Jump to content
Калькуляторы

ADSL как правильно интегрировать в сеть ...купили ДСЛАМ думаем что с ним делать

Купили себе ДСЛАМ Zyxel IES-1000 (16 ADSL), у заказчика есть телефонные линии, будем подмешивать в них интернет :)

Однако у нас сеть на эзернете (ip + mac привязка на портах)... А тут вот непонятно как секьюрити обеспечивать. Подскажите, поделитесь опытом.

Share this post


Link to post
Share on other sites

ИМХО DSLAM не сильно отличается от коммутатора. Смотрите наличие привязки mac на портах DSLAM.

Share this post


Link to post
Share on other sites

+1

ДСЛАМ это тот же l2 коммутатор по сути.

ЗЫ про функционал конкретного зухеля не подскажу

Share this post


Link to post
Share on other sites
А тут вот непонятно как секьюрити обеспечивать
Секьюрити чего? Чтобы, типа, на линию не подцепились? Или что?

Линия же прямо до клиента идет, что именно вы хотите обеспечить?

Share this post


Link to post
Share on other sites

IES1000 позволяет привязку фильтрацию маков, 802.1х, вланы...

По сути он и называется DSL-коммутатор.

Другое дело, что плотность портов в нем низкая по сравнению с тем же 1248 и 2 эзернет порта надо на 2 линейных карты... Но это совсем другая история.

Кстати, зачем привязывать мак к порту в ADSL - для меня осталось загадкой. На кроссе конкретная пара идет к конкретному абоненту и все.

Edited by yakuzzza

Share this post


Link to post
Share on other sites

С точки зрения абонент - ДСЛАМ вопросов вобщем-то и нет. Там АТМ, в нем все красиво - ip только на порту модема и на порту ДСЛАМА.

 

Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа? Т.е. каким образом их разделить в ip после ДСЛАМА?

 

Самый железный подход, как я понимаю, это влан пер юзер... Но возни многовато...

Edited by telephonist

Share this post


Link to post
Share on other sites
Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа?
А зачем? Скорость жмется на ДСЛАМе. Тарифы скорее всего безлимитные. Не вижу смысла.

У нас у самих стоит давно ДСЛАМ, цепляем на него корпоратов с дсл-модемами в качестве роутеров. Если используем для подключения частных лиц, то подключаем группу физиков на 1 модем в режиме бриджа и авторизуем их в ядре сети по пптп на отдельном НАСе.

Share this post


Link to post
Share on other sites

именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

Share this post


Link to post
Share on other sites

Модем ставите мостом, и будете видеть мак сетевушки юзера.

Дслрам настраивате на пропуск, получится как свич с аплинком до вас и линками по телефонной паре до абонентов.

Без всяких пппое и прочей дребедени.

Share this post


Link to post
Share on other sites
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Edited by s.lobanov

Share this post


Link to post
Share on other sites
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Ага, теперь понятнее. Включать будем в Alcatel LS 6224 там мак+ip без проблем можно сделать. Я так понимаю, что можно модемы в бридж и не ставить - я буду видеть мак модема и этого тоже достаточно, чтобы привязать его к конкретному порту на ДСЛАМе.

 

А зачем proxy-arp ?

Share this post


Link to post
Share on other sites

Поскольку надо включать изоляцию портов на дсламе, то трафик между абонентами A и B ходить не будет, чтобы он начал ходить между ними(через шлюз), надо включить proxy-arp. Хотя может оказаться что вам это и не требуется(если адресация серая, а локалки как услуги нет).

 

А уж ставить модем в бридж или поднимать на нём NAT - это как удобнее вам или абоненту(например, многие модемы плохо натят при большой таблице трансляций)

Edited by s.lobanov

Share this post


Link to post
Share on other sites

Спасибо за совет. Насчет трафика между абонентами - у нас каждый дом в отдельном влане и отдельной подсетке, между домами они могут ходить через L3 свич (там где живут их дефолт гейты). Посему вопрос, на каком элементе (L3,L2, везде) нужно включать proxy-arp ?

Share this post


Link to post
Share on other sites

В каждом интерфейс-влане вашего L3-свитча(на котором терминируете сетки для каждого дома). Если этого не сделаете, то не будет ходить межабонентский трафик в пределах одного dslam'а.

Share this post


Link to post
Share on other sites

Обновите прошивку на железке, умеют они ацл насколько помню, по крайней мере более старшие версии точно умеют

Share this post


Link to post
Share on other sites

Вот что пишет документ к последней (October 5, 2009) ZyXEL AAM1008-61 V2.05(DN.3)C0

 

 

Features:

1. 10/100 Mbps auto-sensing Ethernet port.

2. Support IEEE 802.1D transparent bridge.

3. ADSL ports support RFC 1483 Bridge Mode.

4. Support port-based VLAN.

5. Firmware upgrade and configuration backup/restore.

6. Telnet manageable.

7. SNMP manageable.

8. Web GUI management interface.

9. IGMP snooping.

10. IEEE 802.1Q tagging for subscriber identification.

11. Per port MAC filtering to filter out un-allowed packets.

12. UNIX syslog mechanism to log ADSL link on/down events to remote server.

13. System error log mechanism to log system events locally.

14. Secured access hosts protection.

15. MAC count filtering.

16. Multiple PVC & ATM QoS.

17. DHCP Relay with option 82.

18. IEEE 802.1X - Port-Based Network Access Control

 

 

 

Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Каждый порт попадет в отдельный влан?

 

Edited by telephonist

Share this post


Link to post
Share on other sites

Я неделю назад получил новую прошивку под это железо.

Прошивки они присылают после регистрации в ТП на сайте....

 

На 1248 есть ацл, как и на 3000 и 5000. Добавили dhcp-snooping, если мне память не изменяет. Правда функционал пока не применяли на хомячках... А последняя фишка какраз и позволяет динамически вешать привязку ip-mac на порт.

Share this post


Link to post
Share on other sites
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

Share this post


Link to post
Share on other sites
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

Это в настройках канала - Interleaved Mode использует коды Рида-Соломона, применяется в случае плохих линий.

 

А я спрашиваю про настройку режима работы всего ДСЛАМа походу там что-то другое...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this