Перейти к содержимому
Калькуляторы

ADSL как правильно интегрировать в сеть ...купили ДСЛАМ думаем что с ним делать

Купили себе ДСЛАМ Zyxel IES-1000 (16 ADSL), у заказчика есть телефонные линии, будем подмешивать в них интернет :)

Однако у нас сеть на эзернете (ip + mac привязка на портах)... А тут вот непонятно как секьюрити обеспечивать. Подскажите, поделитесь опытом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО DSLAM не сильно отличается от коммутатора. Смотрите наличие привязки mac на портах DSLAM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1

ДСЛАМ это тот же l2 коммутатор по сути.

ЗЫ про функционал конкретного зухеля не подскажу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А тут вот непонятно как секьюрити обеспечивать
Секьюрити чего? Чтобы, типа, на линию не подцепились? Или что?

Линия же прямо до клиента идет, что именно вы хотите обеспечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IES1000 позволяет привязку фильтрацию маков, 802.1х, вланы...

По сути он и называется DSL-коммутатор.

Другое дело, что плотность портов в нем низкая по сравнению с тем же 1248 и 2 эзернет порта надо на 2 линейных карты... Но это совсем другая история.

Кстати, зачем привязывать мак к порту в ADSL - для меня осталось загадкой. На кроссе конкретная пара идет к конкретному абоненту и все.

Изменено пользователем yakuzzza

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С точки зрения абонент - ДСЛАМ вопросов вобщем-то и нет. Там АТМ, в нем все красиво - ip только на порту модема и на порту ДСЛАМА.

 

Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа? Т.е. каким образом их разделить в ip после ДСЛАМА?

 

Самый железный подход, как я понимаю, это влан пер юзер... Но возни многовато...

Изменено пользователем telephonist

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вопрос как сделать так, чтобы абонент не мог поставить себе ip адрес соседа?
А зачем? Скорость жмется на ДСЛАМе. Тарифы скорее всего безлимитные. Не вижу смысла.

У нас у самих стоит давно ДСЛАМ, цепляем на него корпоратов с дсл-модемами в качестве роутеров. Если используем для подключения частных лиц, то подключаем группу физиков на 1 модем в режиме бриджа и авторизуем их в ядре сети по пптп на отдельном НАСе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Модем ставите мостом, и будете видеть мак сетевушки юзера.

Дслрам настраивате на пропуск, получится как свич с аплинком до вас и линками по телефонной паре до абонентов.

Без всяких пппое и прочей дребедени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Изменено пользователем s.lobanov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
именно, что авторизации у нас нет - исключительно фильтр мак+ip на входе...

 

посему хотелось бы сделать привязку, а ДСЛАМ не умеет (точнее может привязать только мак)

 

На дсламе сделайте привязку по макам, включите его в коммутатор, который умеет фильтровать по связке мак+ip, порты на дсламе надо будет заизолировать друг от друга. На интерфейсе, где абоненты с дслама будут терминироваться включите proxy-arp.

Ага, теперь понятнее. Включать будем в Alcatel LS 6224 там мак+ip без проблем можно сделать. Я так понимаю, что можно модемы в бридж и не ставить - я буду видеть мак модема и этого тоже достаточно, чтобы привязать его к конкретному порту на ДСЛАМе.

 

А зачем proxy-arp ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поскольку надо включать изоляцию портов на дсламе, то трафик между абонентами A и B ходить не будет, чтобы он начал ходить между ними(через шлюз), надо включить proxy-arp. Хотя может оказаться что вам это и не требуется(если адресация серая, а локалки как услуги нет).

 

А уж ставить модем в бридж или поднимать на нём NAT - это как удобнее вам или абоненту(например, многие модемы плохо натят при большой таблице трансляций)

Изменено пользователем s.lobanov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за совет. Насчет трафика между абонентами - у нас каждый дом в отдельном влане и отдельной подсетке, между домами они могут ходить через L3 свич (там где живут их дефолт гейты). Посему вопрос, на каком элементе (L3,L2, везде) нужно включать proxy-arp ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В каждом интерфейс-влане вашего L3-свитча(на котором терминируете сетки для каждого дома). Если этого не сделаете, то не будет ходить межабонентский трафик в пределах одного dslam'а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновите прошивку на железке, умеют они ацл насколько помню, по крайней мере более старшие версии точно умеют

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот что пишет документ к последней (October 5, 2009) ZyXEL AAM1008-61 V2.05(DN.3)C0

 

 

Features:

1. 10/100 Mbps auto-sensing Ethernet port.

2. Support IEEE 802.1D transparent bridge.

3. ADSL ports support RFC 1483 Bridge Mode.

4. Support port-based VLAN.

5. Firmware upgrade and configuration backup/restore.

6. Telnet manageable.

7. SNMP manageable.

8. Web GUI management interface.

9. IGMP snooping.

10. IEEE 802.1Q tagging for subscriber identification.

11. Per port MAC filtering to filter out un-allowed packets.

12. UNIX syslog mechanism to log ADSL link on/down events to remote server.

13. System error log mechanism to log system events locally.

14. Secured access hosts protection.

15. MAC count filtering.

16. Multiple PVC & ATM QoS.

17. DHCP Relay with option 82.

18. IEEE 802.1X - Port-Based Network Access Control

 

 

 

Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит? Каждый порт попадет в отдельный влан?

 

Изменено пользователем telephonist

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я неделю назад получил новую прошивку под это железо.

Прошивки они присылают после регистрации в ТП на сайте....

 

На 1248 есть ацл, как и на 3000 и 5000. Добавили dhcp-snooping, если мне память не изменяет. Правда функционал пока не применяли на хомячках... А последняя фишка какраз и позволяет динамически вешать привязку ip-mac на порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Еще в настройках бриджа есть возможность переключиться в Fast Mode что это значит?

Fast Mode - это (обычно) противоположность Interleaved Mode.

Нет?

Это в настройках канала - Interleaved Mode использует коды Рида-Соломона, применяется в случае плохих линий.

 

А я спрашиваю про настройку режима работы всего ДСЛАМа походу там что-то другое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас