Jump to content

ADSL как правильно интегрировать в сеть

telephonist
 Share

Recommended Posts

telephonist

telephonist

Posted
Posted

Купили себе ДСЛАМ Zyxel IES-1000 (16 ADSL), у заказчика есть телефонные линии, будем подмешивать в них интернет :)

Однако у нас сеть на эзернете (ip + mac привязка на портах)... А тут вот непонятно как секьюрити обеспечивать. Подскажите, поделитесь опытом.

-Ars-

-Ars-

Posted
Posted
А тут вот непонятно как секьюрити обеспечивать
Секьюрити чего? Чтобы, типа, на линию не подцепились? Или что?

Линия же прямо до клиента идет, что именно вы хотите обеспечить?

yakuzzza

yakuzzza

Posted
Posted (edited)

IES1000 позволяет привязку фильтрацию маков, 802.1х, вланы...

По сути он и называется DSL-коммутатор.

Другое дело, что плотность портов в нем низкая по сравнению с тем же 1248 и 2 эзернет порта надо на 2 линейных карты... Но это совсем другая история.

Кстати, зачем привязывать мак к порту в ADSL - для меня осталось загадкой. На кроссе конкретная пара идет к конкретному абоненту и все.

Edited by yakuzzza
telephonist

telephonist

Posted
  • Author
Posted (edited)

С точки зрения абонент - ДСЛАМ вопросов вобщем-то и нет. Там АТМ, в нем все красиво - ip только на порту модема и на порту ДСЛАМА.

 

Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа? Т.е. каким образом их разделить в ip после ДСЛАМА?

 

Самый железный подход, как я понимаю, это влан пер юзер... Но возни многовато...

Edited by telephonist
Andrei

Andrei

Posted
Posted
Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа?
А зачем? Скорость жмется на ДСЛАМе. Тарифы скорее всего безлимитные. Не вижу смысла.

У нас у самих стоит давно ДСЛАМ, цепляем на него корпоратов с дсл-модемами в качестве роутеров. Если используем для подключения частных лиц, то подключаем группу физиков на 1 модем в режиме бриджа и авторизуем их в ядре сети по пптп на отдельном НАСе.

telephonist

telephonist

Posted
  • Author
Posted

именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

Ivan_83

Ivan_83

Posted
Posted

Модем ставите мостом, и будете видеть мак сетевушки юзера.

Дслрам настраивате на пропуск, получится как свич с аплинком до вас и линками по телефонной паре до абонентов.

Без всяких пппое и прочей дребедени.

s.lobanov

s.lobanov

Posted
Posted (edited)
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Edited by s.lobanov
telephonist

telephonist

Posted
  • Author
Posted
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Ага, теперь понятнее. Включать будем в Alcatel LS 6224 там мак+ip без проблем можно сделать. Я так понимаю, что можно модемы в бридж и не ставить - я буду видеть мак модема и этого тоже достаточно, чтобы привязать его к конкретному порту на ДСЛАМе.

 

А зачем proxy-arp ?

s.lobanov

s.lobanov

Posted
Posted (edited)

Поскольку надо включать изоляцию портов на дсламе, то трафик между абонентами A и B ходить не будет, чтобы он начал ходить между ними(через шлюз), надо включить proxy-arp. Хотя может оказаться что вам это и не требуется(если адресация серая, а локалки как услуги нет).

 

А уж ставить модем в бридж или поднимать на нём NAT - это как удобнее вам или абоненту(например, многие модемы плохо натят при большой таблице трансляций)

Edited by s.lobanov
telephonist

telephonist

Posted
  • Author
Posted

Спасибо за совет. Насчет трафика между абонентами - у нас каждый дом в отдельном влане и отдельной подсетке, между домами они могут ходить через L3 свич (там где живут их дефолт гейты). Посему вопрос, на каком элементе (L3,L2, везде) нужно включать proxy-arp ?

s.lobanov

s.lobanov

Posted
Posted

В каждом интерфейс-влане вашего L3-свитча(на котором терминируете сетки для каждого дома). Если этого не сделаете, то не будет ходить межабонентский трафик в пределах одного dslam'а.

telephonist

telephonist

Posted
  • Author
Posted (edited)

Вот что пишет документ к последней (October 5, 2009) ZyXEL AAM1008-61 V2.05(DN.3)C0

 

 

Features:

1. 10/100 Mbps auto-sensing Ethernet port.

2. Support IEEE 802.1D transparent bridge.

3. ADSL ports support RFC 1483 Bridge Mode.

4. Support port-based VLAN.

5. Firmware upgrade and configuration backup/restore.

6. Telnet manageable.

7. SNMP manageable.

8. Web GUI management interface.

9. IGMP snooping.

10. IEEE 802.1Q tagging for subscriber identification.

11. Per port MAC filtering to filter out un-allowed packets.

12. UNIX syslog mechanism to log ADSL link on/down events to remote server.

13. System error log mechanism to log system events locally.

14. Secured access hosts protection.

15. MAC count filtering.

16. Multiple PVC & ATM QoS.

17. DHCP Relay with option 82.

18. IEEE 802.1X - Port-Based Network Access Control

 

 

 

Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Каждый порт попадет в отдельный влан?

 

Edited by telephonist
secandr

secandr

Posted
Posted

Я неделю назад получил новую прошивку под это железо.

Прошивки они присылают после регистрации в ТП на сайте....

 

На 1248 есть ацл, как и на 3000 и 5000. Добавили dhcp-snooping, если мне память не изменяет. Правда функционал пока не применяли на хомячках... А последняя фишка какраз и позволяет динамически вешать привязку ip-mac на порт.

Николай Александрович

Николай Александрович

Posted
Posted
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

telephonist

telephonist

Posted
  • Author
Posted
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

Это в настройках канала - Interleaved Mode использует коды Рида-Соломона, применяется в случае плохих линий.

 

А я спрашиваю про настройку режима работы всего ДСЛАМа походу там что-то другое...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.