Jump to content
Калькуляторы

Авторизованный доступ к сети Catalyst 3560G

Всем доброго времени суток.

Подскажите плиз, как грамотно ограничить доступ абонентов к сети? Вилан на группу абонентов. Вилан на порт.

 

[Доступ] --> [Cat 3560] --> [Cisco 3825] --> [iNET]

 

[Доступ] - зоопарк комутаторов, но управляемых

[Cat 3560] - ядро, все виланы абонентов терминируем здесь, серые сетки

[Cisco 3825] - инет шлюз, внешняя сетка, nat, dhcp

 

DHCP на Cisco 3825. Раньше ядро было на 3825, каталиста небыло - использовалась фича DHCP Autorized ARP. Не очень удобно, но работало.

 

Что посоветуете сейчас при такой схеме?

 

Задача по сути - ограничить свободный доступ абонента к подключение в другие сети. Разрешено в vlan2 к примеру - там и сиди, а перемещаться в другие только с ведома.

Share this post


Link to post
Share on other sites
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

Share this post


Link to post
Share on other sites
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

Share this post


Link to post
Share on other sites
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

в таком случае это всё делается на коммутаторах доступа.

Share this post


Link to post
Share on other sites
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

Share this post


Link to post
Share on other sites
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

Тоже слегка удивлен, т.к. вроде должна помочь связка dhcp snooping + arp inspect. По крайней мере на скорую руку проверил - работает как надо.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this