Jump to content

Покритикуйте схему сети

rapsody
 Share

Recommended Posts

rapsody

rapsody

Posted
Posted

Добрый день!

Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так...

 

Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450.

 

На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации.

 

То-есть максимум что может быть отрицательного от юзеров:

- смена ip и конфликт ипов внутри дома

- флуд внтури дома

 

Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ?

 

 

rapsody

rapsody

Posted
  • Author
Posted

имхо, ип-мак надо на доступ, а то если в доме 50 клиентов, что все будут страдать?

всмысле страдать ? Почему все должны страдать ?

 

А на доступ для нас дорого ...

Nag

Nag

Posted
Posted
всмысле страдать ? Почему все должны страдать ?
Если вовремя давить порты флудеров - никто не пострадает...

 

mikevlz

mikevlz

Posted
Posted (edited)

а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором.

Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора.

Edited by mikevlz
rapsody

rapsody

Posted
  • Author
Posted
а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором.

Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора.

это неизбежное зло ... но менять ип смысла будет мало, т.к. все-равно дальше дома не выйти. А насрать соседу веселья не так уж и много. А объявлять себя маршрутизатором у нас еще никто (тьфу-тьфу-тьфу) не догадался :)

 

Каких-нибудь еще проблем не будет ?

[GP]Villi

[GP]Villi

Posted
Posted (edited)

дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)

 

сюрпризов может быть просто дофига

Edited by [GP]Villi
Nag

Nag

Posted
Posted
дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)
Флуд...

Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити.

А если он с правильного маса, то зачем его долго искать? ;-)

Да и устранять это должен робот... Чего такого сложного-то?

rapsody

rapsody

Posted
  • Author
Posted
дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)
Флуд...

Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити.

А если он с правильного маса, то зачем его долго искать? ;-)

Да и устранять это должен робот... Чего такого сложного-то?

Ну ок ... если никто ничего сильно плохого сказать не может ;) будем переделывать под такую схему ... всем спасибо :)

praeitor

praeitor

Posted
Posted
Добрый день!

Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так...

 

Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450.

 

На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации.

 

То-есть максимум что может быть отрицательного от юзеров:

- смена ip и конфликт ипов внутри дома

- флуд внтури дома

 

Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ?

А можно поточнее с оборудованием ядро, доступ?

У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно.

 

rapsody

rapsody

Posted
  • Author
Posted
А можно поточнее с оборудованием ядро, доступ?

У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно.

Да ядро особой роли-то не играет в этой схеме, но у нас стоит cisco3550-12T. А доступ - Nortel 450

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.