Cramac Опубликовано 16 декабря, 2013 · Жалоба Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 16 декабря, 2013 · Жалоба Всем привет. Кто нить заморачивался такой фишкой? У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его. по snmp получите таблицу fdb каждого коммутатора, исключите Uplink. Сортируйте по портам которые смотрят на клиентов. Вопрос скромный, зачем? что он натворил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 · Жалоба у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 декабря, 2013 · Жалоба у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить... Включите на коммутаторах изоляцию трафика между всеми портами, тогда, прописав себе адрес шлюза, он никому проблем не создаст. На длинках это называется Traffic Segmentation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 · Жалоба изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. а вообще какой тип подключения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 · Жалоба pptp обычно у нас все так: свитч L2-свитч L2- L3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 · Жалоба изоляция не поможет какие коммутаторы то используете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 декабря, 2013 · Жалоба изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна.. это вы где то прочитали или сами придумали? если звезда то и обсуждать не чего, а если гирлянда, то абоненты каждого коммутатора видят только порт аплин, но ни как порт смотрящий по гирлянде дальше. Или у вас какая то другая изоляция? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 16 декабря, 2013 · Жалоба тут получается что на текущем коммутаторе абоны будут изолированы, но они не будут изолированы на аплинке, так как весь траф в один порт, и получается на аплинк просто лишняя нагрузка ляжет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 декабря, 2013 · Жалоба так как весь траф в один порт а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. получается на аплинк просто лишняя нагрузка ляжет о какой нагрузке идет речь? речь наверное идет о том, что один из абонентов прописывает себе ip сервера а другие абоненты не могут из-за этого подключится. надо изолировать абонентов и пусть они у себя прописываю что хотят и мешают только себе. а вы о чем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 декабря, 2013 · Жалоба Свитчи edge core Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 · Жалоба а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите. да бесполезна практически сегментация, на то она и сегментация, а не изоляция ты бы построил такую схему на двух коммутаторах и все увидел, просто когда порты не сегментированы, траф идет с порта на порт, если же включить сегментация на аплинк, то весь траф пойдет на аплинк, там попадет в единую таблицу, и они один фиг узнают мак левого сервера, при такой схеме, траффик который ходил с порта на порт, теперь будет попадать на те же порты, но через аплинк как то так, если на пальцах) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 (изменено) · Жалоба *facepalm* Хотя пардон, у мну влан на коммутатор, а схему ради интереса я построю. Изменено 17 декабря, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 · Жалоба попробовал тут вот схемку собрать и действительно помогает сегментация, хотя точно помню когда dhcp opt82 лет 6-7 назад внедряли была такая фигня, с тех пор и не юзал)) мож на старых 3028 и не будет работать, не могу проверить ну либо траф через л3 шел) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 · Жалоба Чтобы траф шёл через л3, д.б. включен арп-прокс. Знач схему собирать не надо? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 17 декабря, 2013 · Жалоба pptp обычно у нас все так: свитч L2-свитч L2- L3 Уходите на PPPoE. Если есть возможность , то на IPoE. VPN уже должен умереть, в плане российского доступа в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 · Жалоба думаю не надо, возможно и был прокси арп включен, сейчас уж и не упомню, да и 3028 тогда только выпускать начинали, вообще в наши дни схема рабочая) в любом случае у человек ежи, как них настраивать хз, даж не знаю какой у них функционал присутствует) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 декабря, 2013 · Жалоба на старых 3028 и не будет работать, не могу проверить Дык у блинка извечный бета-тест от прошивки к прошивке, за пару лет софт вылизывают, затем EoL, новое железо, и новый круг мытарств. :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VasiliyP Опубликовано 17 декабря, 2013 · Жалоба для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 декабря, 2013 · Жалоба проще видимо перейти на ipoe... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 17 декабря, 2013 · Жалоба Скрипт собирания маков в базу пишется за несколько часов, если оборудование однотипное. А дальше уже можно и вебморду прикрутить, и что хотите. Встречался давным давно с похожим случаем, вирусы абоненты ловили. Сначала ARP-флуд, потом подмена IP на IP-шлюза. Но мак не менялся. У вас или что-то новенькое, или вредные абоненты. Но с переходом на vlan-per-user мы забыли все эти проблемы, как страшный сон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 17 декабря, 2013 · Жалоба для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос а смысл, режем все acl на порту кроме 8863 и 8864 . Кроме PPPoE нечего не пройдет. Никого arp и тп. Авторизация по логину+пароль. или же всетаки задействовать логин+pppoe_insertion(вместо пароля) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 декабря, 2013 · Жалоба режем все acl на порту кроме 8863 и 8864 А если абонент поставит себе пппое сервер, к нему другие будут подключатся?) В смысле, если межабонентский не порезан то есть простор для фантазии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 18 декабря, 2013 · Жалоба влан на коммутатор + изоляция портов и пофигу чего там внутри, pptp или pppoe, клиент только себе нагадить сможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...