telephonist Опубликовано 14 декабря, 2010 · Жалоба Купили себе ДСЛАМ Zyxel IES-1000 (16 ADSL), у заказчика есть телефонные линии, будем подмешивать в них интернет :) Однако у нас сеть на эзернете (ip + mac привязка на портах)... А тут вот непонятно как секьюрити обеспечивать. Подскажите, поделитесь опытом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LiuPing Опубликовано 14 декабря, 2010 · Жалоба ИМХО DSLAM не сильно отличается от коммутатора. Смотрите наличие привязки mac на портах DSLAM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 14 декабря, 2010 · Жалоба +1 ДСЛАМ это тот же l2 коммутатор по сути. ЗЫ про функционал конкретного зухеля не подскажу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 14 декабря, 2010 · Жалоба А тут вот непонятно как секьюрити обеспечиватьСекьюрити чего? Чтобы, типа, на линию не подцепились? Или что?Линия же прямо до клиента идет, что именно вы хотите обеспечить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 14 декабря, 2010 (изменено) · Жалоба IES1000 позволяет привязку фильтрацию маков, 802.1х, вланы... По сути он и называется DSL-коммутатор. Другое дело, что плотность портов в нем низкая по сравнению с тем же 1248 и 2 эзернет порта надо на 2 линейных карты... Но это совсем другая история. Кстати, зачем привязывать мак к порту в ADSL - для меня осталось загадкой. На кроссе конкретная пара идет к конкретному абоненту и все. Изменено 14 декабря, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 14 декабря, 2010 (изменено) · Жалоба С точки зрения абонент - ДСЛАМ вопросов вобщем-то и нет. Там АТМ, в нем все красиво - ip только на порту модема и на порту ДСЛАМА. Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа? Т.е. каким образом их разделить в ip после ДСЛАМА? Самый железный подход, как я понимаю, это влан пер юзер... Но возни многовато... Изменено 14 декабря, 2010 пользователем telephonist Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 декабря, 2010 · Жалоба Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа?А зачем? Скорость жмется на ДСЛАМе. Тарифы скорее всего безлимитные. Не вижу смысла.У нас у самих стоит давно ДСЛАМ, цепляем на него корпоратов с дсл-модемами в качестве роутеров. Если используем для подключения частных лиц, то подключаем группу физиков на 1 модем в режиме бриджа и авторизуем их в ядре сети по пптп на отдельном НАСе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 14 декабря, 2010 · Жалоба именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе... посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 декабря, 2010 · Жалоба Модем ставите мостом, и будете видеть мак сетевушки юзера. Дслрам настраивате на пропуск, получится как свич с аплинком до вас и линками по телефонной паре до абонентов. Без всяких пппое и прочей дребедени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 декабря, 2010 (изменено) · Жалоба именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе... посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак) На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp. Изменено 15 декабря, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 15 декабря, 2010 · Жалоба именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе... посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак) На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp. Ага, теперь понятнее. Включать будем в Alcatel LS 6224 там мак+ip без проблем можно сделать. Я так понимаю, что можно модемы в бридж и не ставить - я буду видеть мак модема и этого тоже достаточно, чтобы привязать его к конкретному порту на ДСЛАМе. А зачем proxy-arp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 декабря, 2010 (изменено) · Жалоба Поскольку надо включать изоляцию портов на дсламе, то трафик между абонентами A и B ходить не будет, чтобы он начал ходить между ними(через шлюз), надо включить proxy-arp. Хотя может оказаться что вам это и не требуется(если адресация серая, а локалки как услуги нет). А уж ставить модем в бридж или поднимать на нём NAT - это как удобнее вам или абоненту(например, многие модемы плохо натят при большой таблице трансляций) Изменено 15 декабря, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 17 декабря, 2010 · Жалоба Спасибо за совет. Насчет трафика между абонентами - у нас каждый дом в отдельном влане и отдельной подсетке, между домами они могут ходить через L3 свич (там где живут их дефолт гейты). Посему вопрос, на каком элементе (L3,L2, везде) нужно включать proxy-arp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 декабря, 2010 · Жалоба В каждом интерфейс-влане вашего L3-свитча(на котором терминируете сетки для каждого дома). Если этого не сделаете, то не будет ходить межабонентский трафик в пределах одного dslam'а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 декабря, 2010 · Жалоба Обновите прошивку на железке, умеют они ацл насколько помню, по крайней мере более старшие версии точно умеют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 17 декабря, 2010 (изменено) · Жалоба Вот что пишет документ к последней (October 5, 2009) ZyXEL AAM1008-61 V2.05(DN.3)C0 Features: 1. 10/100 Mbps auto-sensing Ethernet port. 2. Support IEEE 802.1D transparent bridge. 3. ADSL ports support RFC 1483 Bridge Mode. 4. Support port-based VLAN. 5. Firmware upgrade and configuration backup/restore. 6. Telnet manageable. 7. SNMP manageable. 8. Web GUI management interface. 9. IGMP snooping. 10. IEEE 802.1Q tagging for subscriber identification. 11. Per port MAC filtering to filter out un-allowed packets. 12. UNIX syslog mechanism to log ADSL link on/down events to remote server. 13. System error log mechanism to log system events locally. 14. Secured access hosts protection. 15. MAC count filtering. 16. Multiple PVC & ATM QoS. 17. DHCP Relay with option 82. 18. IEEE 802.1X - Port-Based Network Access Control Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Каждый порт попадет в отдельный влан? Изменено 17 декабря, 2010 пользователем telephonist Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 декабря, 2010 · Жалоба Я неделю назад получил новую прошивку под это железо. Прошивки они присылают после регистрации в ТП на сайте.... На 1248 есть ацл, как и на 3000 и 5000. Добавили dhcp-snooping, если мне память не изменяет. Правда функционал пока не применяли на хомячках... А последняя фишка какраз и позволяет динамически вешать привязку ip-mac на порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Николай Александрович Опубликовано 17 декабря, 2010 · Жалоба Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Fast Mode - это (обычно) противоположность Interleaved Mode. Нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 17 декабря, 2010 · Жалоба Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Fast Mode - это (обычно) противоположность Interleaved Mode. Нет? Это в настройках канала - Interleaved Mode использует коды Рида-Соломона, применяется в случае плохих линий. А я спрашиваю про настройку режима работы всего ДСЛАМа походу там что-то другое... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...