через виртуальную сеть.

LostSoul

LostSoul

Posted
Posted
Естественно - локалка не маленькая, маршрутизатор сразу виснет, если трафик гонять через виртуальную сеть.

 

Виснуть он не должен. А вот проседать под нагрузкой и выступать "бутылочным горлышком" - вполне.

Nallien

Nallien

Posted
Posted

если вешается - проблема в маршрутизаторе. либо железная либо программная (второе - более вероятно).

 

а задача безусловно интересная... хотя мне кажется для этих целей больше подойдет pptp на доступ в Сеть, а локалка - класическим способом.

Nailer

Nailer

Posted
Posted
И еще небольшой вопросик:

Есть ли готовые решения по фильтрации широковещательного трафика? Ибо вирусы и всякие ланскопы надоели уже.

 

Почти на любом управляемом коммутаторе есть функция broadcast storm control. Правда, название фичи меняется у разных производителей. У нортеля, например, это почему-то назывется rate-limit :-)

Mist

Mist

Posted
  • Author
Posted

Это-то есть, но хотелось бы что-нить более существенное - а-ля раздача пятиминутных банов провинившимся, чтоб неповадно было.

ayamb

ayamb

Posted
Posted

По корневому сообщению темы (относится к ATi):

1. Ip при PPPoE раздают аутентификаторы или PPPoE-концентраторы из своих локальных пулов. Для активизации PPPoE не требуется IP соединение. И как следствие не нужен DHCP.

2. Если предусмотрен какой-либо остающийся локальный сервис, то контролировать его можно лишь только до первого неуправляемого коммутатора. Оставить этот сервис во всей сети, убрав основной, с незначительными различиями можно успешно используя PPPoE, VPN, PPTP, 802.1x в тесном сотрудничестве с аутентификаторами.

3. Достаточно просто реализовать любой вариант, требующий на выбор в любой последовательности отключения или включения любых сервисов, можно по любой из перечисленных технологий, но при условии подключения (1)клиент=(n)vlan=(n)port на управляемых коммутаторах.

4. Трудно подделать нетривиально настроенный DHCP IP-MAC-Host, или статический MAC-IP-Port в случае (1)клиент=(n)vlan=(n)port. (Multicast убирается по-другому.)

Shiva

Shiva

Posted
Posted

LostSoul,

Очень много думал после выхода WinXP на эту тему.  

Но увы - слишком неуниверсально... не годится к точкам доступа WiFi например...

Даже в качестве моста? Пусть клиент на компе авторизуется.

LostSoul

LostSoul

Posted
Posted
а задача безусловно интересная... хотя мне кажется для этих целей больше подойдет pptp на доступ в Сеть, а локалка - класическим способом.

 

Так PPTP имеет крупный недостаток в том, что требуется ещё и верно настроенная локалка, чтоб интернет заработал.

 

То есть усложняется головоломка для тупого юзера и вероятность проблем повышается.

 

pppoe это очень здорово ( будучи впихнутое по умолчанию в WinXP/ME ), главное - чтоб надёжно защитить юзера от левых серверов)

Вот похоже человек на пути к тому чтоб это нормально сделать :-)

Nallien

Nallien

Posted
Posted

хэ-хэ безспорно. я как-то прозевал, что речь уже идет о виланах и ппое... тогдаподдерживаю тов. аямба

BSB

BSB

Posted
Posted
Исходя из первого поста - у них локальный трафик без PPPoE ходит...

 

Естественно - локалка не маленькая, маршрутизатор сразу виснет, если трафик гонять через виртуальную сеть.

А нафиг рутер в эзернет - сети?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.