Jump to content

Хочется странного...

EvilX
 Share

Recommended Posts

EvilX

EvilX

Posted
Posted (edited)

Hello, All.

 

Вот тут подумалось, можно ли сотворить что-либо подобное:

1. Клиентский порт на коммутаторе изначально опущен;

2. Клиент запрашивает по DHCP адрес;

3. Адрес он получает, и только после этого порт на коммутаторе поднимается и делается автоматически mac-ip-binding на порт.

 

Есть мнения?

 

Ну и в догонку. Как вообще сделать безопасную сеть полностью отвязавшись от привязки mac-ip на пользователя? Т.е. адреса получаются только из DHCP абсолютно динамически, а дальше SSG. При этом без использованию adsl-подобных связок типа pppoe. ИМХО, это не тру на ethernet.

Edited by EvilX
itl2044

itl2044

Posted
Posted

А как собственно клиент должен запросить DHCP с опущеным портом???

Или нужно его запрашивать с другого компьютера?

EvilX

EvilX

Posted
  • Author
Posted
Курим про 802.1x

Хочется абсолютно прозрачности. Т.е. что бы юзер, подключаясь к сети не парился с логинами-паролями. Оно понадобится дальше в SSG, которое проще для понимая самого тупого пользователя. Можно ли с помощью 802.1x сотворить такое? ИМХО нет. Опровергните?

 

А как собственно клиент должен запросить DHCP с опущеным портом???

Или нужно его запрашивать с другого компьютера?

Порт должен пропускать только dhcp запросы. Он не опущен физически. Он опущен в плане пропускания трафика.

UglyAdmin

UglyAdmin

Posted
Posted (edited)

Сделать полностью безопасную - вилан на юзера. Никаких подмен MAC/IP, никакого арп-спуфинга, ничего нельзя просниферить.

Опасность остайтся только на первом уровне - доступ к кабелю...

DHCP при этом работает, даже более того, маршрут прописывается автоматически после получения клиентом адреса - пока клиент адрес не получил, никакого трафика он не получит.

Edited by UglyAdmin
edwin

edwin

Posted
Posted

> Т.е. что бы юзер, подключаясь к сети не парился с логинами-паролями.

 

Весь мир как Вы изволите выразится "парится" с этими параметрами

 

> которое проще для понимая самого тупого пользователя.

 

vlan на юзера

 

Для юзера ничего проще не придумаеш

EvilX

EvilX

Posted
  • Author
Posted
Сделать полностью безопасную - вилан на юзера. Никаких подмен MAC/IP, никакого арп-спуфинга, ничего нельзя просниферить.

DHCP при этом работает, даже более того, маршрут прописывается автоматически после получения клиентом адреса.

Не понял. Как он будет автоматический прописываться? Где? Почему? Т.е. юзер подключается непосрдественно к L3 свитчу?

EvilX

EvilX

Posted
  • Author
Posted
Hello, All.

 

Вот тут подумалось, можно ли сотворить что-либо подобное:

1. Клиентский порт на коммутаторе изначально опущен;

2. Клиент запрашивает по DHCP адрес;

3. Адрес он получает, и только после этого порт на коммутаторе поднимается и делается автоматически mac-ip-binding на порт.

 

Есть мнения?

 

Ну и в догонку. Как вообще сделать безопасную сеть полностью отвязавшись от привязки mac-ip на пользователя? Т.е. адреса получаются только из DHCP абсолютно динамически, а дальше SSG. При этом без использованию adsl-подобных связок типа pppoe. ИМХО, это не тру на ethernet.

Сам себе отвечу. Только что осенило. ip-binding + option 82 + port-security спасёт однако.

Всем спасибо за внимание.

UglyAdmin

UglyAdmin

Posted
Posted

тему про BRAS'ы и последние обзоры почитайте.

Юзер как обычно подключается к свитчу доступа, но в свой личный вилан, который доводится до сервисного рутера, а вот уже там получает IP и прочие параметры по DHCP.

http://www.cisco.com/en/US/products/sw/ios...00801d1dfd.html

edwin

edwin

Posted
Posted

> Только что осенило. ip-binding + option 82 + port-security спасёт однако.

 

А более подробно озарением поделится не хотите ?

Народу то инетерсно ....

EvilX

EvilX

Posted
  • Author
Posted
> Только что осенило. ip-binding + option 82 + port-security спасёт однако.

 

А более подробно озарением поделится не хотите ?

Народу то инетерсно ....

Юзаем коммутаторы с функциями ip-binding & option 82 relay.

Изначально на коммутаторе прописываем разрешённые адреса на порты. Ну скажем по два на порт. Больше вряд-ли понадобится + port security на максимум 2 адреса соотвественно с таймаутом. DLink DES3526 подойдёт.

DHCP сервер настраиваем для приёма option 82. Можно взять тот же isc-dhcp и чуть-чуть дописать.

Ну и по логике должно работать.

EvilX

EvilX

Posted
  • Author
Posted
Альтернативу я уже привёл - IP SourceGuard.

Ну или "вилан на юзера".

Catalyst 3550. В принципе не так уж дорого выходит. Только сколько оно записей выдержит?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.