[John Doy]

Добрый вечер. Подскажите пожалуйста, можно ли каким-то образом предоставить доступ к интернету через свич только определенным компьютерам? К примеру есть свитч (я так понимаю нужно покупать L2), и в него воткнут патч-корд. На другом конце комп с MAC адресом 12:34:56:78:90:00. Как сделать так, что бы комп с любым другим МАС адресом не мог получить доступ к интернету?

Буду очень благодарен за ответы.

[martini]

ACL, port security, dhcp snooping... все зависит от возможностей коммутатора

[John Doy]

все зависит от возможностей коммутатора

А как проще всего? Или какой коммутатор с хотя бы 8 гигабитными портами умеет такое делать?

[vIv]

На другом конце комп с MAC адресом 12:34:56:78:90:00. Как сделать так, что бы комп с любым другим МАС адресом не мог получить доступ к интернету?

Забыть дурную идею. МАС меняется на 1-2-3

[John Doy]

vIv

Во первых, пользователь этого не знает. Во вторых, пользователь даже не знает где посмотреть МАС адрес. В третих это нужно для того, что бы пользователи не подключали к сети личные ноуты, планшеты, телефоны и не раздавали соединение по Wi-fi. Да, это очень жадная политика. Но что поделать...

[terrible]

WS-C3550-12T умеет, 12 гигабитных дырок на борту и стоит недорого

Этот ещё умеет: WS-C2970G-24T, тоже недорого

[vIv]

Пользователь поставит роутер и всё.

[pppoetest]

vIv

Во первых, пользователь этого не знает. Во вторых, пользователь даже не знает где посмотреть МАС адрес. В третих это нужно для того, что бы пользователи не подключали к сети личные ноуты, планшеты, телефоны и не раздавали соединение по Wi-fi. Да, это очень жадная политика. Но что поделать...

Во-первых, согласно статистике в любой сетке есть 5-10% гиков которые знают и умеют ничуть не меньше админа.

Во-вторых, никто им не помешает воткнуть рутер, и раздавать ваш тырнет хоть всему дому чисто из вредности.

В-третьих, грамотная ценовая политика и настройка качества сервисов сделает все вышеперечисленное бессмысленным.

[John Doy]

terrible,vIv, джентльмены, огромное спасибо за подсказки. Но так как все пользователи в сети в основном девочки, причем творческих профессий, то роутеры они не поставят =)

Изменено 28 ноября, 2011 пользователем John Doy

[kf72]

В-третьих, грамотная ценовая политика ..... сделает все вышеперечисленное бессмысленным.

с этого момента пожалуйста поподробнее и желательно с примерами.

на фоне бесплатных подключений от конкурентов,тупого снижения цен за дешевый тариф на котором отдают несколько мегабит никак не пойму.. что я не так делаю ???

[Megas]

John Doy, очень глупа недооценивать пользователей, поверьте их скорость обучения равняется скорости доступа в интернет, если сейчас они не могут отличить монитор от телевизора, то завтра они уже сами будут собирать ПК.

[m-sat]

Мак-ИП выше крыши. Народ деградирует.

[netime]

terrible,vIv, джентльмены, огромное спасибо за подсказки. Но так как все пользователи в сети в основном девочки, причем творческих профессий, то роутеры они не поставят =)

админы умиляют.. они думают что секретные знания доступные избранным.. девочка спросит у мужа или знакомого. поставит роутер или проксю.

Все эти технические средства обходятся.

Ценовая политика да всё сводит на нет.. проще заплатить за порт чем городить огород из-за 200р...

Изменено 28 ноября, 2011 пользователем netime

[DenKZ]

Судя по характеру вопроса, это нужно для корпоративной сети.

Если это так, то у "девочек", скорее всего нет админовских прав на компе, так что MAC ACL может помочь...

А для шибко умных включаем 802.1x авторизацию на портах..

[Ilya Evseev]

все зависит от возможностей коммутатора

А как проще всего? Или какой коммутатор с хотя бы 8 гигабитными портами умеет такое делать?

Проще всего - Port Security.

Умеет любой WebSmart. Например, DGS-1210 за 6т.р.

 

Чуть сложнее, но правильнее - VLAN per Customer. На доступе годятся DGS-1100 за 4,5т.р.

[John Doy]

Ilya Evseev , спасибо большое!

[Ivan_83]

Чуть сложнее, но правильнее - VLAN per Customer. На доступе годятся DGS-1100 за 4,5т.р.

 

У них манаджмент влана нет :(

 

 

[Ilya Evseev]

У них манаджмент влана нет :(

То есть? Можно зайти только через VLAN Default, или можно зайти через любой VLAN?

Если только через VLAN Default, то и пофиг - клиентов в нём нет.

Если через любой, то теоретически это чуть хуже, но какие негативные последствия может иметь на практике, если это корпоративная сеть для блондинок?

[Ivan_83]

Управлялка со всех вланов доступна, читал в топике на форуме длинка.

 

Мало ли как у железки может вынести мозг от арпспуфинга её же адреса или долбёжки в него случайно или намеренно.

 

 

[Negator]

Во-первых, согласно статистике в любой сетке есть 5-10% гиков которые знают и умеют ничуть не меньше админа.

уволить админа нах.

 

На самом деле наблюдал и наблюдаю много сетей вообще без заморочек с безопасностью. Там смена мак или IP адреса на адрес соседа даст доступ к халявному интернету.

И живут, не заморачиваются. Проблема раздута.

[Ivan_83]

5-10% Это в лучше случае уровень офисного админа-эникея, по крайней мере в моей местности. Может в какой нибудь общаге при соответствующем вузе и есть хотя бы 5% разбирающихся в сетях людей.