Jump to content
Калькуляторы

Поиск MAC/порт и отключение его

Всем привет. Кто нить заморачивался такой фишкой?

У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его.

Share this post


Link to post
Share on other sites

Всем привет. Кто нить заморачивался такой фишкой?

У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его.

по snmp получите таблицу fdb каждого коммутатора, исключите Uplink. Сортируйте по портам которые смотрят на клиентов. Вопрос скромный, зачем? что он натворил?

Share this post


Link to post
Share on other sites

у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить...

Share this post


Link to post
Share on other sites

у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить...

 

Включите на коммутаторах изоляцию трафика между всеми портами, тогда, прописав себе адрес шлюза, он никому проблем не создаст. На длинках это называется Traffic Segmentation.

Share this post


Link to post
Share on other sites

изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна..

 

а вообще какой тип подключения?

Share this post


Link to post
Share on other sites

изоляция не поможет

 

какие коммутаторы то используете?

Share this post


Link to post
Share on other sites

изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна..

это вы где то прочитали или сами придумали? если звезда то и обсуждать не чего, а если гирлянда, то абоненты каждого коммутатора видят только порт аплин, но ни как порт смотрящий по гирлянде дальше. Или у вас какая то другая изоляция?

Share this post


Link to post
Share on other sites

тут получается что на текущем коммутаторе абоны будут изолированы, но они не будут изолированы на аплинке, так как весь траф в один порт, и получается на аплинк просто лишняя нагрузка ляжет

Share this post


Link to post
Share on other sites

так как весь траф в один порт

а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите.

 

получается на аплинк просто лишняя нагрузка ляжет

о какой нагрузке идет речь? речь наверное идет о том, что один из абонентов прописывает себе ip сервера а другие абоненты не могут из-за этого подключится. надо изолировать абонентов и пусть они у себя прописываю что хотят и мешают только себе. а вы о чем?

Share this post


Link to post
Share on other sites

а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите.

 

да бесполезна практически сегментация, на то она и сегментация, а не изоляция

ты бы построил такую схему на двух коммутаторах и все увидел, просто когда порты не сегментированы, траф идет с порта на порт, если же включить сегментация на аплинк, то весь траф пойдет на аплинк, там попадет в единую таблицу, и они один фиг узнают мак левого сервера, при такой схеме, траффик который ходил с порта на порт, теперь будет попадать на те же порты, но через аплинк

как то так, если на пальцах)

Share this post


Link to post
Share on other sites

*facepalm*

Хотя пардон, у мну влан на коммутатор, а схему ради интереса я построю.

Edited by pppoetest

Share this post


Link to post
Share on other sites

попробовал тут вот схемку собрать и действительно помогает сегментация, хотя точно помню когда dhcp opt82 лет 6-7 назад внедряли была такая фигня, с тех пор и не юзал)) мож на старых 3028 и не будет работать, не могу проверить

 

ну либо траф через л3 шел)

Share this post


Link to post
Share on other sites

Чтобы траф шёл через л3, д.б. включен арп-прокс. Знач схему собирать не надо? )))

Share this post


Link to post
Share on other sites

pptp

обычно у нас все так:

свитч L2-свитч L2- L3

Уходите на PPPoE. Если есть возможность , то на IPoE. VPN уже должен умереть, в плане российского доступа в интернет.

Share this post


Link to post
Share on other sites

думаю не надо, возможно и был прокси арп включен, сейчас уж и не упомню, да и 3028 тогда только выпускать начинали, вообще в наши дни схема рабочая)

 

в любом случае у человек ежи, как них настраивать хз, даж не знаю какой у них функционал присутствует)

Share this post


Link to post
Share on other sites

на старых 3028 и не будет работать, не могу проверить

Дык у блинка извечный бета-тест от прошивки к прошивке, за пару лет софт вылизывают, затем EoL, новое железо, и новый круг мытарств. :D

Share this post


Link to post
Share on other sites

для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос

Share this post


Link to post
Share on other sites

Скрипт собирания маков в базу пишется за несколько часов, если оборудование однотипное. А дальше уже можно и вебморду прикрутить, и что хотите.

 

Встречался давным давно с похожим случаем, вирусы абоненты ловили. Сначала ARP-флуд, потом подмена IP на IP-шлюза. Но мак не менялся. У вас или что-то новенькое, или вредные абоненты. Но с переходом на vlan-per-user мы забыли все эти проблемы, как страшный сон.

Share this post


Link to post
Share on other sites

для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос

а смысл, режем все acl на порту кроме 8863 и 8864 . Кроме PPPoE нечего не пройдет. Никого arp и тп. Авторизация по логину+пароль. или же всетаки задействовать логин+pppoe_insertion(вместо пароля)

Share this post


Link to post
Share on other sites
режем все acl на порту кроме 8863 и 8864

А если абонент поставит себе пппое сервер, к нему другие будут подключатся?)

В смысле, если межабонентский не порезан то есть простор для фантазии.

Share this post


Link to post
Share on other sites

влан на коммутатор + изоляция портов и пофигу чего там внутри, pptp или pppoe, клиент только себе нагадить сможет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this