Roman Ivanov Posted October 8, 2004 Posted October 8, 2004 Идея следующая. В пределах дома - каждому юзеру СВОЙ VLAN. В пределах дома делать возможность "прямой видемости других VLAN" На свитчах "важные MAC" - в static. Затем данные лики складывать в switch с DHCP option 82 и DHCP snooping (2950 как пример). На этом этапе у 2950 вышестоящие линки могут уже иметь "свои VLAN", далее они (первичные) нам уже НЕ НУЖНЫ. DHCP сервер выдает IP на основания Option 82 - т.е. MAC свитча(2950), его порт и VLAN (конечного свитча). Т.е. мы ОДНОЗНАЧНО определяем юзера. На этом же 2950 фильтрацию по IP, QoS. Если на ~ 100-200 Человек ставить 1 2950 то в итоге: 1) Подделка IP почти ничего не дает. 2) Хулиганить можно в пределах "1 порта 2950" 3) Не нужно VPN. 4) QoS на группы юзеров. 5) про MAC юзера можно забыть. по цене - 10$ и менее 2950 (на юзера) (от 100+), Управляемое (можно дешевое VLAN оборудование на концах). По моему РЕАЛЬНАЯ цена за отказ от гимора с VPN. Покажите мне, где я не прав. Вставить ник Quote
Guest Posted October 8, 2004 Posted October 8, 2004 Все это изврат полный..Чтобы пользователь не смог поддерлать МАС надо просто экономически невыгодной сделать эту возможность(крупный штраф), а выход в интернет через логин пароль. Все уже давно придумано(на http://www.bugtrack.ru/ описывался принцип) надо, только найти спеца который напишет вам программу DHCP + управление для включения выключения Аккаунта. Вставить ник Quote
Roman Ivanov Posted October 8, 2004 Author Posted October 8, 2004 Все это изврат полный..Чтобы пользователь не смог поддерлать МАС надо просто экономически невыгодной сделать эту возможность(крупный штраф), а выход в интернет через логин пароль. Все уже давно придумано(на http://www.bugtrack.ru/ описывался принцип) надо, только найти спеца который напишет вам программу DHCP + управление для включения выключения Аккаунта. Гость. Вы не правы. Ибо вирус, который это будет делать - вопрос времени. И никакой штраф не поможет. Спасение утопающих - дело рук... К тому же дело не в этом. У меня есть N клиентов, которые меняют компы РЕГУЛЯРНО. И нет никакого желания их MAC в таблице переписывать. И это их право - менять комп или сетевую. А так я привязываю IP к ПОРТУ юзера. Т.е. на MAC я буду далеко и надолго плевать. Вставить ник Quote
Guest Posted October 8, 2004 Posted October 8, 2004 Ну смена компов дело очень редкое и никто не мешает им иметь внешнюю сетевую и переставлять в новый комп. При борьбе вирусным флудом в сеть это конечно решение, но стоит ли овчинка выделки? Вставить ник Quote
Roman Ivanov Posted October 8, 2004 Author Posted October 8, 2004 Ну смена компов дело очень редкое и никто не мешает им иметь внешнюю сетевую и переставлять в новый комп. При борьбе вирусным флудом в сеть это конечно решение, но стоит ли овчинка выделки? Практика показала - на 30 юзеров ~ 2 смены маков в месяц. это минимум. И как всегда, не вовремя ;) Вставить ник Quote
Guest Posted October 8, 2004 Posted October 8, 2004 Зажрался народ, надо понимать цены на услуги :), чтоб бабок небыло компы новые покупать. Вставить ник Quote
Rover Posted October 8, 2004 Posted October 8, 2004 Гость. Вы не правы.Ибо вирус, который это будет делать - вопрос времени. И никакой штраф не поможет. Спасение утопающих - дело рук... К тому же дело не в этом. У меня есть N клиентов, которые меняют компы РЕГУЛЯРНО. И нет никакого желания их MAC в таблице переписывать. И это их право - менять комп или сетевую. А так я привязываю IP к ПОРТУ юзера. Т.е. на MAC я буду далеко и надолго плевать. Что мешает пользователю отказаться от динамического назначения адреса и назначать себе любой адрес. Возможно я не совсем понял какую именно задачу пытаются решить. Для выхода в локалки? Каким образом аутенифицировать пользователей, которым нужен инет? PPPoE> Вставить ник Quote
Guest Posted October 8, 2004 Posted October 8, 2004 Roman Идея следующая. В пределах дома - каждому юзеру СВОЙ VLAN. по цене - 10$ и менее 2950 (на юзера) (от 100+), Управляемое (можно дешевое VLAN оборудование на концах). Ivanov, Звучит заманчиво Вопроса два. 1) Какой конкретно свитч может такое? 2) А ты пробовал такую штуку у себя поднять? Вставить ник Quote
Roman Ivanov Posted October 8, 2004 Author Posted October 8, 2004 Звучит заманчивоВопроса два. 1) Какой конкретно свитч может такое? Vlan - полно Option 82 (нужен хоть один) 2950 c EI, 3550+ 2) А ты пробовал такую штуку у себя поднять? Нет Но думаю испытать. Вставить ник Quote
Guest Posted October 8, 2004 Posted October 8, 2004 Что мешает пользователю отказаться от динамического назначения адреса и назначать себе любой адрес Как раз я указал ресурс на котором разжеванн алгоритм работы всей программы в задачу которой входит не только выдавать по DHCP адреса, но и запрещать их... Вставить ник Quote
Roman Ivanov Posted October 9, 2004 Author Posted October 9, 2004 Что мешает пользователю отказаться от динамического назначения адреса и назначать себе любой адрес Как раз я указал ресурс на котором разжеванн алгоритм работы всей программы в задачу которой входит не только выдавать по DHCP адреса, но и запрещать их... Т.е. что мешает? Привязать IP+VLAN+port на 2950 - и все. Вставить ник Quote
Guest Posted October 9, 2004 Posted October 9, 2004 Что-то вы выдумываете фигню. Почти у любого управляемого оборудования есть функция security на порту, когда запоминается один или несколько MAC на порту и другие MAC'и не пропускаются или просто порт блокируется. Вставить ник Quote
Дмитрий Щукин Posted October 9, 2004 Posted October 9, 2004 Про использование Option 82 при аутентификации сталкивались в IP DSLAM'ах Nokia D500. Там эта фича реально работает. Смысл в том что в DHCP запрос добавляется номер слота и порта DSLAM'а, что позволяет однозначно идентифицировать абонента и привязывать к нему конкретный IP-адрес. Плюс в том что не нужен геморой с запоминанием MAC-адресов и разборками с подменой логинов при PPP. Короче, мысль применением Option 82 при авторизации кажется мне вполне здравой. Вставить ник Quote
f13 Posted October 9, 2004 Posted October 9, 2004 Roman Ivanov, а где ты столько vlan`ов возьмешь? или транков небудет? Что-то вы выдумываете фигню. Почти у любого управляемого оборудования есть функция security на порту, когда запоминается один или несколько MAC на порту и другие MAC'и не пропускаются или просто порт блокируется. от подмены ip это не спасет Вставить ник Quote
Roman Ivanov Posted October 9, 2004 Author Posted October 9, 2004 Что-то вы выдумываете фигню. Почти у любого управляемого оборудования есть функция security на порту, когда запоминается один или несколько MAC на порту и другие MAC'и не пропускаются или просто порт блокируется. йоклмн. Задача в том, что юзер МОЖЕТ менять MAC. Но dhcp все равно будет давать НУЖНЫЙ IP а другие - блокировать. Вставить ник Quote
Roman Ivanov Posted October 9, 2004 Author Posted October 9, 2004 Roman Ivanov, а где ты столько vlan`ов возьмешь? или транков небудет? Смотри. Есть у нас 24 портовая 2950 c gig uplink. на порт 1 приходят VLAN 1-10 на порт 2 - 11-23 3 - 24-40. И так далее. А на гигабит порту стоит опция - видеть ВСЕ эти VLAN, но выпуская менять их ВСЕХ на VLAN 1000. (для нее это возможно). Option 82 берется ПО ВХОДНОМУ порту. Т.е. На DHCP сервер по VLAN 1000 придет DHCP запрос, в котором есть: 1) MAC свитча (2950) 2) ВХОДНОЙ port 2950 3) ВХОДНОЙ VLAN на 2950. И все. Т.е. никто не мешает на второй 2950 использовать VLAN 1,2,3,4,5... а на выход - VLAN 1001 ;) Вставить ник Quote
Rover Posted October 10, 2004 Posted October 10, 2004 Т.е. в данном случае 2950 будет служить коммутатором транков? (на портах будут висеть не конечные клменты, а какие-то другие свичи с поддержкой do1q). Теперь предлополжим что у нас в сети два свича 2950. И есть клиент, который хочет VPN (общий вилан) с другим клиентом, но который находиться на втором свиче. Будет ли у этих клиентов общий вилан или схема с замной номера вилана на выходе из 2950 помешает? Вставить ник Quote
Roman Ivanov Posted October 10, 2004 Author Posted October 10, 2004 Т.е. в данном случае 2950 будет служить коммутатором транков? (на портах будут висеть не конечные клменты, а какие-то другие свичи с поддержкой do1q). Теперь предлополжим что у нас в сети два свича 2950. И есть клиент, который хочет VPN (общий вилан) с другим клиентом, но который находиться на втором свиче. Будет ли у этих клиентов общий вилан или схема с замной номера вилана на выходе из 2950 помешает? Кто мешает сделать им общую группу? PVID разный, прописать обоим LAN друг-друга. Вставить ник Quote
Rover Posted October 10, 2004 Posted October 10, 2004 Т.е. сделать VPN не на втором уровне, а на 3 (tcp/ip) с привнесением рутинга в схему их сетей. И с соотвествующим поднятием файрволов и всего прочего? В случае с VPN на базе VLAN этого можно было бы избежать - они сидели бы в своем общем широковещательном домене и делали что хотят. Услуга создания VPN у нас очень популярна среди корпоративных клиентов, которые порой арендуют офисы в домах (помещениях), где уже домашние сети. Как вариант выхода - иметь наружу не одного, а двух аплинков (по отдельному проводить трансляцию виланов, на друом оставлять как есть). Либо менять номера виланов только у определенного диапазона. (как кстати у циски называется замена вилана, пойду почитаю). Вставить ник Quote
Roman Ivanov Posted October 10, 2004 Author Posted October 10, 2004 Т.е. сделать VPN не на втором уровне, а на 3 (tcp/ip) с привнесением рутинга в схему их сетей. И с соотвествующим поднятием файрволов и всего прочего? В случае с VPN на базе VLAN этого можно было бы избежать - они сидели бы в своем общем широковещательном домене и делали что хотят. Услуга создания VPN у нас очень популярна среди корпоративных клиентов, которые порой арендуют офисы в домах (помещениях), где уже домашние сети. Как вариант выхода - иметь наружу не одного, а двух аплинков (по отдельному проводить трансляцию виланов, на друом оставлять как есть). Либо менять номера виланов только у определенного диапазона. (как кстати у циски называется замена вилана, пойду почитаю). Смотри. Есть 3 вида подключения юзера. 1) Статика. Забудем сразу, так как со сменой IP гимора - вагон. 2) DHCP - просто для юзера, гимор для тебя ;) 3) PPPoE - просто для тебя, гимор для юзера. Я предлагаю в варианте 2 СУЩЕСТВЕННО уменьшить количество гимора. Вставить ник Quote
Bushi Posted October 10, 2004 Posted October 10, 2004 Идея следующая.В пределах дома - каждому юзеру СВОЙ VLAN. В пределах дома делать возможность "прямой видемости других VLAN" На свитчах "важные MAC" - в static. Затем данные лики складывать в switch с DHCP option 82 и DHCP snooping (2950 как пример). На этом этапе у 2950 вышестоящие линки могут уже иметь "свои VLAN", далее они (первичные) нам уже НЕ НУЖНЫ. DHCP сервер выдает IP на основания Option 82 - т.е. MAC свитча(2950), его порт и VLAN (конечного свитча). Т.е. мы ОДНОЗНАЧНО определяем юзера. На этом же 2950 фильтрацию по IP, QoS. Если на ~ 100-200 Человек ставить 1 2950 то в итоге: 1) Подделка IP почти ничего не дает. 2) Хулиганить можно в пределах "1 порта 2950" 3) Не нужно VPN. 4) QoS на группы юзеров. 5) про MAC юзера можно забыть. по цене - 10$ и менее 2950 (на юзера) (от 100+), Управляемое (можно дешевое VLAN оборудование на концах). По моему РЕАЛЬНАЯ цена за отказ от гимора с VPN. Покажите мне, где я не прав. Все это очень плохо. 1). Не хватит никаких виланов, если сеть большая; 2). Весь трафик будет ходить только через маршрутизатор 3). Нерационально будет использоваться ip-адресное пространство VPN, PPPoE - это не гимор, а благо, упрощается биллинг, работает на дешевом оборудовании, позволяет пользователю "разрывать" интернет-соединение, оставаясь при этом в локальной сети. Для компаний-"выделенщиков" можно заводить отдельные виланы. P.S. Catalyst 2950 позволяет делать фильтрацию по MAC и даже по IP адресу на порту. Вот. Вставить ник Quote
Roman Ivanov Posted October 10, 2004 Author Posted October 10, 2004 Все это очень плохо. 1). Не хватит никаких виланов, если сеть большая; yoklmn. Если не читаете - ЛУЧШЕ молчать ;) Ибо - никто не запрещает делать VLAN группы - как результат - внутри своей подмаски все видет напрямую. И хватит VLAN. Если по 100 на 2950 - и использвать всего 1000 на uplink - 100 000 абонентов. Далее у ВАС будут деньги на "сильные рутеры". 2). Весь трафик будет ходить только через маршрутизатор Кто сказал? В subnet - напрямую. И никто не мешает поставить core switch с OSPF. 3). Нерационально будет использоваться ip-адресное пространство Это да. Потеря 3 IP на каждый subnet, согласен. >VPN, PPPoE - это не гимор, а благо, для прова >упрощается биллинг, мне он, к примеру не нужен;) шейпинга хватает. >работает на дешевом оборудовании, как сказать. Железные решения -нет P.S. Catalyst 2950 позволяет делать фильтрацию по MAC и даже по IP адресу на порту. Вот. Да. Но всего 4 acl :/ Вставить ник Quote
Bushi Posted October 10, 2004 Posted October 10, 2004 yoklmn. Если не читаете - ЛУЧШЕ молчать ;)Ибо - никто не запрещает делать VLAN группы - как результат - внутри своей подмаски все видет напрямую. И хватит VLAN. Если по 100 на 2950 - и использвать всего 1000 на uplink - 100 000 абонентов. Далее у ВАС будут деньги на "сильные рутеры". 2). Весь трафик будет ходить только через маршрутизатор Кто сказал? В subnet - напрямую. И никто не мешает поставить core switch с OSPF. >VPN, PPPoE - это не гимор, а благо, для прова >упрощается биллинг, мне он, к примеру не нужен;) шейпинга хватает. >работает на дешевом оборудовании, как сказать. Железные решения -нет P.S. Catalyst 2950 позволяет делать фильтрацию по MAC и даже по IP адресу на порту. Вот. Да. Но всего 4 acl :/ Да, я невнимательно прочитал предыдущие посты. Что касается VPN - все таки здесь Россия, и все считают трафик (я живу на Урале, здесь $30 за гигабайт от Транстелекома считается благом). Да и пользователю удобнее "разорвать" соединение с Интернет, оставаясь при этом в локальной сети (опять же трояны и вирусы меньше одолевают дырявые винды, когда пользователь отключился). Вставить ник Quote
Бригинец Александр Posted October 11, 2004 Posted October 11, 2004 К тому же дело не в этом. У меня есть N клиентов, которые меняют компы РЕГУЛЯРНО. И нет никакого желания их MAC в таблице переписывать. И это их право - менять комп или сетевую. А так я привязываю IP к ПОРТУ юзера. Т.е. на MAC я буду далеко и надолго плевать. интересный подход... ну и пусть меняют а карточку пусть оставят на всегда себе и пусть считаются с твоим мнением так как оно идет в соответствии с пунктом таким то о том что пользовател обязаны выполнять рекомендации администратора которые идут на благо безопасности и тому подобное... У нас например даже дальсвязь привязывает клиентов по макам... хотя давно уже не проверял.. может уже перестали (нафига справшивается aDSL по макам привязывать).. Практика показала - на 30 юзеров ~ 2 смены маков в месяц. это минимум. И как всегда, не вовремя ;) не дай бог мне таких умных пользователей... хотя ето вопрос времени... Что касается VPN - все таки здесь Россия, и все считают трафик (я живу на Урале, здесь $30 за гигабайт от Транстелекома считается благом). Да и пользователю удобнее "разорвать" соединение с Интернет, оставаясь при этом в локальной сети (опять же трояны и вирусы меньше одолевают дырявые винды, когда пользователь отключился). А у нас по 60$ вот ето благо которое позволяет достойно жить... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.