viitaly Опубликовано 30 марта, 2009 · Жалоба Не знаем как нам реализовать вот такую схему: Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2), для необходимости предотвратить подделку MAC и IP адресов в целях исключения кражи траффика. У нас доступ в интернет для пользователей ведется по IP. Зарание благодарен за ответ !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 30 марта, 2009 · Жалоба Если в свитчах есть DHCP option82, то можно выдавать ип по RemoteID и CircuitID А что бы был полный гуд - хорошо бы привязать DHCP Snooping Для всех этих вещей рекомендую Dlink DES3526 или DES3028 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viitaly Опубликовано 30 марта, 2009 (изменено) · Жалоба А если нет option82 в комутаторе, так что тогда делать? Комутаторы используем вот эти http://www.deps.ua/index.php?option=com_sm...d=83&id=496 Изменено 30 марта, 2009 пользователем viitaly Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nallien Опубликовано 30 марта, 2009 · Жалоба вилан на клиента\группу? ACL там хоть какие-то есть ? если нет - то хоть статиком маки попривязывать к порту - уже намного лучшей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viitaly Опубликовано 30 марта, 2009 · Жалоба Так если MAC привязать к порту, то пользователь cможет поменять себе ip. Или я не прав? (ACL) там куча всяких есть и dhcp Snooping тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minkevich Опубликовано 30 марта, 2009 · Жалоба если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nallien Опубликовано 1 апреля, 2009 · Жалоба если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimidav Опубликовано 1 апреля, 2009 · Жалоба если есть ACL и дхцп снупинг - в чем проблема? реализовывайте привязку мак-айпи-порт. ппое - сначала взвесьте плюсы и минусы. Как разобраться в функции ACL и как она вообще работает с DHCP и как на VLAN-ах это все сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 15 апреля, 2009 · Жалоба Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 апреля, 2009 · Жалоба если нет - используйте PPPoE. Сам использую уже почти год - мне очень нравиться.Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то? Если терминация ppoe реализована на линух-сервере или циске, то наверное можно поднять на этом линух-сервере/циске dhcp-сервер. Действительно, если свитч умеет acl, просто контролируйте мак и айпи на порту юзера и ничего он не сможет подделать.Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ktoto Опубликовано 18 апреля, 2009 · Жалоба Для того, чтобы юзер добрался до ppoe-сервера, ему надо выдать какой-то ip - как иначе-то? Связка mac+ip давно не айс по "неподделываемости". Все же авторизация по ppoe или pptp - самое то с т.з. безопасности. Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройках сетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать. Связка mac+ip с применением dhcp Snooping и IP Source Guard в купе с ARP Inspection очень даже айс. Стоит забить себе настройки статически и комутатор пресекает активность от такого источника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 апреля, 2009 · Жалоба Не знаем как нам реализовать вот такую схему:Сервер DHCP - что б выдавал адреса клиенту с привязкой mac+ip на порт комутатора(L2), http://forum.nag.ru/forum/index.php?showtopic=46616 За фиксацию MAC - по морде чайником! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 апреля, 2009 · Жалоба У нас так: 1. МАКи на портах всех абонентских L2-коммутаторов фильтруются 2. Пограничные L3-коммутаторы осуществляют DHCP-relay 3. DHCP-сервера выдают каждому МАКу свой статический IP 4. За соответствием привязки IP/MAC следит система, регулярно (1~5 мин) снимающая ARP-таблицы с пограничных L3-коммутаторов и проверяет их на соответствие. Если выявляется факт подмены IP-адреса - тут же на пограничном L3 блокируется MAC этого пользователя, строчка в журнал, дале разбор полетов в техподдержке - "у меня не работает". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 апреля, 2009 · Жалоба Повторяю: http://forum.nag.ru/forum/index.php?showto...mp;#entry395794 Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.ППКС! В моей формулировке: Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 апреля, 2009 · Жалоба Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 апреля, 2009 · Жалоба В моей формулировке:Розетка с надписью "Интернет" ДОЛЖНА давать именно Интернет. Если она его не даёт при наличии денег на счету, то это неправильная, поломатая розетка. Её нужно чинить! Если кто-то её умышленно сломал - надо давать ему по рукам и предпринимать меры, чтобы он больше не мог её сломать. Чтобы я ни сунул в эту розетку - из неё ДОЛЖЕН идти Интернет. Ибо именно за это платят деньги! А не за возможность в три часа ночи начитывать по телефону непонятные краказяблы! За ссылку спасибо, я пока на 8-й странице :) Розетка "Интернет" действительно должна нести Интернет, вот только остается вопрос в стоимости коммутаторов, позволяющих это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 19 апреля, 2009 · Жалоба Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).Интересный наверное процесс - подключение RJшного разъема к вашему телефону с Симбианом :)Вообще на входе должен стоять STB если такие хотелки. А к нему уподключайтесь хоть. По wifi ли, еще как-то ли... одним словом - как душе будет угодно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 19 апреля, 2009 · Жалоба <br />То есть Вы считаете, что привязка MAC-адреса к порту коммутатора это нормальный телеком?а в чем проблема? если например перепривязку можно сделать за 5 минут одним звонком в техподдержку. круглосуточно. Проблема в том, что это херовая реализация херовой идеи. Я не хочу звонить в ТП, переключив шнурок из ПК в ноут, и делать одинаковые маки на этих двух железках я не хочу. Провайдеры, использующие данную технологию строгими рядами идут нах.Юзеры, жмущие 25 баксов на домашний рутер - идут туда же. Несколько компов и ноут купить они могут, а на рутер у них денег нет. А оператор за этого крохобора должен вваливать дополнительную кучку бабла в сеть, что б он мог "подключить что угодно когда угодно, никуда не звоня". И при этом как правило доход с таких абонентов - баксов 6-8 в месяц. Идите уж... к конкурентам :)На самом деле, на мой взгляд - исключительно вопрос качества работы саппорта. ППКС нет ничего проще покупки роутера с вай-фаем и подключай что угодно, хоть холодильник с интернетом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 апреля, 2009 · Жалоба Вот именно об этом в том треде и речь: managed CPE. Оно должно быть включено в подключение. И совсем не 25 баксов, т.к. роутер за 25 баксов не прососёт 100М локалки. ИЛИ более умная сеть. Если не касаться IPTV, то надо только .1Q, что есть в любом более-менее приличном оборудовании. http://forum.nag.ru/forum/index.php?s=&...st&p=368919 А теперь внимательно перечитайте еще раз. Если следовать вашей логике, я должен звонить в саппорт водоканала, каждый раз, когда мои гости садятся на унитаз и просить - авторизуйте эту жопу, пожалуйста. А гость при этом должен сидеть с зацементированным унитазом и ждать?? А после того, как гость встанет и приспичит мне, я должен буду позвонить в саппорт и реаторизовать собственную задницу, так чтоли? Прямо по фрейду пример привели - говноканал и говнопровайдер... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vladd Опубликовано 19 апреля, 2009 · Жалоба Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто: - На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен. - DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip. - При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру. - На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом. Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 апреля, 2009 · Жалоба как всё запущено-то.... По Opt82 адрес выдаётся на основании пары Свич+Порт - из рэнджа. Сколько надо, столько и дадут. И пофигу всякие MAC-и. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 19 апреля, 2009 · Жалоба Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто: - На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен. - DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip. - При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру. - На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом. Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда? И это даже работает без глюков?????? Ну... ну... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 апреля, 2009 · Жалоба Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне. Можно вообще в настройкахсетевой карты отключить ipv4, ipv6 и PPPoE при этом будет великолепно работать. Работа PPPOE при выключенном PPPOE и ipv4/ipv6 ?! Ничего не путаете? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 апреля, 2009 · Жалоба [skip]- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен. [skip] Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 19 апреля, 2009 · Жалоба Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям а в 3526 и 3028 acl уже отменили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...