Перейти к содержимому
Калькуляторы

Вопрос к провайдерам у кого сеть на dhcp

Не знаем как нам реализовать вот такую схему:

Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2), для необходимости предотвратить подделку MAC и IP адресов в целях исключения кражи траффика. У нас доступ в интернет для пользователей ведется по IP.

Зарание благодарен за ответ !!!

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если в свитчах есть DHCP option82, то можно выдавать ип по RemoteID и CircuitID

 

А что бы был полный гуд - хорошо бы привязать DHCP Snooping

 

Для всех этих вещей рекомендую Dlink DES3526 или DES3028

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если нет option82 в комутаторе, так что тогда делать? Комутаторы используем вот эти http://www.deps.ua/index.php?option=com_sm...d=83&id=496

Изменено пользователем viitaly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вилан на клиента\группу? ACL там хоть какие-то есть ? если нет - то хоть статиком маки попривязывать к порту - уже намного лучшей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так если MAC привязать к порту, то пользователь cможет поменять себе ip. Или я не прав?

(ACL) там куча всяких есть и dhcp Snooping тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы.

Как разобраться в функции ACL и как она вообще работает с DHCP и как на VLAN-ах это все сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.
Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то? Если терминация ppoe реализована на линух-сервере или циске, то наверное можно поднять на этом линух-сервере/циске dhcp-сервер.

 

Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.
Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то?

 

Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности.

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

 

Связка mac+ip с применением dhcp Snooping и IP Source Guard в купе с ARP Inspection очень даже айс.

Стоит забить себе настройки статически и комутатор пресекает активность от такого источника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаем как нам реализовать вот такую схему:

Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2),

http://forum.nag.ru/forum/index.php?showtopic=46616

 

За фиксацию MAC - по морде чайником!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас так:

1. МАКи на портах всех абонентских L2-коммутаторов фильтруются

2. Пограничные L3-коммутаторы осуществляют DHCP-relay

3. DHCP-сервера выдают каждому МАКу свой статический IP

4. За соответствием привязки IP/MAC следит система, регулярно (1~5 мин) снимающая ARP-таблицы с пограничных L3-коммутаторов и проверяет их на соответствие. Если выявляется факт подмены IP-адреса - тут же на пограничном L3 блокируется MAC этого пользователя, строчка в журнал, дале разбор полетов в техподдержке - "у меня не работает".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Повторяю: http://forum.nag.ru/forum/index.php?showto...mp;#entry395794

 

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
ППКС!

 

В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне.

Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В моей формулировке:

Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы!

За ссылку спасибо, я пока на 8-й странице :)

Розетка "Интернет" действительно должна нести Интернет, вот только остается вопрос в стоимости коммутаторов, позволяющих это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).
Интересный наверное процесс - подключение RJшного разъема к вашему телефону с Симбианом :)

Вообще на входе должен стоять STB если такие хотелки. А к нему уподключайтесь хоть. По wifi ли, еще как-то ли... одним словом - как душе будет угодно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

<br />
То есть Вы считаете, что привязка MAC-адреса к порту коммутатора это нормальный телеком?

а в чем проблема? если например перепривязку можно сделать за 5 минут одним звонком в техподдержку. круглосуточно.

Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.
Юзеры, жмущие 25 баксов на домашний рутер - идут туда же. Несколько компов и ноут купить они могут, а на рутер у них денег нет. А оператор за этого крохобора должен вваливать дополнительную кучку бабла в сеть, что б он мог "подключить что угодно когда угодно, никуда не звоня". И при этом как правило доход с таких абонентов - баксов 6-8 в месяц. Идите уж... к конкурентам :)

На самом деле, на мой взгляд - исключительно вопрос качества работы саппорта.

ППКС

нет ничего проще покупки роутера с вай-фаем и подключай что угодно, хоть холодильник с интернетом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот именно об этом в том треде и речь: managed CPE. Оно должно быть включено в подключение. И совсем не 25 баксов, т.к. роутер за 25 баксов не прососёт 100М локалки. ИЛИ более умная сеть. Если не касаться IPTV, то надо только .1Q, что есть в любом более-менее приличном оборудовании.

 

http://forum.nag.ru/forum/index.php?s=&amp...st&p=368919

 

А теперь внимательно перечитайте еще раз. Если следовать вашей логике, я должен звонить в саппорт водоканала, каждый раз, когда мои гости садятся на унитаз и просить - авторизуйте эту жопу, пожалуйста. А гость при этом должен сидеть с зацементированным унитазом и ждать?? А после того, как гость встанет и приспичит мне, я должен буду позвонить в саппорт и реаторизовать собственную задницу, так чтоли?

 

Прямо по фрейду пример привели - говноканал и говнопровайдер...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как всё запущено-то....

 

По Opt82 адрес выдаётся на основании пары Свич+Порт - из рэнджа. Сколько надо, столько и дадут. И пофигу всякие MAC-и.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

И это даже работает без глюков?????? Ну... ну...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках

сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать.

Работа PPPOE при выключенном PPPOE и ipv4/ipv6 ?! Ничего не путаете? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[skip]

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

[skip]

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям

а в 3526 и 3028 acl уже отменили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.