Jump to content

Вопрос к провайдерам у кого сеть на dhcp

viitaly
 Share

Recommended Posts

viitaly

viitaly

Posted
Posted

Не знаем как нам реализовать вот такую схему:

Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2), для необходимости предотвратить подделку MAC и IP адресов в целях исключения кражи траффика. У нас доступ в интернет для пользователей ведется по IP.

Зарание благодарен за ответ !!!

 

 

 

SoUgly

SoUgly

Posted
Posted

Если в свитчах есть DHCP option82, то можно выдавать ип по RemoteID и CircuitID

 

А что бы был полный гуд - хорошо бы привязать DHCP Snooping

 

Для всех этих вещей рекомендую Dlink DES3526 или DES3028

Nallien

Nallien

Posted
Posted

вилан на клиента\группу? ACL там хоть какие-то есть ? если нет - то хоть статиком маки попривязывать к порту - уже намного лучшей.

Nallien

Nallien

Posted
Posted

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

vadimidav

vadimidav

Posted
Posted

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

Как разобраться в функции ACL и как она вообще работает с DHCP и как на VLAN-ах это все сделать?

  • 2 weeks later...
Andrei

Andrei

Posted
Posted
если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.
Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то? Если терминация ppoe реализована на линух-сервере или циске, то наверное можно поднять на этом линух-сервере/циске dhcp-сервер.

 

Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.
Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.
ktoto

ktoto

Posted
Posted
Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то?

 

Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

 

Связка mac+ip с применением dhcp Snooping и IP Source Guard в купе с ARP Inspection очень даже айс.

Стоит забить себе настройки статически и комутатор пресекает активность от такого источника.

ThreeDHead

ThreeDHead

Posted
Posted

У нас так:

1. МАКи на портах всех абонентских L2-коммутаторов фильтруются

2. Пограничные L3-коммутаторы осуществляют DHCP-relay

3. DHCP-сервера выдают каждому МАКу свой статический IP

4. За соответствием привязки IP/MAC следит система, регулярно (1~5 мин) снимающая ARP-таблицы с пограничных L3-коммутаторов и проверяет их на соответствие. Если выявляется факт подмены IP-адреса - тут же на пограничном L3 блокируется MAC этого пользователя, строчка в журнал, дале разбор полетов в техподдержке - "у меня не работает".

 

vIv

vIv

Posted
Posted

Повторяю: http://forum.nag.ru/forum/index.php?showto...mp;#entry395794

 

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
ППКС!

 

В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

vIv

vIv

Posted
Posted
Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне.

Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).

ThreeDHead

ThreeDHead

Posted
Posted
В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

За ссылку спасибо, я пока на 8-й странице :)

Розетка "Интернет" действительно должна нести Интернет, вот только остается вопрос в стоимости коммутаторов, позволяющих это.

Konstantin Klimchev

Konstantin Klimchev

Posted
Posted
Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).
Интересный наверное процесс - подключение RJшного разъема к вашему телефону с Симбианом :)

Вообще на входе должен стоять STB если такие хотелки. А к нему уподключайтесь хоть. По wifi ли, еще как-то ли... одним словом - как душе будет угодно...

BETEPAH

BETEPAH

Posted
Posted
<br />
То есть Вы считаете, что привязка MAC-адреса к порту коммутатора это нормальный телеком?

а в чем проблема? если например перепривязку можно сделать за 5 минут одним звонком в техподдержку. круглосуточно.

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
Юзеры, жмущие 25 баксов на домашний рутер - идут туда же. Несколько компов и ноут купить они могут, а на рутер у них денег нет. А оператор за этого крохобора должен вваливать дополнительную кучку бабла в сеть, что б он мог "подключить что угодно когда угодно, никуда не звоня". И при этом как правило доход с таких абонентов - баксов 6-8 в месяц. Идите уж... к конкурентам :)

На самом деле, на мой взгляд - исключительно вопрос качества работы саппорта.

ППКС

нет ничего проще покупки роутера с вай-фаем и подключай что угодно, хоть холодильник с интернетом

vIv

vIv

Posted
Posted

Вот именно об этом в том треде и речь: managed CPE. Оно должно быть включено в подключение. И совсем не 25 баксов, т.к. роутер за 25 баксов не прососёт 100М локалки. ИЛИ более умная сеть. Если не касаться IPTV, то надо только .1Q, что есть в любом более-менее приличном оборудовании.

 

http://forum.nag.ru/forum/index.php?s=&amp...st&p=368919

 

А теперь внимательно перечитайте еще раз. Если следовать вашей логике, я должен звонить в саппорт водоканала, каждый раз, когда мои гости садятся на унитаз и просить - авторизуйте эту жопу, пожалуйста. А гость при этом должен сидеть с зацементированным унитазом и ждать?? А после того, как гость встанет и приспичит мне, я должен буду позвонить в саппорт и реаторизовать собственную задницу, так чтоли?

 

Прямо по фрейду пример привели - говноканал и говнопровайдер...

vladd

vladd

Posted
Posted

Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

 

vIv

vIv

Posted
Posted

как всё запущено-то....

 

По Opt82 адрес выдаётся на основании пары Свич+Порт - из рэнджа. Сколько надо, столько и дадут. И пофигу всякие MAC-и.

Konstantin Klimchev

Konstantin Klimchev

Posted
Posted
Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

И это даже работает без глюков?????? Ну... ну...

Andrei

Andrei

Posted
Posted
Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

Работа PPPOE при выключенном PPPOE и ipv4/ipv6 ?! Ничего не путаете? :)
ThreeDHead

ThreeDHead

Posted
Posted
[skip]

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

[skip]

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.