[rapsody]

Добрый день!

Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так...

 

Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450.

 

На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации.

 

То-есть максимум что может быть отрицательного от юзеров:

- смена ip и конфликт ипов внутри дома

- флуд внтури дома

 

Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ?

 

 

[[GP]Villi]

имхо, ип-мак надо на доступ, а то если в доме 50 клиентов, что все будут страдать?

[rapsody]

имхо, ип-мак надо на доступ, а то если в доме 50 клиентов, что все будут страдать?

всмысле страдать ? Почему все должны страдать ?

 

А на доступ для нас дорого ...

[Nag]

всмысле страдать ? Почему все должны страдать ?

Если вовремя давить порты флудеров - никто не пострадает...

 

[mikevlz]

а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором.

Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора.

Изменено 17 марта, 2008 пользователем mikevlz

[rapsody]

а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором.

Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора.

это неизбежное зло ... но менять ип смысла будет мало, т.к. все-равно дальше дома не выйти. А насрать соседу веселья не так уж и много. А объявлять себя маршрутизатором у нас еще никто (тьфу-тьфу-тьфу) не догадался :)

 

Каких-нибудь еще проблем не будет ?

[[GP]Villi]

дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)

 

сюрпризов может быть просто дофига

Изменено 18 марта, 2008 пользователем [GP]Villi

[Nag]

дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)

Флуд...

Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити.

А если он с правильного маса, то зачем его долго искать? ;-)

Да и устранять это должен робот... Чего такого сложного-то?

[rapsody]

дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)

Флуд...

Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити.

А если он с правильного маса, то зачем его долго искать? ;-)

Да и устранять это должен робот... Чего такого сложного-то?

Ну ок ... если никто ничего сильно плохого сказать не может ;) будем переделывать под такую схему ... всем спасибо :)

[praeitor]

Добрый день!

Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так...

 

Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450.

 

На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации.

 

То-есть максимум что может быть отрицательного от юзеров:

- смена ip и конфликт ипов внутри дома

- флуд внтури дома

 

Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ?

А можно поточнее с оборудованием ядро, доступ?

У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно.

 

[rapsody]

А можно поточнее с оборудованием ядро, доступ?

У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно.

Да ядро особой роли-то не играет в этой схеме, но у нас стоит cisco3550-12T. А доступ - Nortel 450