rapsody Опубликовано 16 марта, 2008 · Жалоба Добрый день! Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так... Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450. На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации. То-есть максимум что может быть отрицательного от юзеров: - смена ip и конфликт ипов внутри дома - флуд внтури дома Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 16 марта, 2008 · Жалоба имхо, ип-мак надо на доступ, а то если в доме 50 клиентов, что все будут страдать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 17 марта, 2008 · Жалоба имхо, ип-мак надо на доступ, а то если в доме 50 клиентов, что все будут страдать?всмысле страдать ? Почему все должны страдать ? А на доступ для нас дорого ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 17 марта, 2008 · Жалоба всмысле страдать ? Почему все должны страдать ?Если вовремя давить порты флудеров - никто не пострадает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 17 марта, 2008 (изменено) · Жалоба а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором. Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора. Изменено 17 марта, 2008 пользователем mikevlz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 17 марта, 2008 · Жалоба а в такой схеме две забавы могут быть... Насрать соседу украв у него адрес и насрать всему дому, объявив себя маршрутизатором.Грамотной ТП обнаруживается резво, порт укладывается, абонент отключается за нарушение договора. это неизбежное зло ... но менять ип смысла будет мало, т.к. все-равно дальше дома не выйти. А насрать соседу веселья не так уж и много. А объявлять себя маршрутизатором у нас еще никто (тьфу-тьфу-тьфу) не догадался :) Каких-нибудь еще проблем не будет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 18 марта, 2008 (изменено) · Жалоба дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =) сюрпризов может быть просто дофига Изменено 18 марта, 2008 пользователем [GP]Villi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 18 марта, 2008 · Жалоба дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)Флуд...Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити. А если он с правильного маса, то зачем его долго искать? ;-) Да и устранять это должен робот... Чего такого сложного-то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 18 марта, 2008 · Жалоба дикий периодический флуд где нибудь часов в 10-11 вечера, который вы будете сначало долго искать, а потом долго устранять =)Флуд...Но он неизбежно будет с правильного МАС-а, не правда ли? Иначе он не пройдет через простой мас-сукьюрити. А если он с правильного маса, то зачем его долго искать? ;-) Да и устранять это должен робот... Чего такого сложного-то? Ну ок ... если никто ничего сильно плохого сказать не может ;) будем переделывать под такую схему ... всем спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
praeitor Опубликовано 18 марта, 2008 · Жалоба Добрый день!Хочу пересмотреть вопрос безопасности в сети и сделать все по следующей схеме... Сначала хотел сделать vlan на юзера, но прикинув решил, что это слишком накладно. Поэтому хочу сделать так... Схема сети трехуровневая: ядро, агрегация, доступ... то-есть последовательных подключений почти не осталось - каждый дом подключен непосредственно к узлу агрегации. Свичи агрегации - dlink des-3828, доступа - nortel 450. На каждый дом выделяется свой vlan, который терминируется на свиче агрегации. На нортелях мак юзера привязывается к порту. А на des-3828 используется фича ip-mac-port binding. Получается что юзер поменять мак не может, а при смене ip - трафик рубится сразу на свиче агрегации. То-есть максимум что может быть отрицательного от юзеров: - смена ip и конфликт ипов внутри дома - флуд внтури дома Использовать pppoe и прочие туннели не очень хочется, а с ростом количества юзеров проблемы смены ипов, маков и флуда становятся все острее. Какие могут быть проблемы при использовании такой схемы ? А можно поточнее с оборудованием ядро, доступ? У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 18 марта, 2008 · Жалоба А можно поточнее с оборудованием ядро, доступ?У нас просто сейчас стоит в планах примерно такого же рода реструктуризация и думаем как бы это всё граммотно провести, так же заинтересовались возможностью vlan на дом, т.к. vlan на пользователя выходит действительно накладно. Да ядро особой роли-то не играет в этой схеме, но у нас стоит cisco3550-12T. А доступ - Nortel 450 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...