Jump to content

безопасность сети GPON

AntonioShum
 Share

Recommended Posts

AntonioShum

AntonioShum

Posted
Posted

Добрый день! 

В сетях я новенький, поэтому прошу отнестись с пониманием и поделиться опытом работы.

Строим сеть на GPONe для системы видеонаблюдения в небольшом городе и прилегающих поселках.

На данный момент база на 100 точек, но есть в планах куда расти.

Подскажите как обезопасить сеть от проникновения "инородных" устройств - имеется ввиду левых ПК, камер, петель и прочего.

Каким образом ограничить доступ в сеть - по mac-адресу или иными методами аутентификации? И какое оборудование и ПО порекомендуете?

Голова Eltex, онушки тоже. 

 

Буду благодарен за наставление!

AlexMSQ

AlexMSQ

Posted
Posted

1. DHCP-Snooping и желательно еще DHCP-Relay

2. Option 82

2.1 в качестве Cirсuit-ID можно MAC или IP ONT использовать или любой другой идентификатор ейный

2.2 Remote-ID использовать IP головы, можно еще на каждый PON-порт головы настроить отдельный remote-ID

3. Ip Source Guard

4. DHCP-сервер, настроенный, на обработку Option 82

 

Простейшая рабочая схема. Можно еще в DHCP-сервере включить еще и проверку MAC. И потом фильтровать чем-нибудь эти MAC-и на входе в вашу сеть, тот же IPSET например или управлять ACL-ом на свитче по SNMP.

TheUser

TheUser

Posted
Posted
5 часов назад, AntonioShum сказал:

левых ПК, камер, петель и прочего

Если вы сеть строите под видеокамеры, то зачем им доступ в Интернет?
С камеры доступ только к серверу видеонаблюдения.

AntonioShum

AntonioShum

Posted
  • Author
Posted
1 час назад, TheUser сказал:

Если вы сеть строите под видеокамеры, то зачем им доступ в Интернет?

Всё верно, в интернет они ходить не будут. Только для передачи данных от камеры и до серверного оборудования.

 

1 час назад, AlexMSQ сказал:

1. DHCP-Snooping и желательно еще DHCP-Relay

2. Option 82

2.1 в качестве Cirсuit-ID можно MAC или IP ONT использовать или любой другой идентификатор ейный

2.2 Remote-ID использовать IP головы, можно еще на каждый PON-порт головы настроить отдельный remote-ID

3. Ip Source Guard

4. DHCP-сервер, настроенный, на обработку Option 82

 

Простейшая рабочая схема. Можно еще в DHCP-сервере включить еще и проверку MAC. И потом фильтровать чем-нибудь эти MAC-и на входе в вашу сеть, тот же IPSET например или управлять ACL-ом на свитче по SNMP.

Спасибо за информацию. Очень много непонятного и неизвестного, но будем изучать.

А у Вас случаем нет ссылок на порталы с примерной рабочей конфигурацией чтобы понимать что и как

AlexMSQ

AlexMSQ

Posted
Posted
Quote

Спасибо за информацию. Очень много непонятного и неизвестного, но будем изучать.

А у Вас случаем нет ссылок на порталы с примерной рабочей конфигурацией чтобы понимать что и как

Вы знаете, вот для каждой PON-головы свой рабочий комплект этого дела, даже может быть для разных серий одной модели! Я знаю модели, например, где Snooping и Relay не могут работать одновременно...

Про DHCP с Option 82 была статья на Хабре, кажется, там через классы прописывали сервер.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.