Перейти к содержимому
Калькуляторы

Авторизованный доступ к сети Catalyst 3560G

Ответить

kostas   

kostas
Опубликовано · Жалоба

Всем доброго времени суток.

Подскажите плиз, как грамотно ограничить доступ абонентов к сети? Вилан на группу абонентов. Вилан на порт.

 

[Доступ] --> [Cat 3560] --> [Cisco 3825] --> [iNET]

 

[Доступ] - зоопарк комутаторов, но управляемых

[Cat 3560] - ядро, все виланы абонентов терминируем здесь, серые сетки

[Cisco 3825] - инет шлюз, внешняя сетка, nat, dhcp

 

DHCP на Cisco 3825. Раньше ядро было на 3825, каталиста небыло - использовалась фича DHCP Autorized ARP. Не очень удобно, но работало.

 

Что посоветуете сейчас при такой схеме?

 

Задача по сути - ограничить свободный доступ абонента к подключение в другие сети. Разрешено в vlan2 к примеру - там и сиди, а перемещаться в другие только с ведома.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ingress   

ingress
Опубликовано · Жалоба

допустим вот так:

http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kostas   

kostas
Опубликовано · Жалоба
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Дегтярев Илья   

Дегтярев Илья
Опубликовано · Жалоба

arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kostas   

kostas
Опубликовано · Жалоба
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ingress   

ingress
Опубликовано · Жалоба
Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность.

 

Да, забыл еще момент - необходима связка mac-ip

в таком случае это всё делается на коммутаторах доступа.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Andrew Rogov   

Andrew Rogov
Опубликовано · Жалоба
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kostas   

kostas
Опубликовано · Жалоба
arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.
Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.

Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист?

dhcp snooping + ip-mac binding не спасет разве?

Тоже слегка удивлен, т.к. вроде должна помочь связка dhcp snooping + arp inspect. По крайней мере на скорую руку проверил - работает как надо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...