Cramac Опубликовано 16 декабря, 2013 Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 16 декабря, 2013 Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. по snmp получите таблицу fdb каждого коммутатора, исключите Uplink. Сортируйте по портам которые смотрят на клиентов. Вопрос скромный, зачем? что он натворил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 декабря, 2013 у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Включите на коммутаторах изоляцию трафика между всеми портами, тогда, прописав себе адрес шлюза, он никому проблем не создаст. На длинках это называется Traffic Segmentation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. а вообще какой тип подключения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 pptp обычно у нас все так: свитч L2-свитч L2- L3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 изоляция не поможет какие коммутаторы то используете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 декабря, 2013 изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. это вы где то прочитали или сами придумали? если звезда то и обсуждать не чего, а если гирлянда, то абоненты каждого коммутатора видят только порт аплин, но ни как порт смотрящий по гирлянде дальше. Или у вас какая то другая изоляция? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 тут получается что на текущем коммутаторе абоны будут изолированы, но они не будут изолированы на аплинке, так как весь траф в один порт, и получается на аплинк просто лишняя нагрузка ляжет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 декабря, 2013 так как весь траф в один порт а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. получается на аплинк просто лишняя нагрузка ляжет о какой нагрузке идет речь? речь наверное идет о том, что один из абонентов прописывает себе ip сервера а другие абоненты не могут из-за этого подключится. надо изолировать абонентов и пусть они у себя прописываю что хотят и мешают только себе. а вы о чем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 Свитчи edge core Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. да бесполезна практически сегментация, на то она и сегментация, а не изоляция ты бы построил такую схему на двух коммутаторах и все увидел, просто когда порты не сегментированы, траф идет с порта на порт, если же включить сегментация на аплинк, то весь траф пойдет на аплинк, там попадет в единую таблицу, и они один фиг узнают мак левого сервера, при такой схеме, траффик который ходил с порта на порт, теперь будет попадать на те же порты, но через аплинк как то так, если на пальцах) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 (изменено) *facepalm* Хотя пардон, у мну влан на коммутатор, а схему ради интереса я построю. Изменено 17 декабря, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 попробовал тут вот схемку собрать и действительно помогает сегментация, хотя точно помню когда dhcp opt82 лет 6-7 назад внедряли была такая фигня, с тех пор и не юзал)) мож на старых 3028 и не будет работать, не могу проверить ну либо траф через л3 шел) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 Чтобы траф шёл через л3, д.б. включен арп-прокс. Знач схему собирать не надо? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 17 декабря, 2013 pptp обычно у нас все так: свитч L2-свитч L2- L3 Уходите на PPPoE. Если есть возможность , то на IPoE. VPN уже должен умереть, в плане российского доступа в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 думаю не надо, возможно и был прокси арп включен, сейчас уж и не упомню, да и 3028 тогда только выпускать начинали, вообще в наши дни схема рабочая) в любом случае у человек ежи, как них настраивать хз, даж не знаю какой у них функционал присутствует) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 на старых 3028 и не будет работать, не могу проверить Дык у блинка извечный бета-тест от прошивки к прошивке, за пару лет софт вылизывают, затем EoL, новое железо, и новый круг мытарств. :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 декабря, 2013 проще видимо перейти на ipoe... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 17 декабря, 2013 Скрипт собирания маков в базу пишется за несколько часов, если оборудование однотипное. А дальше уже можно и вебморду прикрутить, и что хотите. Встречался давным давно с похожим случаем, вирусы абоненты ловили. Сначала ARP-флуд, потом подмена IP на IP-шлюза. Но мак не менялся. У вас или что-то новенькое, или вредные абоненты. Но с переходом на vlan-per-user мы забыли все эти проблемы, как страшный сон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 17 декабря, 2013 для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос а смысл, режем все acl на порту кроме 8863 и 8864 . Кроме PPPoE нечего не пройдет. Никого arp и тп. Авторизация по логину+пароль. или же всетаки задействовать логин+pppoe_insertion(вместо пароля) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 декабря, 2013 режем все acl на порту кроме 8863 и 8864 А если абонент поставит себе пппое сервер, к нему другие будут подключатся?) В смысле, если межабонентский не порезан то есть простор для фантазии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 18 декабря, 2013 влан на коммутатор + изоляция портов и пофигу чего там внутри, pptp или pppoe, клиент только себе нагадить сможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...