Jump to content
Калькуляторы

Вопрос к провайдерам у кого сеть на dhcp

Не знаем как нам реализовать вот такую схему:

Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2), для необходимости предотвратить подделку MAC и IP адресов в целях исключения кражи траффика. У нас доступ в интернет для пользователей ведется по IP.

Зарание благодарен за ответ !!!

 

 

 

Share this post


Link to post
Share on other sites

Если в свитчах есть DHCP option82, то можно выдавать ип по RemoteID и CircuitID

 

А что бы был полный гуд - хорошо бы привязать DHCP Snooping

 

Для всех этих вещей рекомендую Dlink DES3526 или DES3028

Share this post


Link to post
Share on other sites

вилан на клиента\группу? ACL там хоть какие-то есть ? если нет - то хоть статиком маки попривязывать к порту - уже намного лучшей.

Share this post


Link to post
Share on other sites

Так если MAC привязать к порту, то пользователь cможет поменять себе ip. Или я не прав?

(ACL) там куча всяких есть и dhcp Snooping тоже.

Share this post


Link to post
Share on other sites

если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.

Share this post


Link to post
Share on other sites

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

Share this post


Link to post
Share on other sites

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

Как разобраться в функции ACL и как она вообще работает с DHCP и как на VLAN-ах это все сделать?

Share this post


Link to post
Share on other sites

Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.

Share this post


Link to post
Share on other sites
если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.
Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то? Если терминация ppoe реализована на линух-сервере или циске, то наверное можно поднять на этом линух-сервере/циске dhcp-сервер.

 

Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.
Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.

Share this post


Link to post
Share on other sites
Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то?

 

Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

 

Связка mac+ip с применением dhcp Snooping и IP Source Guard в купе с ARP Inspection очень даже айс.

Стоит забить себе настройки статически и комутатор пресекает активность от такого источника.

Share this post


Link to post
Share on other sites
Не знаем как нам реализовать вот такую схему:

Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2),

http://forum.nag.ru/forum/index.php?showtopic=46616

 

За фиксацию MAC - по морде чайником!

Share this post


Link to post
Share on other sites

У нас так:

1. МАКи на портах всех абонентских L2-коммутаторов фильтруются

2. Пограничные L3-коммутаторы осуществляют DHCP-relay

3. DHCP-сервера выдают каждому МАКу свой статический IP

4. За соответствием привязки IP/MAC следит система, регулярно (1~5 мин) снимающая ARP-таблицы с пограничных L3-коммутаторов и проверяет их на соответствие. Если выявляется факт подмены IP-адреса - тут же на пограничном L3 блокируется MAC этого пользователя, строчка в журнал, дале разбор полетов в техподдержке - "у меня не работает".

 

Share this post


Link to post
Share on other sites

Повторяю: http://forum.nag.ru/forum/index.php?showto...mp;#entry395794

 

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
ППКС!

 

В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

Share this post


Link to post
Share on other sites
Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне.

Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).

Share this post


Link to post
Share on other sites
В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

За ссылку спасибо, я пока на 8-й странице :)

Розетка "Интернет" действительно должна нести Интернет, вот только остается вопрос в стоимости коммутаторов, позволяющих это.

Share this post


Link to post
Share on other sites
Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).
Интересный наверное процесс - подключение RJшного разъема к вашему телефону с Симбианом :)

Вообще на входе должен стоять STB если такие хотелки. А к нему уподключайтесь хоть. По wifi ли, еще как-то ли... одним словом - как душе будет угодно...

Share this post


Link to post
Share on other sites
<br />
То есть Вы считаете, что привязка MAC-адреса к порту коммутатора это нормальный телеком?

а в чем проблема? если например перепривязку можно сделать за 5 минут одним звонком в техподдержку. круглосуточно.

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
Юзеры, жмущие 25 баксов на домашний рутер - идут туда же. Несколько компов и ноут купить они могут, а на рутер у них денег нет. А оператор за этого крохобора должен вваливать дополнительную кучку бабла в сеть, что б он мог "подключить что угодно когда угодно, никуда не звоня". И при этом как правило доход с таких абонентов - баксов 6-8 в месяц. Идите уж... к конкурентам :)

На самом деле, на мой взгляд - исключительно вопрос качества работы саппорта.

ППКС

нет ничего проще покупки роутера с вай-фаем и подключай что угодно, хоть холодильник с интернетом

Share this post


Link to post
Share on other sites

Вот именно об этом в том треде и речь: managed CPE. Оно должно быть включено в подключение. И совсем не 25 баксов, т.к. роутер за 25 баксов не прососёт 100М локалки. ИЛИ более умная сеть. Если не касаться IPTV, то надо только .1Q, что есть в любом более-менее приличном оборудовании.

 

http://forum.nag.ru/forum/index.php?s=&amp...st&p=368919

 

А теперь внимательно перечитайте еще раз. Если следовать вашей логике, я должен звонить в саппорт водоканала, каждый раз, когда мои гости садятся на унитаз и просить - авторизуйте эту жопу, пожалуйста. А гость при этом должен сидеть с зацементированным унитазом и ждать?? А после того, как гость встанет и приспичит мне, я должен буду позвонить в саппорт и реаторизовать собственную задницу, так чтоли?

 

Прямо по фрейду пример привели - говноканал и говнопровайдер...

Share this post


Link to post
Share on other sites

Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

 

Share this post


Link to post
Share on other sites

как всё запущено-то....

 

По Opt82 адрес выдаётся на основании пары Свич+Порт - из рэнджа. Сколько надо, столько и дадут. И пофигу всякие MAC-и.

Share this post


Link to post
Share on other sites
Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

И это даже работает без глюков?????? Ну... ну...

Share this post


Link to post
Share on other sites
Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

Работа PPPOE при выключенном PPPOE и ipv4/ipv6 ?! Ничего не путаете? :)

Share this post


Link to post
Share on other sites
[skip]

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

[skip]

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям.

Share this post


Link to post
Share on other sites
Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям

а в 3526 и 3028 acl уже отменили?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this