Jump to content

Авторизованный доступ к сети

kostas
 Share

Recommended Posts

kostas

kostas

Posted
Posted

Всем доброго времени суток.

Подскажите плиз, как грамотно ограничить доступ абонентов к сети? Вилан на группу абонентов. Вилан на порт.

 

[Доступ] --> [Cat 3560] --> [Cisco 3825] --> [iNET]

 

[Доступ] - зоопарк комутаторов, но управляемых

[Cat 3560] - ядро, все виланы абонентов терминируем здесь, серые сетки

[Cisco 3825] - инет шлюз, внешняя сетка, nat, dhcp

 

DHCP на Cisco 3825. Раньше ядро было на 3825, каталиста небыло - использовалась фича DHCP Autorized ARP. Не очень удобно, но работало.

 

Что посоветуете сейчас при такой схеме?

 

Задача по сути - ограничить свободный доступ абонента к подключение в другие сети. Разрешено в vlan2 к примеру - там и сиди, а перемещаться в другие только с ведома.

kostas

kostas

Posted
  • Author
Posted
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

kostas

kostas

Posted
  • Author
Posted
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

ingress

ingress

Posted
Posted
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

в таком случае это всё делается на коммутаторах доступа.

Andrew Rogov

Andrew Rogov

Posted
Posted
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

kostas

kostas

Posted
  • Author
Posted
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

Тоже слегка удивлен, т.к. вроде должна помочь связка dhcp snooping + arp inspect. По крайней мере на скорую руку проверил - работает как надо.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.