Перейти к содержимому
Калькуляторы

Логическая схема сети микрорайона

Всем доброго времени суток!

Возникла необходимость перерабатывать существующую сеть, т.к. запущена она довольно сильно. В связи с недостатком опыта решил задать вопрос специалистам))

Сначала описание сети района.

Около 300 клиентов, в качестве абонентского свича используются Edge-Core ES3526, либо D-Link 1226G. Центральный свитч - Edge-Core ES4612. Адреса клиентов белые, раздача по DHCP с привязкой по маку.

Варианты:

1. Схема типа Vlan на клиента.

Если правильно понял, такая схема реализуется с помощью завершения Vlan-ов на центральном свиче микрорайона, с помощью маршрутизации в другой Vlan. Требуется 4 Ip адреса на клиента, то есть при использовании белых IP - разбазаривание жуткое )). Если это так, такая схема не подходит.

2. Схема типа Vlan на дом или группу домов.

Та же ситуация, + еще злоумышленнику есть где развернуться )

3. 1 Vlan на физиков, 1 на юр. лиц, 1 на менеджмент.

Привязку физиков делаем прямо на портах свичей с помощью Extended ACL. Вяжем IP - порт. Управление в отдельном вилане, + 1 порт настроенный, чтобы воткнуться ноутом, если что. Виланы доводим непосредственно до центрального свича сети. Включаем Broadcast Control.

 

А теперь вопрос!

Решили применять схему номер 3.

Правильны ли мои рассуждения по всем трём пунктам? Чем грозит использование схемы номер 3?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) )

 

4612 - тупая молотилка недалеко ушедшая от рефересного броадкомовского дизайна. в 4624(6) уже вкусное метро начинается.

так что лучше влан на дом

я бы поставил ME3400 гигабитный 12 портовый :) ну или АТ x900 попробовал ;)

 

 

привязка - свич-порт, никаки маков.

DHCP + Opt82 + DHCP Snooping + IP Source Guard(динамический)

нету только арп снупинга, но обещают :)

 

один влан на всех - крайне некрасиво, даже если всё управляемое.

только адреса белые экономить :)

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) )

 

4612 - лучше влан на дом + DHCP + Opt82 + DHCP Snooping + IP Source Guard

нету только арп снупинга, но обещают :)

 

один влан на всех - крайне некрасиво, даже если всё управляемое.

только адреса белые экономить :)

Стоят на некоторых домах и 3528.

Есть еще проблемка, практически все адреса розданы )) была подсеть/25, щас забита вся. Т.е. применяя такую схему придется у кого то адреса отбирать, выдавать другие, гемморой )

Чем всё же плохо 1 влан на всех?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем всё же плохо 1 влан на всех?

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали.

вообще у еджекоре с софтом все как то не очень пока :( (пока длится года полтора :) )

 

если хотите дешево, и клиентов мало, возьмите на доступ по свичу хотя бы с 2 vlan на порт (из диапазона 4к), и в центр поставьте нормальную молотилку с QinQ selective (писал уже тут про это, нужен с гигабитами аналог ME3400). Собственно получите и VLAN на пользователя (но с ручной настройкой), и VLAN на юриков еще останется и на менеджмент.

 

А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери.

Изменено пользователем Come

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорога

вообще у еджекоре с софтом все как то не очень пока :(

всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave.

всё корректно обрабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой.

То есть просто уменьшение размера сегмента. Подумаем...

А про терминацию вланов я хоть правильно понял? Т.е. маршрутизировать на 3 уровне? На центральном свиче района? А то теоретическая инфа не помогает, а практической крайне мало...

Спасибо заранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати можно оставить адреса, только поставить в центр Cisco 4500/6500, у которых есть такая вещь в софте как ip unnumbered on SVIs

т.е. до каждого пользователя идёт влан, на сиське в каждом svi прописывается ip unnumbered lo0, включается прокси арп, а на lo0 вешается жирная белая сетка. весь траф будет ходить через центр.

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорога

вообще у еджекоре с софтом все как то не очень пока :(

всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave.

всё корректно обрабатывает.

волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые)

 

суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность).

Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорога

вообще у еджекоре с софтом все как то не очень пока :(

всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave.

всё корректно обрабатывает.

волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые)

 

суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность).

Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно.

давайте сравним п***... прошивки :)

 

Agent (master)

Unit ID: 1

Loader version: 2.2.1.4

Boot ROM version: 2.3.0.0

Operation code version: 2.3.3.4

 

и про длинк вспоминать не будем, как они там свои прошивки лизали, и какие там глюки были, и ценник на него не оправдано завышен, потому что вылизали в что то более менее вменяемое :)

 

но про вентиляторы, электролиты и панели до сих пор песни в соседних топиках поют ;)

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем всё же плохо 1 влан на всех?

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой.

А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери.

Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать?

Изменено пользователем Алексей Андриянов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем всё же плохо 1 влан на всех?

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой.

А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери.

Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать?

я немного не закончил мысль, от броадкаст-мультикаст атак любого уровня

у клиента стоит в основном винда, в ней служб всяких тьма тьмущая, всякие SSDP, UPnP, и прочего говна пользовательского типа броадкаст-мультикаст чатов

 

конечно вы можете сказать, да я всё это зарежу на своём любимом длинке

но есть 2 варианта:

1.вот теперь представьте - приходит IPv6 (который в висте уже из коробки) и ваши все фичастые ACL которые режут всё это, перестают работать.

выкидываете весь доступ и ставите заново(деньги на ветер)

2.всего не упомнишь что там появилось, и всё не закроешь, что нить да проскочет. а ещё хуже, к этому моменту закончатся ресурсы коммутатора.

и что делать? смотреть как очередная зараза распостраняется через очередную дыру в оси?

 

так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки.

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем всё же плохо 1 влан на всех?

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой.

А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери.

Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать?

Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу.

можно еще раз дать ссылку

http://xgu.ru/wiki/ARP-spoofing

 

и в принципе можно и Dlink использовать, только кольца не стройте на нем, а включайте в свич L3.

просто строить сети с MAC, IP привязкой ДОРОГО, а так же их ДОРОГО обслуживать и персперктив у них в будующем НЕТ.

 

Про IPV6 - конечно нафиг он не нужен и пугают им уже много лет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну положим IPv6 - не проблема для тех, кто не собирается его внедрять, а таких - тьма. Чем там будут обмениваться два умника в своем сегменте, прописавшие себе IPv6-адреса - никого в общем не интересует, маршрутизатор их дальше сегмента не выпустит.

 

По пользовательскиму broadcast-софту - это дело вкуса. Многим нравится, когда у них в сетевом окружении видятся компы соседей или в играх автоматически определяются доступные сервера. Если не давать засылать broadcast на большой скорости, то ничего плохого в нем нет.

 

А вот возможность оберегать пользователей от новых зараз, поражающих ОС и резать любой неугодный трафик действительно ценна, как и теоретическая возможность учета локального трафика. Но для этого нужно действительно серьезное оборудование на терминацию туннелей или VLAN, и экономическая целесообразность сомнительна.

 

Но скажу сразу, боевого опыта применения у меня нет, мы только собираемся строить сеть с использованием по одному VLAN где-то на 200 пользователей, с ACL на клиентских портах и разрешенным broadcast. Поэтому и излагаю свои мысли, может, меня тут переубедят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку

http://xgu.ru/wiki/ARP-spoofing

Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку

http://xgu.ru/wiki/ARP-spoofing

Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера.

да почти все верно, только ARP пакет это не IP пакет...

проверю на следующей недельке с 3526.

но ACL тоже не выход, вы считали сколько их вам на порт нужно создать? для разного трафика, для защиты от небиоса и т.д.? А следить, что бы в 1000 и более свичей это все будет выставленно? :) в общем еще раз повторюсь, дорого делать сеть на одних ACL да и не персперктивно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да почти все верно, только ARP пакет это не IP пакет...

проверю на следующей недельке с 3526.

Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом.

 

но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?
Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать.

 

Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) -

40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да почти все верно, только ARP пакет это не IP пакет...

проверю на следующей недельке с 3526.

Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом.

 

но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?
Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать.

 

Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) -

40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре.

А сколько всего ACL вам будет нужно, что бы:

1) закрыть все дырки и защитится от атак.

2) выставить приоритеты на трафик VoIP, на Интернет, на IP TV ..

 

Не знаю как Вы считали, у меня есть цены GPL от кьютека (уже давал раньше ссылки), так подобное решение стоит 603 000 рублей. Это так не грубо, а по рознице...

Может я чего не понимаю, но ведь тестили, работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny.

Еще бы неплохо запретить протоколы отличные от ARP, IP

Если у Вас используется PPPoE, то разрешить его и придумать как защищаться от лже PPPoE аксес-концентраторов.

Если планируется IPTV, то ещё ограничить испускаемый клиентом мультикаст трафик, дабы как минимум не дать возможность вещать на адресах, которые у Вас зяняты под IPTV.

А так же было бы неплохо иметь возможность ограничивать доступ к сети неплательщиков не просто опусканием порта, а ограничением доступных им ресурсов (например, разрешив доступ только к личному кабинету, чтобы клиент мог знать свою задолженноость и имел возможность пополнить счет картой экспресс-оплаты)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали.

Что именно "не работает"? Там-то как-раз полноценный MVR, причём вылизаный.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sbca, спасибо за советы. Но PPPoE не используем, для ограничение на испускаемый multicast в 3526 есть отдельная функция, никак не связанная с access-profile, а выключать доступ планируем переводом в другой VLAN, где http-запросы будут заворачиваться в личный кабинет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Алексей, так все таки сколько ACL нужно для безопасной жизни абонента в одном в одном VLAN?

где не только интернет нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для ограничение на испускаемый multicast в 3526 есть отдельная функция.

что-то не нашёл такой.

там есть возможность ограничить подписку на определенные группы, есть возможность установить ограничение по скорости для испускаемого мультикаст и широковещательного трафика.

но как запретить отправку мультикаст отличного от IGMP - я не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видимо ее и нет, удивляюсь как люди мучаются, изобретают велосипед (хотя это интересно), но пытаются всех засунуть в один VLAN :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто что порекомендовать может из варианта

"так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки."

на доступ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.