Jump to content

Привязка к порту свича IP

budda
 Share

Recommended Posts

budda

budda

Posted
Posted

Уважаемый Олл! Посоветуй, есть ли коммутаторы с привязкой к порту IP адреса. Чтоб абонент не мог изменить свой IPшник, и если менял - то никуда не попал бы. И если есть, то пожалуйста примеры.

cmhungry

cmhungry

Posted
Posted
Уважаемый Олл! Посоветуй, есть ли коммутаторы с привязкой к порту IP адреса. Чтоб абонент не мог изменить свой IPшник, и если менял - то никуда не попал бы. И если есть, то пожалуйста примеры.

dlink 3526, 3026, 3018

nortel bps2000 - не уверен, но на ACL можно

Nag

Nag

Posted
Posted
Достаточно привязать МАС. ;-)

И иметь головную боль при смене карты.

Представте что было бы, если бы сотовые операторы "привязывали" IMEI телефона. ;-)

 

Ну так надо его не жестко вязать. ;-)

Про способы необременяющего контроля говорили уже очень много раз.

ИМХО, сегодня просто не стоит привязка IP лишних 200 баксов на дом - лучше на эти деньги лишние 300 метров стекла кинуть.

puh

puh

Posted
Posted

именно это реальностью вряд ли будет - 3550 уже EoS, года через 3-4 та же судьба постигнет и 3560. Если только из б/у. А замена может быть не дешёвой.

 

правда, через 3-4 года продукция хуа будет вполне съедобной. но кто сказал, что когда она станет съедобной, цены не поползут вверх? тем более, что в gpl и хуа и циска стоят почти одинаково...

 

остаётся надеяться, что микроволновки, холодильники и кофеваруи будут подключать к интернету и он (интернет) будет нужен в каждой квартире :)

Nag

Nag

Posted
Posted
именно это реальностью вряд ли будет - 3550 уже EoS, года через 3-4 та же судьба постигнет и 3560. Если только из б/у. А замена может быть не дешёвой.

 

Да хоть и б.у.

Мой прогноз на 3 года - за 3550 - $300-400...

Это гримассы телекома - через 3 года в мусор пойдет и 3ком за 100 баксов, и Длинк 3526 за 300. А прибыль они принесут одинаковую...

Впрочем, 3ком еще будет работать на окраине (они неубиваемы), а вот про длинк такого не скажу. ;-)

BETEPAH

BETEPAH

Posted
Posted
Достаточно привязать МАС. ;-)

И иметь головную боль при смене карты.

Представте что было бы, если бы сотовые операторы "привязывали" IMEI телефона. ;-)

 

сетевухи меняются не так часто как телефоны. не вижу в этом никакой проблемы. а получается дешевле, чем ип привязать.

vIv

vIv

Posted
Posted

Можно не заморачиваться обязательным вынесением этого функционала именно на доступ, а фильтровать IP на агрегации, где обьективно удобнее ставить железку "поумнее". Ну а на доступ - любой свит с поддержкой 802.1Q

Осипов

Осипов

Posted
Posted

Мы решили эту проблему так:

 

Коммутаторы: 3Com 1100/3300.

На абонентских портах - portSecurity (не блокирующий).

На отдельном сервере запущен демон, который обрабатывает все trap-ы от коммутаторов. С маршрутизатора района снимается таблица ARP (вернее он посылает обновления).

Таким образом мы контролируем связку MAC-Port-3Com-IP.

В случае соотношения, которого не должно быть - отключается порт.

 

Таким образом обеспечивается привязка IP абонента к порту коммутатора. Причем абонент вправе менять сетевые карты (МАСи) на любые, еще не загистрированные в системе.

desperado

desperado

Posted
Posted
именно это реальностью вряд ли будет - 3550 уже EoS, года через 3-4 та же судьба постигнет и 3560. Если только из б/у. А замена может быть не дешёвой.

 

Это гримассы телекома - через 3 года в мусор пойдет и 3ком за 100 баксов, и Длинк 3526 за 300. А прибыль они принесут одинаковую...

Впрочем, 3ком еще будет работать на окраине (они неубиваемы), а вот про длинк такого не скажу. ;-)

 

да ладно... неубиваемы... это два билета в одну и ту же лоттерею, только один билетик сделан на туалетной бумаге, а другой на супур-пупер бумаге, и в комплекте с pdf на 30 страниц с картинками как стирать защитный слой.

 

PS достаточно давно (где-то в 2000 году) имел неосторожность поставить два трикома, так они сгорели не то что в грозу а когда солнце за тучу только зашло, и никаких воздушек к ним подключено не было! :). Хорошо БУ купил за дешего, не так жалко.... с тех пор с дорогими брэндами завязал - за то в грозу сплю спокойно. Понятно что это, возможно, модель неудачная в плане статикоустойчивости и всё такое, но за дешевые свитчи не так обидно когда они горят, их воруют, когда они дешевеют через год в 2 раза и т.д.

Nag

Nag

Posted
Posted
да ладно... неубиваемы... это два билета в одну и ту же лоттерею, только один билетик сделан на туалетной бумаге, а другой на супур-пупер бумаге, и в комплекте с pdf на 30 страниц с картинками как стирать защитный слой.

 

До массового использования оптики так и было...

desperado

desperado

Posted
Posted

да ладно... неубиваемы... это два билета в одну и ту же лоттерею, только один билетик сделан на туалетной бумаге, а другой на супур-пупер бумаге, и в комплекте с pdf на 30 страниц с картинками как стирать защитный слой.

 

До массового использования оптики так и было...

 

это как-то связано?

  • 2 weeks later...
budda

budda

Posted
  • Author
Posted

да ладно... неубиваемы... это два билета в одну и ту же лоттерею, только один билетик сделан на туалетной бумаге, а другой на супур-пупер бумаге, и в комплекте с pdf на 30 страниц с картинками как стирать защитный слой.

До массового использования оптики так и было...

и всё-таки мне так и не ответили - такое(привязка к IP-адресу) возможна на железе, или нет???
romka

romka

Posted
Posted (edited)

to Budda

 

На маршрутизаторе к порту можно - по IP L3 ACL

На коммутаторе тоже можно по MAC L2 ACL

На коммутаторах L2/L3 соответственно все это можно.

 

Можно включить port security по кол-ву mac, и отключить learning mac адресов на коммутаторе и забивать статику.

 

Но я думаю что в таких случаях лучше EAP, так что определитесь что Вам действительно нужно., все уже придумано до нас.

Edited by romka
uropek

uropek

Posted
Posted
Мы решили эту проблему так:

 

Коммутаторы: 3Com 1100/3300.

На абонентских портах - portSecurity (не блокирующий).

На отдельном сервере запущен демон, который обрабатывает все trap-ы от коммутаторов. С маршрутизатора района снимается таблица ARP (вернее он посылает обновления).

Таким образом мы контролируем связку MAC-Port-3Com-IP.

В случае соотношения, которого не должно быть - отключается порт.

 

Таким образом обеспечивается привязка IP абонента к порту коммутатора. Причем абонент вправе менять сетевые карты (МАСи) на любые, еще не загистрированные в системе.

Для всего этого есть какое-нибудь готовое решение которое чуток надо доработать, или же все-таки самому с нуля писать?

Осипов

Осипов

Posted
Posted

Готового решения не нашли.

Квалифицированный программист сделает вам простое решение за пару-тройку недель.

Заплатите ему - 20-40т.р.

В итоге будет у вас гибкое решение на доступных по цене коммутаторах и нормальным функционалом. А вам больше и не надо. Хватит на 2-3 года - потом поменяете. Все поменяют. Сэкономленным деньгам найдется более интересное приеменение, чем 2950 на каждый дом... ;)

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted

да ладно... неубиваемы... это два билета в одну и ту же лоттерею, только один билетик сделан на туалетной бумаге, а другой на супур-пупер бумаге, и в комплекте с pdf на 30 страниц с картинками как стирать защитный слой.

До массового использования оптики так и было...

и всё-таки мне так и не ответили - такое(привязка к IP-адресу) возможна на железе, или нет???

Вам же ответили выше - устройства с возможностью привязки IP к порту - либо при помощи ACL, либо при помощи IP-MAC-Port Binding
kuru

kuru

Posted
Posted (edited)

Самое простое решение -- свичи с поддержкой option 82, acl на порт и isc-dhcpd on unix.

Оно позволяет выдавать адрес по порту свича. Поищи письма от Романа Иванова -- немного чтения док и все станет ясно. Но нужно иметь некий опыт работы с unix.

 

Это практически готовое решение для небольшой сети -- когда можно редактировать текстовый конфиг ручками.

 

Для большой -- нужно делать автоматизацию. Увязать dhpc с базой клиентов. В базе (sql) хранить circuit-id/port, ip addresses и выливать это в конфиг или напрямую лукапить.

Как правило у всех свои самописные базы и куча разношерстного оборудования, которое имеет

разные характеристики. Поэтому готового большого решения нет.

 

Перед покупкой оборудования с опт 82 будьте внимательны. Многие HP свичи умеют вставлять его только при включенной маршрутизации. При форвардинге -- соотвественно мимо. Уроды.

 

Прям готовая статья для обзора ;)

Edited by kuru
vIv

vIv

Posted
Posted (edited)
Самое простое решение -- свичи с поддержкой option 82 и isc-dhcpd on unix.

Но ЕЩЁ НЕРАБОТАЮЩЕЕ!! Надо ещё ACL добавлять ;-(

Ибо нет защиты от куль-хацкера, вручную себе прописавшего соседский IP!

Надо не только помогать бабушкам, но и защищать их от [потенциально] недобросовестных абонентов.

Edited by vIv
budda

budda

Posted
  • Author
Posted

Самое простое решение -- свичи с поддержкой option 82, acl на порт и isc-dhcpd on unix.

Спасибо. А не могли бы название железки сказать?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.