[BETEPAH]

а вообще-то я пока привязку к порту не вводил, мне это очень неудобно, потому как свитчи имеют обыкновение ломаться, а монтажники не умеют юзеров обратно в свои порты втыкать.

только раз в 5 минут отслеживаю соответствие mac+ip по базе, надо юзеру ещё что-то в порт воткнуть, пожалуйста, только плати за другой ip.

 

[ktoto]

Работа PPPOE при выключенном PPPOE и ipv4/ipv6 ?! Ничего не путаете? :)

Неверно цитируете или неверно поняли мою мысль, "в настройках сетевой карты отключить ipv4, ipv6", PPPoE на надо выключать :)

PPPoE работает ниже IP и для поиска сервера клиент посылает широковещательный Ethernet кадр,

нет там ни необходимости ни возможности указывать ip сервера.

Изменено 19 апреля, 2009 пользователем ktoto

[ktoto]

Для функционирования PPPoE не надо никаких ip настроек на абонентской стороне.

Призовая игра: ты настраиваешь PPPoE клиента на моём телефоне. Жду детальной инструкции для ОС Symbian. Потом покажешь, как это сделать на SPS (игровая приставка SONY).

Я бы предложил использовать CPE в данном случае, и провайдеру и абоненту

минимум телодвижений. Вы и сами за такое решение высказались.

[Konstantin Klimchev]

[skip]

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

[skip]

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям.

Изобретатель DLINK, например

http://dlink.ru/ru/products/1/407_b.html

http://dlink.ru/ru/faq/62/218.html

[GateKeeper]

А теперь внимательно перечитайте еще раз. Если следовать вашей логике, я должен звонить в саппорт водоканала, каждый раз, когда мои гости садятся на унитаз и просить - авторизуйте эту жопу, пожалуйста. А гость при этом должен сидеть с зацементированным унитазом и ждать?? А после того, как гость встанет и приспичит мне, я должен буду позвонить в саппорт и реаторизовать собственную задницу, так чтоли?

 

Прямо по фрейду пример привели - говноканал и говнопровайдер...

Вот не помню, говорил я уже, или нет, но пример - абсолютно передёрнутая некорректная постановка вопроса. В терминологии обсуждавшегося в том треде речь шла о гостях, приходящих к Вам домой со своими унитазами. И таки да, в водоканал, ЖЭК или еще куда позвонить придётся. Ведь водоканал не попку Вашу подключил, а унитаз? А гость своей жопой на Вашем унитазе - это как раз рутер за 25 баксов.

Изменено 20 апреля, 2009 пользователем GateKeeper

[vIv]

Повторяю: у нас не продают роутеров за 25 баксов, которые прогоняют 100 мегабит/сек. Или показывайте его, или ставьте за свой счёт. Меня как бонента интересует розетка "интернет". Что стоит ЗА ней - не интересует.

[roling]

Повторяю: у нас не продают роутеров за 25 баксов, которые прогоняют 100 мегабит/сек. Или показывайте его, или ставьте за свой счёт. Меня как бонента интересует розетка "интернет". Что стоит ЗА ней - не интересует.

Вообще то в провайдинге понятия розетка нет, есть понятие ПОРТ. И есть еще договор с провайдером, где указано, что именно вы можете к порту подключать, а что нет. Кстати в случае с роутером или иным маршрутизирующим устройством провайдер вправе ОБЯЗАТЬ вас использовать определенный тип устройств или не использовать их вообще. Что же касается шума о привязке порта по IP или МАКу или еще каким то экзотичным образом, то тут все дело не в технологии, а в организации работы удобной и провайдеру и пользователю. Вот например у моих клиентов (городской провайдер) авторизация идет двояко или учетная запись(установка на комп специальной проги) + IP или же мак+IP. Снятие мака происходит средствами сервера при настройке по телефону в течении минуты. Проблем ни у кого нет, одни удобства :) Если вам надо к вашему порту(розетке) присобачить несколько устройств, то и на них вам выдадут IP+мак, только понятно в таком случае бюджетов у вас несколько будет , по одному на каждый IP . При желании и бюджеты объеденить можно.

[GateKeeper]

Повторяю: у нас не продают роутеров за 25 баксов, которые прогоняют 100 мегабит/сек. Или показывайте его, или ставьте за свой счёт. Меня как бонента интересует розетка "интернет". Что стоит ЗА ней - не интересует.

Да не, смысл был в том, что спорить, доказывая даже "правильную" точку зрения, приводя при этом некорректные аналогии, не совсем действенно. Я ж не спорю с "интересует/не интересует" :)

[ThreeDHead]

Ну конечно, на абонентском L2 - привязка по IP. Изобретатель прям

а в 3526 и 3028 acl уже отменили?

Нет не отменили, речь шла о L2 а не о L2+. Если в сети, абонентов терминируют устройства умеющие ip-mac-binding - такая сеть _полностью_ управляемая, а на кой vladd нагородил огород с а глобальной arp-таблицей?

А про розетку "Интернет", тоже можно, только абонентов терминировать надо именно маршрутизатором.

[vIv]

А про розетку "Интернет", тоже можно, только абонентов терминировать надо именно маршрутизатором.

Нее... L3 свич прекраснейше справляется с этой задачей!

[Nic]

ммм. Вот апологеты теории "любой мак в сеть", вопрос к вам: а никого не смущает возможность легко и непринужденно завалить сеть мак-спуфингом при отсутствии привязки оного на порту?

[Konstantin Klimchev]

ммм. Вот апологеты теории "любой мак в сеть", вопрос к вам: а никого не смущает возможность легко и непринужденно завалить сеть мак-спуфингом при отсутствии привязки оного на порту?

port security для этого придумали с исключением изученных маков по timeout'у. для физиков 2 мака на порт хватает в 99,9% случаев

[GateKeeper]

если не изменяет память, у вИва жена, ребенок, сам, рабочий ноут - это уже 4 мака, плюс периодически приходят скачать интернетов друзья.

 

ЗЫ. не тот это тред, где гадать надо, как делать "хорошо" одной кнопкой у пользователя. вИв дал вполне внятную ссылку на тред, где это уже обсудили, разложили по полочкам, ненужное отправили в мусор, а для особо упёртых, рассказали как это делается у правильных пацанов.

Изменено 21 апреля, 2009 пользователем GateKeeper

[vIv]

ммм. Вот апологеты теории "любой мак в сеть", вопрос к вам: а никого не смущает возможность легко и непринужденно завалить сеть мак-спуфингом при отсутствии привязки оного на порту?

Совершенно нет, ибо уже на порту доступа есть 1) защита от флуда и 2) лимит на смену МАС-адресов (скажем, примерно 30)

Про лимит скажу отдельно: там есть aging time, поэтому сработает этот лимит именно при МАС-флуде.

[Nic]

А что делать в ситуации "клиент поставил мак роутера/соседа"? Ну положим мак роутера легко защищается через АЦЛ, хотя и не очень кошерно при смене роутера передергивать ацл у всего сегмента свичек. А что же делать с соседями?

[Kaban]

Если это делается не с целью нагадить соседу, то клиент поставший себе мак соседа сам себе злобный буратина, ибо МАК будет скакать между портами и потери будут и у него и у соседа.

Тут спасет либо VLAN на юзера, либо привязка МАК-а к порту, либо IP-MAC-Port (статическая или через dhcp snooping).

Изменено 21 апреля, 2009 пользователем Kaban

[vIv]

При VLAn-per-custmer каждый отдельно взятый абонент живёт в своём личном ethernet сегменте и МАКСИМУМ, что он может сделать - это поставить себе адрес шлюза, тем самым поломав самому себе связность. А вообще абоненты хоть все сразу могут иметь один и тот же МАС адрес.

[Buddy]

Забавно, а как же тогда "ваш" "пример" про поход со своим "унитазом"/нотебуком в гости, при схеме VLAN-per-Customer ? (и унифицированными уни.../МАС-ами)

 

я не против фантазий - сделать как SIM-картой у сотовых, возможно так и будет, выдал оператор маленькую штучку, размером с SFP, куда втыкай что хошь, и всё, вот твоя "SIM" карта, хочешь с ней в гости ходи ( по дому), заплатишь больше, можешь даже в другой город поехать, если роуминг с "тем" оператором есть. Ну а дети наши видимо уже с "аля" RFID-ом встроенным под кожу ходить будут, подошел в кафе к терминалу, а там уже одноклассники (или что там подефолту) открываются, и даже имя вбито, только пароль надо ввести.

Возможно так и будет.

 

 

[GateKeeper]

подошел в кафе к терминалу, а там уже одноклассники (или что там подефолту) открываются, и даже имя вбито, только пароль надо ввести.

Возможно так и будет.

Да щас! волосатые мужики этому не дадут развиться. Да и одноглазники без неизвестно куда пропавших тысяч светлогрудых пышновласых девиц подохнут.

[vIv]

Забавно, а как же тогда "ваш" "пример" про поход со своим "унитазом"/нотебуком в гости, при схеме VLAN-per-Customer ? (и унифицированными уни.../МАС-ами)

в поиск, в поиск...

 

Ответ: желающие (я сказал ЖЕЛАЮЩИЕ, а не ВСЕ!) получают 802.1X login/password

[vadimidav]

Все это круто, ели можно былобы посмотреть пример скрипта или какую нибудь инфу по реализации этой схемы. Буду благодарен

 

Люди изобретают мегасложные велосипеды, звонки в офис для смены MAC, хотя на самом деле решили все просто:

 

- На абонентских L2 осуществляется привязка не к MAC, а только по IP, посредством ACL. Например, если у клиента в базе 3 IP - только с них на этом порту трафик наружу и разрешен.

- DHCP-сервер выдает адреса в соответствии со статической таблицей - привязка mac-ip.

- При смене мака юзеру выдается временный IP, с которого стоит автоматический проброс на страницу регистрации. Введя на ней свой логин и пароль, в базу dhcp-сервера автоматически вносится новый mac клиента. Если у него несколько IP-адресов, на этой же странице пользователю предоставляется возможность выбрать нужный. Через 10-20 секунд происходит обновление аренды, и клиент получает свой реальный адрес. И начинает работать. На этой же странице скрипт проверяет, через нужный ли порт производится регистрация. Т.е. даже украденный логин и пароль не помогут хакеру.

- На центральном L3-маршрутизаторе отключено ARP-обучение. И забита мегаглобальная таблица mac-ip, которая опять же обновляется этим скриптом.

 

Подключай к сети сколько хочешь устройств через обычный неуправляемый свитч или точку доступа. Главное чтобы тебе было выделено нужное количество IP. Самое главное - куда здесь можно прикрутить option 82? Если у клиента несколько IP - что тогда?

Все это круто, ели можно былобы посмотреть пример скрипта или какую нибудь инфу по реализации этой схемы. Буду благодарен

 

Все это круто, ели можно былобы посмотреть пример скрипта или какую нибудь инфу по реализации этой схемы. Буду благодарен