Jump to content

Изоляция пользователей

Beginner
 Share

Recommended Posts

Beginner

Beginner

Posted
Posted

Дано. Небольшая сеть - 200-300 подключений, в основном ADSL, p2p трафик мал. Необходимо по возможности исключить использование чужих IP со всеми вытекающими.

Фильтрация путем закрепления MAC-IP трудоемка и уязвима.

Фильтрация на ADSL-портах тоже не панацея. На старом оборудовании не поддерживается - фильтрация присутствует на уровне изоляции портов и только, на новом требует аккуратного манипулирования ограничениями при смене пользователя на порту.

Решил попробовать vlan-per-user.

Взял комп с linux'ом. Поднимаю десяток виртуальных сетей без адреса (точнее с адресом 0.0.0.0), прописываю маршрутами по 1 IP адресу на интерфейс. Пользователи изолированы, на пользователя расходуется 1 IP-адрес - все замечательно.

Попробовал перенести решение на cisco-маршрутизатор (пробовал на 5300 оказавшимся под рукой). Интерфейсы нарезаются, адреса привязываются. Но заставить работать все это получается только задав на интерфейсе виртуальной сети какой-либо адрес. Иначе пакеты через интерфейс не выходят. Адрес 0.0.0.0 не принимается. Прописывать на интерфейсах левые адреса из серой сетки - все простота решения сходит на нет.

Есть возможность обойти ограничения или придется использовать PPTP?

 

Nailer

Nailer

Posted
Posted
Дано. Небольшая сеть - 200-300 подключений, в основном ADSL, p2p трафик мал. Необходимо по возможности исключить использование чужих IP со всеми вытекающими.

Фильтрация путем закрепления MAC-IP трудоемка и уязвима.

Фильтрация на ADSL-портах тоже не панацея. На старом оборудовании не поддерживается - фильтрация присутствует на уровне изоляции портов и только, на новом требует аккуратного манипулирования ограничениями при смене пользователя на порту.

Решил попробовать vlan-per-user.

Взял комп с linux'ом. Поднимаю десяток виртуальных сетей без адреса (точнее с адресом 0.0.0.0), прописываю маршрутами по 1 IP адресу на интерфейс. Пользователи изолированы, на пользователя расходуется 1 IP-адрес - все замечательно.

Попробовал перенести решение на cisco-маршрутизатор (пробовал на 5300 оказавшимся под рукой). Интерфейсы нарезаются, адреса привязываются. Но заставить работать все это получается только задав на интерфейсе виртуальной сети какой-либо адрес. Иначе пакеты через интерфейс не выходят. Адрес 0.0.0.0 не принимается. Прописывать на интерфейсах левые адреса из серой сетки - все простота решения сходит на нет.

Есть возможность обойти ограничения или придется использовать PPTP?

ip unnumbered

ugluck

ugluck

Posted
Posted

может, что-то не так настраиваешь? у меня под рукой нет 53-й, но на 18 это выглядит примерно так:

int lo100

ip add 192.168.1.1 255.255.255.0

!

int fa0/0.100

ip unn lo100

!

int fa0/0.101

ip unn lo100

!

int fa0/0.102

ip unn lo100

!

...

!

ip route 192.168.1.100 255.255.255.255 fa0/0.100

ip route 192.168.1.101 255.255.255.255 fa0/0.101

ip route 192.168.1.102 255.255.255.255 fa0/0.102

...

кривота, конечно.. но работает.

 

ugluck

ugluck

Posted
Posted (edited)
>ugluck

 

Приблизительно так и пытался сделать. У Вас прошивка какая?

System image file is "flash:c1841-adventerprisek9-mz.124-11.T3.bin" тока я не уверен, что именно на этой делал.. пол-года прошло, не помню, какая там была. а 53-я на что именно ругаецца? Edited by ugluck
AlKov

AlKov

Posted
Posted

А чем Вам PPTP не устраивает? ИМХО, вполне подходящий Вам вариант. На Linux довольно неплохо разруливается. Ну правда для юзеров будут некоторые неудобства в плане подключения к Интернет (инициировать pptp сначала потребуется). Но здесь есть и преимущества опять же для юзеров - нет постоянного присутствия в Инете, отсюда снижается риск взлома, кол-ва спама с компов абонентов, ну и еще кое-какие "мелочи".. Тем более, что у Вас не так и много юзеров. Так-что риск повалить pptp сервак невысок. Тем более, не все же 200-300 юзеров одновременно в он-лайн сидеть будут. Например у меня при порядка 650 абонентов, одновременно в сети не более 10-15%.. По опыту коллег знаю, что 200 одновременных pptp сессий Linux вполне сносно обеспечивает. Вот PPoE не рекомендую по чужому опыту.. Наслышан, что глючит прилично. Хотя это только "слухи".. Может дело там в "кривых ручках". Сам не юзал..

Giga-Byte

Giga-Byte

Posted
Posted
...Вот PPoE не рекомендую по чужому опыту.. Наслышан, что глючит прилично. Хотя это только "слухи".. Может дело там в "кривых ручках". Сам не юзал..

слухи из-за кривых ручек с малым опытом.

когда юзера переваливают за... Х, тогда самое-то сделать нечто простое, дабы не мучатся с поддержкой серверного оборудования и управляемых свичей.

 

вон в УСИ, делай чего хочешь. всё открыто.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.