Идентификация без VPN.

[doubtpoint]

Надоел ВПН.

С учетом наличия управляемого железа хотим отказаться от него. Что выбрать.

Какие плюсы и минусы данных вариантов.

[Мартен]

vlan-per-customer

чудесно прямо

[doubtpoint]

vlan-per-customer

Чем разрулить 4096 Vlan?

Как подстроховаться от "воткнуть не в тот порт"

 

 

 

PS: Кто уже использует - напишите результаты

Edited October 13, 2007 by doubtpoint

[zoro]

добавить надо привязка ип к порту... 3526 это умеет...

[doubtpoint]

добавить надо привязка ип к порту... 3526 это умеет...

Так это DHCP Option 82+ACL

 

IP выдаетя по DHCP Option 82. А АЦЛ что бы вручную не поставили.

[zoro]

ну если так то согласен... только я слово DHCP нелюблю :)

[desperado]

vlan-per-customer

чудесно прямо

юрики - да.

физики - слишком громоздко и ресурсоемко. к тому же полноценный VLAN (например когда один MAC может независимо жить одновременно в нескольких вланах) только на каталистах да еще на паре свитчей.

 

добавить надо привязка ип к порту... 3526 это умеет...

Так это DHCP Option 82+ACL

IP выдаетя по DHCP Option 82. А АЦЛ что бы вручную не поставили.

в каталистах это красиво реализовано как отдельная фича.

[Мартен]

vlan-per-customer

Чем разрулить 4096 Vlan?

Как подстроховаться от "воткнуть не в тот порт"

 

 

 

PS: Кто уже использует - напишите результаты

вланы рулятся L3 свитчами. а что значит "воткнуть не в тот порт?" монтажники при подключении получают наряд: клиент такой-то, ip такой-то, маска, шлюз, коммутатор, порт. накосячили - получили по шапке.

[Дятел]

vlan-per-customer

Чем разрулить 4096 Vlan?

на небольших узлах - циски 3550/3560, терминируют до 1000VLAN

на больших узлах - 6500, до 4000

[ayamb]

... к тому же полноценный VLAN (например когда один MAC может независимо жить одновременно в нескольких вланах) только на каталистах да еще на паре свитчей.

Сейчас такой расклад не особо беспокоит: - Ни Catalist'ов, ни преславутую_пару_продвинутых_свичей, ни... внушительную шоблу коммутаторов семерки-десятки производителей, серий чуть-чуть выше SOHO или даже ей равной. :) Сейчас актуален немного другой расклад: "Легкое" подозрение вызывают коммутаторы "самую малость" кастрирующие 16 бит 802.1Q - в общем, и 12 бит тэга 802.1Q - в частности, в своих наиковарнейших CAM-таблицах... :)

на небольших узлах - циски 3550/3560, терминируют до 1000VLAN на больших узлах - 6500, до 4000

На небольших узлах - AT-8948(A,i,w)/AT-x900-48FE(SF)/AT-9924T(SP,TS) (4k). На узлах покрупнее - AT-x900-24XT(XS)/AT-x900-12XT/S (4k). На крупных узлах - AT-SBx908/AT-10408XP/Force10-E600(E300,C300)/Force10-P (4-16k)... :) (по деньгам дешевле получится) :)

[ingress]

(по деньгам дешевле получится) :)

да? ospf включить дешевле? :Р

[X-RaY™]

Тоже очень интересно кто чем пользуется?

[ayamb]

(по деньгам дешевле получится) :)

да? ospf включить дешевле? :Р

Если Тебя в некоторой степени раздражает фраза в скобках, то причем тут OSPF? :)

[vIv]

vlan-per-customer

чудесно прямо

+1

[olebedev]

От воткнуть не в тот порт должна спасать привязка порта к клиенту после его инициализации (при первом входе клиенту выдается адрес для неинициализованных и страничка заплати и лети), а так DHCP+Option82 как наиболее простое и не требующее дополнительных действий на стороне клиента.

 

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

Edited October 15, 2007 by olebedev

[Bushi]

Вообще используем DHCP Option 82+ACL на DOCSIS модемах и 802.1x на Eth. Причем здесь 802.3x? Это же flow-control (управление потоком), какое отношение стандарт имеет а аутентификации?

Edited October 15, 2007 by Bushi

[vIv]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

Почему?

[Bushi]

vlan-per-customer

чудесно прямо

юрики - да.

физики - слишком громоздко и ресурсоемко. к тому же полноценный VLAN (например когда один MAC может независимо жить одновременно в нескольких вланах) только на каталистах да еще на паре свитчей.

 

добавить надо привязка ип к порту... 3526 это умеет...

Так это DHCP Option 82+ACL

IP выдаетя по DHCP Option 82. А АЦЛ что бы вручную не поставили.

в каталистах это красиво реализовано как отдельная фича.

В Телесисах это тоже красиво сделано - а-ля Cisco Ip Source Guard (dhcpsnooping + arpsecurity).

Edited October 15, 2007 by Bushi

[vIv]

В Телесисах это тоже красиво сделано - а-ля Cisco Ip Source Guard (dhcpsnooping + arpsecurity).

И стройными рядами в лес пошли все, кто не умеет DHCP ;-)

[Bushi]

В Телесисах это тоже красиво сделано - а-ля Cisco Ip Source Guard (dhcpsnooping + arpsecurity).

И стройными рядами в лес пошли все, кто не умеет DHCP ;-)

1. Не знаю устройств, которые не имеют DHCP клиента. От soho-мыльницы до писюка с виндой.

2. Если такое устройство найдется, то добавить на порт add dhcpsnooping binding...

[ayamb]

Тааак... начинается обсуждение DHCP, со всякими там опшонами... :)

Тааак... Попробуем разобраться... (CLI AT-AR415S)

SecOff MCHS> set dhcp ?
EXTendid     Set the extended client identification option on or off
POLIcy       Set the value of one or more of the policy's existing options
RANge        Set the range's IP address reclaim probe type
OPTion       Modify the name, type or value of an existing option in a policy

Тааак... Наверное всетаки Policy...

SecOff MCHS> set dhcp poli=0 ?
ARPTImeout   Option 35 - Timeout value for ARP cache entries
BOOTFilesize Option 13 - Size of boot file in 512-octet blocks
BROADcastadd Option 28 - Broadcast address of the client's subnet
COOKIeserver Option 8 - List of cookie server IP addresses
DNSServer    Option 6 - DNS Server addresses
DOmainname   Option 15 - The DNS domain name of the client
ETHERENcap   Option 36 - Ethernet encapsulation
EXTENSIonpat Option 18 - Path name for more BOOTP info
FIle         Option 67 - Boot file name
HOSTname     Option 12 - Hostname string
IMPREssserve Option 10 - Impress Server addresses
INTMTu       Option 26 - Interface MTU size
IPForwarding Option 19 - Enable/Disable IP Forwarding
IPMTU        Option 22 - Max Datagram Reassembly Size
IPPLAteau    Option 25 - Path MTU Plateau Table
IPTIMeout    Option 24 - Path MTU Aging Timeout
IPTTL        Option 23 - Default IP Time to Live
LEASEtime    Option 51 - IP Address Lease Time
LOGServer    Option 7 - Logging Server addresses
LPRServer    Option 9 - Printer Server addresses
MASKDiscover Option 29 - Perform Mask Discovery
MASKSupplier Option 30 - Provide Mask to Others
MERITdumpfil Option 14 - Client to dump and name the file to dump it to
NAMEserver   Option 5 - Name Server addresses
NBDDservers  Option 45 - NETBIOS Datagram Distribution
NBNAmeserver Option 44 - NETBIOS Name Servers
NBNOdetype   Option 46 - NETBIOS Node Type
NBSCope      Option 47 - NETBIOS Scope
NISDomain    Option 40 - NIS Domain Name
NISErvers    Option 41 - NIS Server Addresses
NTPServers   Option 42 - NTP Server Addresses
POLICYFilter Option 21 - Routing Policy Filters
RESOUrceserv Option 11 - RLP Server
ROOTPath     Option 17 - Path name for root disk
ROUter       Option 3 - Router addresses
ROUTERDiscov Option 31 - Perform Router Discovery
ROUTERSolici Option 32 - Router Solicitation Address
SERVER       Option 65 - NIS+ v3 Server Addresses
SERVERNAme   Option 66 - TFTP Server Name
SOURceroutin Option 20 - Enable/Disable Source Routing
STATicroute  Option 33 - Static Routing Table
SUBLOcal     Option 27 - All Subnets are Local
SUBNetmask   Option 1 - Subnet Mask Value
SWAPServer   Option 16 - Swap Server addeess
T1TIme       Option 58 - DHCP renewal (T1) time
T2TIme       Option 59 - DHCP rebinding (T2) time
TCPGarbage   Option 39 - TCP keepalive garbage
TCPKeepalive Option 38 - TCP keepalive interval
TCPTtl       Option 37 - default TCP time to live
TIMEOffset   Option 2 - Time Offset in seconds from UTC
TIMEServer   Option 4 - Timeserver addresses
TRAILerencap Option 34 - Trailer Encapsulation
XDISplayserv Option 49 - X Window Display Manager
XFONtservers Option 48 - X Window Font Server
<enter>      Process command as is, as long as required parameters are present

Нефига,.. настроим Option напрямую...

SecOff MCHS> set dhcp opt=?
required - decimal in the range 1 and 254

Ээээ,.. настроим Option82 напрямую... :)

SecOff MCHS> set dhcp opt=82 ?
NAMe         Change the name of the selected option
TYpe         Change the type of the selected option
VALue        Change the value of the selected option
<enter>      Process command as is, as long as required parameters are present

Да ну его нафиг,.. :/... :)

SecOff MCHS> set dhcp opt=82 ty=
required -  IP, VALue, STRing, SWItch, HEXstring, NONE

Тем более, что нужна она не для DHCP, в классическом его понимании, а для:... :)

SecOff MCHS> sh bootp relay
BOOTP Relaying Agent Configuration
-------------------------------------------------------------------------------
Status ...................... Disabled
Maximum hops ................ 4
DHCP Option 82:
  Insertion status .......... Enabled
  Check ..................... Yes
  Reforwarding policy ....... Replace
  Debugging ................. Disabled
BOOTP Relay Destinations
Address            Interface
----------------------------
No relay destinations found
----------------------------
BOOTP Counters
  InPackets ....................... 0       OutPackets ...................... 0
  InRejects ....................... 0
  InRequests ...................... 0
  InReplies ....................... 0
-------------------------------------------------------------------------------
BOOTP relay agent is disabled.

[Bushi]

Чего Вы решили добиться? Если разговор идет о dhcpsnooping + security, то на AT это делается так:

 

enable dhcpsnooping
enable dhcpsnooping arpsecurity
enable dhcpsnooping option82
! Транк
set dhcpsnooping port=1 trusted=yes
! Абонент
set dhcpsnooping port=2 maxleases=4

Смотрим:

> show dhcpsnooping

DHCP Snooping Information
---------------------------------------------------------------------------
DHCP Snooping .............. Enabled
  Option 82 status ......... Enabled
  ARP security ............. Enabled
  Debug enabled ............ None

DHCP Snooping Database:
  Full Leases/Max Leases ... 25/189
  Check Interval ........... 60 seconds

> show dhcpsnooping database

DHCP Snooping Binding Database
-------------------------------------------------------------------------------
Full Leases/Max Leases ... 25/189
Check Interval ........... 60 seconds
Database Listeners ....... CLASSIFR

Current valid entries
MAC Address        IP Address       Expires(s)  VLAN  Port       ID     Source
-------------------------------------------------------------------------------
00-02-3f-76-7b-d4  192.168.10.141   591         9     41         298    Dynamic
00-02-44-71-67-5e  192.168.10.107   323         9     7          295    Dynamic
00-04-61-6c-90-68  192.168.10.145   409         9     45         288    Dynamic
00-04-61-ac-13-7e  192.168.10.105   453         9     5          3      Dynamic
00-0a-48-06-69-f8  192.168.10.139   381         9     39         287    Dynamic
00-0f-ea-f0-ab-cd  192.168.10.116   554         9     16         284    Dynamic
...

[ayamb]

Чего Вы решили добиться? Если разговор идет о dhcpsnooping + security, то на AT это делается так:

Да все нормально. Говорил мнУ не совсем об этом. Пример вполне нагляден... и узнаваем... :)

P.S. Но, кстати, можно привести и пример в достаточной степени "безценный"... (DHCPSnoop(+ARP) привязка без активизации DHCP на стороне клиента. (Такой расклад "продвинутые" юрики (,а точнее их сетевые администраторы,) еще вполне могут "терпеть"... Пока не узнают об этом.) :)

[Дятел]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

не понял тезиса. почему вдруг скорость падает или трафик растёт в цене.

[sirmax]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

Почему?

наверно автор имел виду что ВЕСЬ траффик будет идти через устойство эти вланы собирающее...