[Cramac]

Всем привет. Кто нить заморачивался такой фишкой?

У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его.

[roysbike]

Всем привет. Кто нить заморачивался такой фишкой?

У нас иногда бывает надо найти порт на котором висит определенный клиент с маком и отключить его.

по snmp получите таблицу fdb каждого коммутатора, исключите Uplink. Сортируйте по портам которые смотрят на клиентов. Вопрос скромный, зачем? что он натворил?

[Cramac]

у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить...

[Saab95]

у нас идет влан на дом, и бывает такое что абонент, по каким то неясным причинам, прописывает себе ИП сервера доступа...в связи с чем не работает дом нормально...вот и хочется таких выловить и отключить...

 

Включите на коммутаторах изоляцию трафика между всеми портами, тогда, прописав себе адрес шлюза, он никому проблем не создаст. На длинках это называется Traffic Segmentation.

[VasiliyP]

изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна..

 

а вообще какой тип подключения?

[Cramac]

pptp

обычно у нас все так:

свитч L2-свитч L2- L3

[VasiliyP]

изоляция не поможет

 

какие коммутаторы то используете?

[sherwood]

изоляция поможет только в рамках одного коммутатора, так что она по сути бесполезна..

это вы где то прочитали или сами придумали? если звезда то и обсуждать не чего, а если гирлянда, то абоненты каждого коммутатора видят только порт аплин, но ни как порт смотрящий по гирлянде дальше. Или у вас какая то другая изоляция?

[VasiliyP]

тут получается что на текущем коммутаторе абоны будут изолированы, но они не будут изолированы на аплинке, так как весь траф в один порт, и получается на аплинк просто лишняя нагрузка ляжет

[sherwood]

так как весь траф в один порт

а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите.

 

получается на аплинк просто лишняя нагрузка ляжет

о какой нагрузке идет речь? речь наверное идет о том, что один из абонентов прописывает себе ip сервера а другие абоненты не могут из-за этого подключится. надо изолировать абонентов и пусть они у себя прописываю что хотят и мешают только себе. а вы о чем?

[Cramac]

Свитчи edge core

[VasiliyP]

а на сколько портов он должен идти? у вас на несколько, например при звезде или на гирлянде? покажите.

 

да бесполезна практически сегментация, на то она и сегментация, а не изоляция

ты бы построил такую схему на двух коммутаторах и все увидел, просто когда порты не сегментированы, траф идет с порта на порт, если же включить сегментация на аплинк, то весь траф пойдет на аплинк, там попадет в единую таблицу, и они один фиг узнают мак левого сервера, при такой схеме, траффик который ходил с порта на порт, теперь будет попадать на те же порты, но через аплинк

как то так, если на пальцах)

[pppoetest]

*facepalm*

Хотя пардон, у мну влан на коммутатор, а схему ради интереса я построю.

Изменено 17 декабря, 2013 пользователем pppoetest

[VasiliyP]

попробовал тут вот схемку собрать и действительно помогает сегментация, хотя точно помню когда dhcp opt82 лет 6-7 назад внедряли была такая фигня, с тех пор и не юзал)) мож на старых 3028 и не будет работать, не могу проверить

 

ну либо траф через л3 шел)

[pppoetest]

Чтобы траф шёл через л3, д.б. включен арп-прокс. Знач схему собирать не надо? )))

[roysbike]

pptp

обычно у нас все так:

свитч L2-свитч L2- L3

Уходите на PPPoE. Если есть возможность , то на IPoE. VPN уже должен умереть, в плане российского доступа в интернет.

[VasiliyP]

думаю не надо, возможно и был прокси арп включен, сейчас уж и не упомню, да и 3028 тогда только выпускать начинали, вообще в наши дни схема рабочая)

 

в любом случае у человек ежи, как них настраивать хз, даж не знаю какой у них функционал присутствует)

[pppoetest]

на старых 3028 и не будет работать, не могу проверить

Дык у блинка извечный бета-тест от прошивки к прошивке, за пару лет софт вылизывают, затем EoL, новое железо, и новый круг мытарств. :D

[VasiliyP]

для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос

[Cramac]

проще видимо перейти на ipoe...

[DVM-Avgoor]

Скрипт собирания маков в базу пишется за несколько часов, если оборудование однотипное. А дальше уже можно и вебморду прикрутить, и что хотите.

 

Встречался давным давно с похожим случаем, вирусы абоненты ловили. Сначала ARP-флуд, потом подмена IP на IP-шлюза. Но мак не менялся. У вас или что-то новенькое, или вредные абоненты. Но с переходом на vlan-per-user мы забыли все эти проблемы, как страшный сон.

[roysbike]

для пппое у длинка есть вроде pppoe_insertion короче можно реализовать чтобы радиус сервер получал инфу при регистрации с какого коммутатора и порта идет запрос

а смысл, режем все acl на порту кроме 8863 и 8864 . Кроме PPPoE нечего не пройдет. Никого arp и тп. Авторизация по логину+пароль. или же всетаки задействовать логин+pppoe_insertion(вместо пароля)

[Ivan_83]

режем все acl на порту кроме 8863 и 8864

А если абонент поставит себе пппое сервер, к нему другие будут подключатся?)

В смысле, если межабонентский не порезан то есть простор для фантазии.

[BiWiS]

влан на коммутатор + изоляция портов и пофигу чего там внутри, pptp или pppoe, клиент только себе нагадить сможет.