kostas Опубликовано 1 сентября, 2009 · Жалоба Всем доброго времени суток. Подскажите плиз, как грамотно ограничить доступ абонентов к сети? Вилан на группу абонентов. Вилан на порт. [Доступ] --> [Cat 3560] --> [Cisco 3825] --> [iNET] [Доступ] - зоопарк комутаторов, но управляемых [Cat 3560] - ядро, все виланы абонентов терминируем здесь, серые сетки [Cisco 3825] - инет шлюз, внешняя сетка, nat, dhcp DHCP на Cisco 3825. Раньше ядро было на 3825, каталиста небыло - использовалась фича DHCP Autorized ARP. Не очень удобно, но работало. Что посоветуете сейчас при такой схеме? Задача по сути - ограничить свободный доступ абонента к подключение в другие сети. Разрешено в vlan2 к примеру - там и сиди, а перемещаться в другие только с ведома. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 1 сентября, 2009 · Жалоба допустим вот так: http://www.opennet.ru/base/cisco/catalyst_...number.txt.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 1 сентября, 2009 · Жалоба допустим вот так:http://www.opennet.ru/base/cisco/catalyst_...number.txt.html Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность. Да, забыл еще момент - необходима связка mac-ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 1 сентября, 2009 · Жалоба arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 1 сентября, 2009 · Жалоба arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 1 сентября, 2009 · Жалоба допустим вот так:http://www.opennet.ru/base/cisco/catalyst_...number.txt.html Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность. Да, забыл еще момент - необходима связка mac-ip в таком случае это всё делается на коммутаторах доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew Rogov Опубликовано 4 сентября, 2009 · Жалоба arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист? dhcp snooping + ip-mac binding не спасет разве? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 4 сентября, 2009 · Жалоба arp inspect + ip source guard на свитчах, на dhcp статикой забиты маки/ипы всех.Мм, dhcp в сторонке, не на каталисте. На каталисте на вилане ставим хелпел для dhcp.Человек прописывает себе адрес ручками, статик на машике из той же сетки. Что его не пустит на каталист? dhcp snooping + ip-mac binding не спасет разве? Тоже слегка удивлен, т.к. вроде должна помочь связка dhcp snooping + arp inspect. По крайней мере на скорую руку проверил - работает как надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...