Buxpb Posted November 9, 2006 Posted November 9, 2006 Здравствуйте. Встала такая задачка. Имеется сеть Ethernet, построенная звездой на следующем оборудовании: В центре vlan-рутер из связки ATi AT-8024 и Cisco 3640 c NM-1FE. Лучи звезды оконечены тоже алидами AT-8024. Вследствие низкой плотности абонентов ранее не была реализована защита от подмены IP-адреса. Биллинг использует цискин netflow, соответственно любая подмена IP адреса влечёт за собой неконтролируемое потребление Интернет-трафика. Необходимо реализовать на сети защиту от подмены IP-адресов. Я вижу 2 пути решения: 1. Выдать каждому абоненту Vlan и уникальную подсеть. В текущий момент клиентов немного (порядка 30ти организаций), однако сеть начала бурно развиваться и количество абонентов достигнет 100-150 уже через пару месяцев. Вряд ли циска потянет 150 сабинтов с натом. 2. Сменить коммутаторы на концах лучей на level3 и создать привязки порт/IP или IP/mac. Однако это дорого да и куда девать потом парк AT-8024... Может быть кто-нибудь подскажет решение, исходя из того, что оборудование заменяться не будет? Хотя бы в каком направлении начать аккумулировать информацию... Просьба решений а ля "прописать в договоре ответственность за нецелевое использование" не предлагать. Необходимо именно бюджетное техническое решение. PPPoE тоже не подойдёт, к сожалению. Вставить ник Quote
D^2 Posted November 9, 2006 Posted November 9, 2006 (edited) На коммутаторах port-security, на cisco ARP. если не ошибаюсь на 8024 есть поддержка 802.1x - можно еще в этом направлении подумать. Edited November 9, 2006 by D^2 Вставить ник Quote
UglyAdmin Posted November 9, 2006 Posted November 9, 2006 1. Выдать каждому абоненту Vlan и уникальную подсеть. В текущий момент клиентов немного (порядка 30ти организаций), однако сеть начала бурно развиваться и количество абонентов достигнет 100-150 уже через пару месяцев. Вряд ли циска потянет 150 сабинтов с натом. Ей пофиг, сколько интерфейсов, главное - сколько трафика. 10 мегабит может и проест. Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 На коммутаторах port-security, на cisco ARP. Что Вы подразумеваете под port-security? Можно ткнуть носом в даташит? Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 Ей пофиг, сколько интерфейсов, главное - сколько трафика. 10 мегабит может и проест. Трафика гигов 100 в месяц. Вставить ник Quote
D^2 Posted November 9, 2006 Posted November 9, 2006 На коммутаторах port-security, на cisco ARP. Что Вы подразумеваете под port-security? Можно ткнуть носом в даташит? есть такая дока на сайте АТ User’s Guide AT-8012M, AT-8012M-QS, AT-8016F/xx (MT, SC and ST), AT-8024, AT-8024GB, AT-8024M, AT-8026FC, AT-8026T, and AT-8088/xx (MT and SC) FAST ETHERNET SWITCHES там есть прямо глава Port Security - т.е. смысл в том, что привязать МАК к порту а на 3640 привязать IP к МАК... Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 там есть прямо глава Port Security - т.е. смысл в том, что привязать МАК к порту а на 3640 привязать IP к МАК... Смысл мне понятен :) Тогда получается так: если у абонента своя сеть больше, допустим, 5 пк, то целесообразно выделять Vlan. Если до - то вяжем по mac. Вставить ник Quote
vIv Posted November 9, 2006 Posted November 9, 2006 (edited) там есть прямо глава Port Security - т.е. смысл в том, что привязать МАК к порту а на 3640 привязать IP к МАК... Смысл мне понятен :) Тогда получается так: если у абонента своя сеть больше, допустим, 5 пк, то целесообразно выделять Vlan. Если до - то вяжем по mac. Лучше ТОЛЬКО vlan per customer, независимо от того, какой это кастомер. Свяжетесь с МАСами - потребуется 24/7/365 техподдержка, укомплектовывать которую придётся девочками из American Language Center, прошедшими экспресс-курс "терпеливое объяснение сонному пролетарию, где искать 12 странных символов и ***а это нужно" ;-( Edited November 9, 2006 by vIv Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 (edited) Цискогуру не рекомендуют создавать на одной cisco больше 50 vlan сабинтов. Edited November 9, 2006 by Buxpb Вставить ник Quote
D^2 Posted November 9, 2006 Posted November 9, 2006 (edited) http://www.cisco.com/en/US/products/sw/ios...080094322.shtml вот про subinterfase и vlan а вообще UglyAdmin (тоже Гуру) правильно сказал, что основное ограничение не на количество сабинтерфейсов, а на суммарный поток... такая циска раньше от потока загнется, чем о количества сабинтерфейсов... (имхо) Edited November 9, 2006 by D^2 Вставить ник Quote
UglyAdmin Posted November 9, 2006 Posted November 9, 2006 Цискогуру не рекомендуют создавать на одной cisco больше 50 vlan сабинтов. Да ну? А у нас и 2000 легко живут, правда не на 3640. :) Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 Цискогуру не рекомендуют создавать на одной cisco больше 50 vlan сабинтов.Да ну? А у нас и 2000 легко живут, правда не на 3640. :) А на чём, если не секрет? Вставить ник Quote
D^2 Posted November 9, 2006 Posted November 9, 2006 Цискогуру не рекомендуют создавать на одной cisco больше 50 vlan сабинтов.Да ну? А у нас и 2000 легко живут, правда не на 3640. :) наверное 7200VXR + NPE-G1? ;-) Вставить ник Quote
Buxpb Posted November 9, 2006 Author Posted November 9, 2006 D^2, спасибо за полезный документ. Решение vlan per customer действительно гибче и изящней. Более того, несложно автоматизировать управление доступом - скриптик может смотреть в базе заблокированные подписки, а потом telnet'ом их shutdown. Тогда ещё вот какой вопрос: влияет ли количество sabint'ов на производительность nat? По идее, рутеру должно быть пофик, сколько создавать pat-записей, что для одной подсети, что для нескольких... однако, хотелось бы услышать мнение гуру. :) Руководитель наш настаивает на применении серых IP вплоть до получения статуса LIR. Вставить ник Quote
Nailer Posted November 9, 2006 Posted November 9, 2006 D^2, спасибо за полезный документ. Решение vlan per customer действительно гибче и изящней. Более того, несложно автоматизировать управление доступом - скриптик может смотреть в базе заблокированные подписки, а потом telnet'ом их shutdown. Тогда ещё вот какой вопрос: влияет ли количество sabint'ов на производительность nat? По идее, рутеру должно быть пофик, сколько создавать pat-записей, что для одной подсети, что для нескольких... однако, хотелось бы услышать мнение гуру. :) Руководитель наш настаивает на применении серых IP вплоть до получения статуса LIR. На программных маршрутизаторах - сильно не влияет, до тех пор, пока памяти хватит.. Вставить ник Quote
Buxpb Posted November 10, 2006 Author Posted November 10, 2006 Интересует только Cisco. Вставить ник Quote
Nailer Posted November 10, 2006 Posted November 10, 2006 Интересует только Cisco. Дык я и имел в виду программные маршрутизаторы Cisco. Выразился, видимо, не очень хорошо. На аппаратных маршрутизаторах (6500, 7600 и т.д.) можно упереться, на программных (все до 7600) - вряд ли.. Вставить ник Quote
Buxpb Posted November 10, 2006 Author Posted November 10, 2006 Спасибо. Вот ещё вопрос в таком случае: при схемке vlan per client для каждого клиента как минимум надо выделять 4 IP: для подсети, для интерфейса, для клиента, для мультикаста. Терять три адреса не есть хорошо, можно ли как-нибудь обойти это ограничение? Вставить ник Quote
UglyAdmin Posted November 10, 2006 Posted November 10, 2006 легко. http://www.cisco.com/en/US/products/sw/ios...00801d1dfd.html Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.