[wel]

Привет Всем

Есть сеть на 60 домов и на тупых свичах и потихоньку растет.

Но уже сейчас наблюдаются всякие спуферы и т.д.

Инет раздается по PPTP, клиенты получают по IP по DHCP...

На домах 8-16-24 портовые свичи, по 1-2 штуки.

На сервере стоит FreeBSD.

Прочитал что arpwatch можно обьеденить со свичем и по SNMP протоколу закрывать доступ для спуфера.

 

Меня интересует:

1.Уменьшение нагрузки на сеть.

2.Возможность отслеживать атаки

 

Дополнительно:

Избегать таких случаев, как:

Кто-то в свич воткнул еще одного провайдера - сеть легла

Кто-то занимается arp/ip-спуфингом, лягли роутеры/свичи, Я такое наблюдал с 6-8портовыми.

Флуд в одной части сети ложит всю сеть на колени

 

[cmhungry]

dlink des-3010/3026/3028 на дома

dlink des-3828 в центр, на нем сетку поделить на несколько л3 сегментов

[user_anonymous]

dlink des-3010/3026/3028 на дома

...

Есть мнение, что эти свичи очень не любят атмосферные явления типа гроз.

[mikevlz]

3026 не любят. на 3028 статистики еще нет.

[Zarin]

судя по начинки 3028, тоже буду дохнуть, обвязка разделительных трансов собрана по минимуму

[Giga-Byte]

вообще есть замечательная штука - Broadcast Storm Control,

очень помогает.

использую её на всех 100Мбитных портах DES-3526,

каждый порт представляет собой ВЛАН с 1-4 домами (~20-30 юзеров)

[wel]

dlink des-3010/3026/3028 на дома

dlink des-3828 в центр, на нем сетку поделить на несколько л3 сегментов

Такой вопрос - пользователи в этих ланах(л3 сегментах) могут между собой обмениваться инфой?...

[Come]

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

 

[wel]

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

Я вот чего не могу понять.

http://ru.wikipedia.org/wiki/VLAN:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

 

Насколько Я понимаю вашу идею:

Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы...

 

Вопрос:

Я имею три свича: С1,С2,С3.

С2 и С3 подключены к С1.

K С2 и С3 подключены пользователи из подсети 192.168.1.0/28

С1 - L3,a С2 и С3 - L2.

Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить?

 

ПС:

Опиши ПЛЗ то что имелось в виду.

 

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

Хм...

Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент...

В доме доходит до 50компов - 2*24портовых свича...

dlink des-3010/3026/3028 на дома

Есть dlink des-2108, но если они не подходят, то скажите ПЛЗ :)

[BuHast]

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control?

Изменено 21 февраля, 2008 пользователем BuHast

[Come]

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

Я вот чего не могу понять.

http://ru.wikipedia.org/wiki/VLAN:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

 

Насколько Я понимаю вашу идею:

Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы...

 

Вопрос:

Я имею три свича: С1,С2,С3.

С2 и С3 подключены к С1.

K С2 и С3 подключены пользователи из подсети 192.168.1.0/28

С1 - L3,a С2 и С3 - L2.

Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить?

 

смогут общатся, но через центральный сервер BRAS

ПС:

Опиши ПЛЗ то что имелось в виду.

Все же достаточно просто, каждый абонент в своем VLAN и привязка IP, MAC не нужна, да и ARP читинг не работает - все пользователи в своих отдельных VLAN

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

Хм...

Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент...

В доме доходит до 50компов - 2*24портовых свича...

dlink des-3010/3026/3028 на дома

Есть dlink des-2108, но если они не подходят, то скажите ПЛЗ :)

повторюсь привязка MAC/ IP и изоляция портов достоточно дорогое решение, если его строить правильно и что бы сеть была безопасной (никаких колец на L2 свичах)

[Come]

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control?

LBD (а собственно петель то и не будет), Broadcast shtorm Control (а так это ничему не мешает)

IPM-Binding - Включить можно плюс изоляцию портов и т.д., но это не помогает. В любом случае если будут кольца на L2 свичах и пользователи в одном VLAN, то рано или поздно найдется умный "хакер" и

украдет все данные у пользователей в этом сегменте. Особенно будет весело когда кто-нибудь украдет данные кредиток

все же давно написано

http://www.xakep.ru/magazine/xa/068/060/3.asp

 

[Nic]

О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер...

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

[ingress]

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

vlan per user, и попробуйте что нить ваще увидеть без разрешения :)

[Nic]

Согласен, но не всем нравится такая идеология...

[wel]

vlan per user, и попробуйте что нить ваще увидеть без разрешения :)

Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:

В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети?

 

[postuser]

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

vlan per user, и попробуйте что нить ваще увидеть без разрешения :)

Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000?

[Vanger_]

ставить несколько коммутаторов, для каждых 4х тысяч отдельный

[Come]

О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер...

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

и что? а если пользователей под 10 и более тысяч -? привязка в ручную, да и фильтры ARP не навсех свичах.

Плюс все равно фильтрация ARP спасает не на 100%

 

Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:

В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети?

Да никак они друг друга не видят, представьте что они в разных коммутаторах :) и увидят друг друга только через L3 свич или BRAS. Если Вы этого захотите :)

 

 

Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000?

используйте QinQ простой, но не очень удобный - будет 16 миллионов абонентов :) (правда траблов много, QoS будет на абонента, и все сервисы от абонента будут с одинаковым приоритетом, что убивает саму фичу)

 

или QinQ selective - то 90 000+ не проблема на один сегмент, а если уже VLAN на сервисы давать (что правильнее), то 40 000 + сегмент. Столько достаточно? :) тут уже и с QoS все получше и с настройками все быстрее, да и в обслуживании проще. Фактически это QinQ VLAN на свич.

 

[QstArt]

В сетях vlan per user, геймеры восстание не поднимают? Для всех игр сервак не поднимешь. Хотя с vlan на дом тоже не фонтан для них.

У D-link'а есть коммутаторы с QinQ /selective? )

Изменено 19 марта, 2008 пользователем QstArt