SergDM Опубликовано 15 апреля, 2008 · Жалоба Приветствую! Досталась мне в наследство такая сетка - 300-400 компов через тучу свичей ноунейм в самых любопытных местах, которые все ,в конечном итоге, приходят на свич 3com5500EI , от него идет оптика к провайдеру, у провайдера стоит циска которая дает инет... сеть довольно беспокойная, сесть на ип соседа и накачать за его счет желающие бывают относительно часто... Нужно хоть как-то от этого защититься. Самое интересное, что циску почему-то трогать нельзя ) Сама циска ничего не делает кроме роутинга. Стал смотреть что может этот триком... И никак не могу понять что же именно надо ) Так как впн и прочие радости жизни отпадают, стал смотреть в сторону богомерзкой привязки "ип-мак"... Есть там такая штука - таблица привязок пар ип-мак к порту. Вроде как тру, работает на ура но выплыли такие особенности - больше одного ипа к маку железка привязать не дает, а у некоторых несколько ипов на одном интерфейсе.. А так как при включении защиты на порту свич пропускает только указанных в списке, приходится отрубать защиту на некотрых портах.. ана них еще дофига народу... И более того, такая привязка жрет ресурсы ацл которые и так не безграничны.. вобщем - не айз. Из других вариантов ,не требующих клиентских настроек и программ, нашел только статичное заполнение арп таблицы, привязка маков к порту (но без айпи -_-) и некий мак-авторизейшн, в котором свич при появлении нового мака спрашивает о нем радиус сервер (ну или ищет среди локальных юзеров).. вот только про ипы там опять ни слова -_- Может кто-нибудь работал с похожими схемами и может что-нибудь посоветовать? Сражу скажу - бюджета на закупку нет никакого, тоесть все имеющимися силами (читай трикомом -_-) Максимум что можно будет сделать - собрать какой-нить комп из вторсырья, вот только вариант сделать из него шлюз отпадает - нагрузка магистрали минимум 20мбит, в среднем около 40, а иногда и до 80 подскакивает... На нормальный шлюз денег никто не даст ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 15 апреля, 2008 · Жалоба кто зарабатывает деньги? провайдер? билинг тоже у него? тогда тебе это зачем? объясни свой интерес тогда будем искать решение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vanger_ Опубликовано 15 апреля, 2008 · Жалоба как провайдер трафик то юзерам считает? всем розданы статические внешние ипы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 16 апреля, 2008 · Жалоба Интерес ,естественно, денежный - заплатят мне за это немного (если выйдет ))) Но так как я в этом деле не спец, решил спросить тут.. вот и весь интерес.. )) Ситуация простая: биллинг стоит у провайдера. каждому юзверю статический маршрутизируемый адрес. Не совсем понятен вопрос про " кто зарабатывает деньги?" ) Схема такая, хозяева полуофисного здания сами дают своим арендаторам (и ряду "левых" типов ) линк от провайдера (по своей кабельной сети и своему оборудованию) , и сами берут с них деньги на основе данных предоставленных провом(естественно немного "подправленные" )) . За "порядком" на своем сегменте тоже следят сами ) Точнее раньше вообще не следили, а теперь пошли жалобы и зачесались ) Вся схема кустарна и завязана большими неофициальными отношениями, такчто деньги зарабатывают все кому не лень ) Но это все не принципиально имхо, вопрос-то в другом ) Я так подумал, если потихоньку менять свичи на что-то дешевое но умеющее вланы и транковые порты, то можно будет попробовать дать по влану на клиента и биндить маки на абонентских свичах... тогда вроде как должно стать гораздо культурнее ) сейчас смотрю свичи и что-то теряюсь.. уж больно везде все както неразвернуто написано ) Вопрос такой - если у меня влан на клиента до самого выхода на прова, и арп таблица в абонентском свиче забита жестко, то даже если клинет поменят мак или ип, то к нему в любом случае ничего в ответ не придет, тоесть он будет в "отрубе" ? или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 16 апреля, 2008 · Жалоба и маки и арп адреса меняются пользователями на раз. если хочешь навести порядок без замены свитчей - нужно вводить пптп или пппое. на существующем оборудовании ничего ты сделать вменяемого не сможешь. если хочешь полумеру - привязать ип к макам по портам имеющейся железке - ставь софтроутер. благо сейчас компутеры дешевые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allied Опубликовано 19 апреля, 2008 · Жалоба 1. Провайдер маршрутизирует подсеть выделяемых адресов на Ваш роутер. 2. Из вторсырья собераешь комп, далее поднимаешь на нём DHCP сервак + можно поиграться с разными опциями, к примеру 82-й (нужно смотреть по функционалу коммутатора). 3. У всех клиентов настраиваешь подключение по DHCP (намного бистрее, чем поднимать тунели). 4. Получаешь нормальную (не отличную) сеть, деньги и возможность контролировать сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 21 апреля, 2008 · Жалоба DHCP не спасёт от желающих воровать чужие айпишники и мак-адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 21 апреля, 2008 · Жалоба 1. Провайдер маршрутизирует подсеть выделяемых адресов на Ваш роутер.2. Из вторсырья собераешь комп, далее поднимаешь на нём DHCP сервак + можно поиграться с разными опциями, к примеру 82-й (нужно смотреть по функционалу коммутатора). 3. У всех клиентов настраиваешь подключение по DHCP (намного бистрее, чем поднимать тунели). 4. Получаешь нормальную (не отличную) сеть, деньги и возможность контролировать сеть. А если какой-нить лось воткнет свой роутер лан стороной в сеть? (прецендентов много) А дхцп по умолчанию почти везде включен... Как дхцп сервера поступают в таких ситуациях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 21 апреля, 2008 · Жалоба А если какой-нить лось воткнет свой роутер лан стороной в сеть? (прецендентов много) А дхцп по умолчанию почти везде включен...Как дхцп сервера поступают в таких ситуациях? бардак будет, вот что.от какого дхцп ответ придет первым, от того клиент айпи и получит. имхо, только сеть на полностью управляемом оборудовании спасет ситуацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allied Опубликовано 22 апреля, 2008 · Жалоба Какой бардак? Я же писал - ...можно поиграться с разными опциями... Я подал идею, а не точное руководство к действию. Если идея понравилась Вам, тогда готов ответить: Защита от левого DHCP сервера и от воровства чужого адреса - DHCP снупинг. Чем умнее коммутатор, тем эффективней реалицован функционал DHCP снупинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 23 апреля, 2008 · Жалоба То бишь до тех пор, пока на всех узлах не будут стоять управляемые железки с возможностью привязок IP-мас, DHCP-снупинга или даже фильтрацией трафика - сеть остаётся беззащитной. DHCP-снупинг позволит защититься от левых DHCP, а не от левых мак-адресов и айпишников. О чём и было сказано выше. А когда везде стоит такое оборудование - DHCP уже абсолютно ни на что не влияет, только на удобство самих пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allied Опубликовано 23 апреля, 2008 · Жалоба ... DHCP-снупинг позволит защититься от левых DHCP, а не от левых мак-адресов и айпишников.Я же писал, не просто DHCP и DHCP-снупинг, а и использования опций. К примеру, DHCP Option 82 решит ситуацию.С другой стороны, что предлогаете Вы? Если уж и пошла тема про хитрых пользователей, то тунели тоже не помогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 24 апреля, 2008 · Жалоба Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allied Опубликовано 24 апреля, 2008 · Жалоба Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет. А что по твоему делает снупинг? Он не создает эти же правила? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rudz Опубликовано 5 мая, 2008 · Жалоба Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет.А что по твоему делает снупинг? Он не создает эти же правила? необязательно, это не его забота вообще-то. его забота - перехватить от клиента request, отправить штатному dhcp-серверу, получить reply и отдать клиенту - и не больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 5 мая, 2008 · Жалоба тут же речь о том что на каждом порте коммутатора зоопарк. И если что-то не то, то падает не 1 клиент. а целый сегмент. Вланы этот свитч умеет собирать? может купить по 100 рублей мыльниц на реалтеке, перепаять их чтобы каждый абонент был в отдельном влане? получиться вменяемая сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...