Cramac Posted December 16, 2013 Posted December 16, 2013 Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. Вставить ник Quote
roysbike Posted December 16, 2013 Posted December 16, 2013 Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. по snmp получите таблицу fdb каждого коммутатора, исключите Uplink. Сортируйте по портам которые смотрят на клиентов. Вопрос скромный, зачем? что он натворил? Вставить ник Quote
Cramac Posted December 16, 2013 Author Posted December 16, 2013 у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Вставить ник Quote
Saab95 Posted December 16, 2013 Posted December 16, 2013 у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Включите на коммутаторах изоляцию трафика между всеми портами, тогда, прописав себе адрес шлюза, он никому проблем не создаст. На длинках это называется Traffic Segmentation. Вставить ник Quote
VasiliyP Posted December 16, 2013 Posted December 16, 2013 изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. а вообще какой тип подключения? Вставить ник Quote
Cramac Posted December 16, 2013 Author Posted December 16, 2013 pptp обычно у нас все так: свитч L2-свитч L2- L3 Вставить ник Quote
VasiliyP Posted December 16, 2013 Posted December 16, 2013 изоляция не поможет какие коммутаторы то используете? Вставить ник Quote
sherwood Posted December 16, 2013 Posted December 16, 2013 изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. это вы где то прочитали или сами придумали? если звезда то и обсуждать не чего, а если гирлянда, то абоненты каждого коммутатора видят только порт аплин, но ни как порт смотрящий по гирлянде дальше. Или у вас какая то другая изоляция? Вставить ник Quote
VasiliyP Posted December 16, 2013 Posted December 16, 2013 тут получается что на текущем коммутаторе абоны будут изолированы, но они не будут изолированы на аплинке, так как весь траф в один порт, и получается на аплинк просто лишняя нагрузка ляжет Вставить ник Quote
sherwood Posted December 16, 2013 Posted December 16, 2013 так как весь траф в один порт а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. получается на аплинк просто лишняя нагрузка ляжет о какой нагрузке идет речь? речь наверное идет о том, что один из абонентов прописывает себе ip сервера а другие абоненты не могут из-за этого подключится. надо изолировать абонентов и пусть они у себя прописываю что хотят и мешают только себе. а вы о чем? Вставить ник Quote
VasiliyP Posted December 17, 2013 Posted December 17, 2013 а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. да бесполезна практически сегментация, на то она и сегментация, а не изоляция ты бы построил такую схему на двух коммутаторах и все увидел, просто когда порты не сегментированы, траф идет с порта на порт, если же включить сегментация на аплинк, то весь траф пойдет на аплинк, там попадет в единую таблицу, и они один фиг узнают мак левого сервера, при такой схеме, траффик который ходил с порта на порт, теперь будет попадать на те же порты, но через аплинк как то так, если на пальцах) Вставить ник Quote
pppoetest Posted December 17, 2013 Posted December 17, 2013 (edited) *facepalm* Хотя пардон, у мну влан на коммутатор, а схему ради интереса я построю. Edited December 17, 2013 by pppoetest Вставить ник Quote
VasiliyP Posted December 17, 2013 Posted December 17, 2013 попробовал тут вот схемку собрать и действительно помогает сегментация, хотя точно помню когда dhcp opt82 лет 6-7 назад внедряли была такая фигня, с тех пор и не юзал)) мож на старых 3028 и не будет работать, не могу проверить ну либо траф через л3 шел) Вставить ник Quote
pppoetest Posted December 17, 2013 Posted December 17, 2013 Чтобы траф шёл через л3, д.б. включен арп-прокс. Знач схему собирать не надо? ))) Вставить ник Quote
roysbike Posted December 17, 2013 Posted December 17, 2013 pptp обычно у нас все так: свитч L2-свитч L2- L3 Уходите на PPPoE. Если есть возможность , то на IPoE. VPN уже должен умереть, в плане российского доступа в интернет. Вставить ник Quote
VasiliyP Posted December 17, 2013 Posted December 17, 2013 думаю не надо, возможно и был прокси арп включен, сейчас уж и не упомню, да и 3028 тогда только выпускать начинали, вообще в наши дни схема рабочая) в любом случае у человек ежи, как них настраивать хз, даж не знаю какой у них функционал присутствует) Вставить ник Quote
pppoetest Posted December 17, 2013 Posted December 17, 2013 на старых 3028 и не будет работать, не могу проверить Дык у блинка извечный бета-тест от прошивки к прошивке, за пару лет софт вылизывают, затем EoL, новое железо, и новый круг мытарств. :D Вставить ник Quote
VasiliyP Posted December 17, 2013 Posted December 17, 2013 для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос Вставить ник Quote
Cramac Posted December 17, 2013 Author Posted December 17, 2013 проще видимо перейти на ipoe... Вставить ник Quote
DVM-Avgoor Posted December 17, 2013 Posted December 17, 2013 Скрипт собирания маков в базу пишется за несколько часов, если оборудование однотипное. А дальше уже можно и вебморду прикрутить, и что хотите. Встречался давным давно с похожим случаем, вирусы абоненты ловили. Сначала ARP-флуд, потом подмена IP на IP-шлюза. Но мак не менялся. У вас или что-то новенькое, или вредные абоненты. Но с переходом на vlan-per-user мы забыли все эти проблемы, как страшный сон. Вставить ник Quote
roysbike Posted December 17, 2013 Posted December 17, 2013 для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос а смысл, режем все acl на порту кроме 8863 и 8864 . Кроме PPPoE нечего не пройдет. Никого arp и тп. Авторизация по логину+пароль. или же всетаки задействовать логин+pppoe_insertion(вместо пароля) Вставить ник Quote
Ivan_83 Posted December 17, 2013 Posted December 17, 2013 режем все acl на порту кроме 8863 и 8864 А если абонент поставит себе пппое сервер, к нему другие будут подключатся?) В смысле, если межабонентский не порезан то есть простор для фантазии. Вставить ник Quote
BiWiS Posted December 18, 2013 Posted December 18, 2013 влан на коммутатор + изоляция портов и пофигу чего там внутри, pptp или pppoe, клиент только себе нагадить сможет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.