The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
размыления о защите., !*! teebot, 22-Дек-04, 12:41  [смотреть все]
Здравствуйте.

Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать ИП с маской 252, или жестко привязывать мас к ИП что бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. Как для меня есть несколько трудностей.
1) ситуация с вланами и маской 252 - большой расход ИП
2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить циску, да и вообще что бы сейчас перейти на это надо набрать много команд (клиентов уже набралось)

может есть еще какой-то более-мение действенный и простой способ?

что посоветуете?

  • размыления о защите., !*! teebot, 12:49 , 22-Дек-04 (1)
    боюсь нарваться на шквал упреков, мол поиск по сайту делать надо.
    сделал. нашел все вышеописанные рекомендации + VPN. но с впн по-моему еще больше проблем.
  • размыления о защите., !*! teebot, 12:52 , 22-Дек-04 (2)
    да еще забыл добавить. выделеньщики подключены через адсл концентратор. тоесть не каждый в порт каталисты, а через транковый порт. вообщем привязывать ИП к порту или мак к порту каталисты тоже вроди бы нельзя.
  • размыления о защите., !*! fantom, 13:00 , 22-Дек-04 (3)
    >Здравствуйте.
    >
    >Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть
    >роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать
    >ИП с маской 252, или жестко привязывать мас к ИП что
    >бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один.
    >Как для меня есть несколько трудностей.
    >1) ситуация с вланами и маской 252 - большой расход ИП
    >2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном
    >количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить
    >циску, да и вообще что бы сейчас перейти на это надо
    >набрать много команд (клиентов уже набралось)
    >
    >может есть еще какой-то более-мение действенный и простой способ?
    >
    >что посоветуете?
    1. VPN - с шифровкой пароля.
    2. Привязка MAC к порту на каталисте,  ну и ИП+MAC,
    только можно не привязывать на кощке, а скажем считывать арп таблицу с кошки с некоторой периодичностью, ИП + МАС держать скажем на компе в БД, если у кого-либо ИП изменился - знать шельмовать пытается, если изменит МАС - его каталист непустит, если перезагружать надо - то только каталист, а это 22 абонента.... гу не каждый же день они у себя железки меняют :)


    • размыления о защите., !*! Nailer, 14:15 , 22-Дек-04 (4)
      >>Здравствуйте.
      >>
      >>Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть
      >>роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать
      >>ИП с маской 252, или жестко привязывать мас к ИП что
      >>бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один.
      >>Как для меня есть несколько трудностей.
      >>1) ситуация с вланами и маской 252 - большой расход ИП
      >>2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном
      >>количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить
      >>циску, да и вообще что бы сейчас перейти на это надо
      >>набрать много команд (клиентов уже набралось)
      >>
      >>может есть еще какой-то более-мение действенный и простой способ?
      >>
      >>что посоветуете?
      >1. VPN - с шифровкой пароля.
      >2. Привязка MAC к порту на каталисте,  ну и ИП+MAC,
      >только можно не привязывать на кощке, а скажем считывать арп таблицу с
      >кошки с некоторой периодичностью, ИП + МАС держать скажем на компе
      >в БД, если у кого-либо ИП изменился - знать шельмовать пытается,
      >если изменит МАС - его каталист непустит, если перезагружать надо -
      >то только каталист, а это 22 абонента.... гу не каждый же
      >день они у себя железки меняют :)

      Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые адреса, по /30 сетке на клиента, а на роутере делаете статическую трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе.

      В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)

      • размыления о защите., !*! Nailer, 14:17 , 22-Дек-04 (5)
        >
        >Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые
        >адреса, по /30 сетке на клиента, а на роутере делаете статическую
        >трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе.
        >

        Внешнего реального, я имел в виду. Таким образом, получается один реальный ip на каждого клиента.

        >
        >В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)


      • размыления о защите., !*! teebot, 17:54 , 22-Дек-04 (6)
        да не серьезно как-то провайдеру раздавать серые ИП.
        • размыления о защите., !*! fantom, 18:51 , 22-Дек-04 (7)
          Так а с VPN какие проблемы?
          на каждого - один ИП и еще один - на сервер,
          привязка login-IP
          • размыления о защите., !*! Alexey, 19:25 , 22-Дек-04 (8)
            тема я смотрю стандартная ))

            у меня таже ситуация, только ДОХРЕНА клиентов по АДСЛ (привязывать маки просто устану - да и нельзя к модему буки люди свои разные цепляют)...
            поэтому я для себя сделал так (вынашу на критику):

            все МОИ адсл концентраторы (IES-1000) поддерживают 803.1q - благодоря этому поднимаю VLAN, имею интерфейс VLANx, выдаю серые адреса /30 - и не имею гемора с маками (все это у меня access уровень).

            Дальше ставлю еще машинку на которую стекаются все потоки от access уровня.. все локальные потоки "текут" по ней, тут же начу... - это у меня уровень расспределения.

            ставлю уровень ядра - кошка которая "только" маршрутизирует - никаких шейпов, ACL, и police-routing - благодоря чему все в cef

            • размыления о защите., !*! Alexey, 19:28 , 22-Дек-04 (9)
              уровень расспределения это машинка...
              но может КОГДАТО и каталик 6000 будет ;)
              • размыления о защите., !*! Spider2k, 08:43 , 23-Дек-04 (10)
                На новых каталистах 2950 можно делать так:

                access-list 2 permit host Klient#1

                interface FasttEthernet0/2
                no ip address
                ip access-group 2 in

                и жужжит...


                • размыления о защите., !*! dimka, 09:34 , 23-Дек-04 (11)
                  >На новых каталистах 2950 можно делать так:
                  >
                  >access-list 2 permit host Klient#1
                  >
                  >interface FasttEthernet0/2
                  > no ip address
                  > ip access-group 2 in
                  >
                  >и жужжит...
                  что то вы тут развели - привязки ip к маку - штука то хорошая конечно, но запарная, чем просто не нравится разбивка сети на вланы и на каждый влан свою сеть соответственно и своего кастомера  - на каталисте каждый порт в отдельный влан - все остальные выключить и всё это упяртать в хорошо закрываемый  шкаф, дабы чуже руки туда не совались...  
                • размыления о защите., !*! Spider2k, 11:27 , 23-Дек-04 (13)
                  >На новых каталистах 2950 можно делать так:
                  >
                  >access-list 2 permit host Klient#1
                  >
                  >interface FasttEthernet0/2
                  swithport access Vlan 8
                  > no ip address
                  > ip access-group 2 in
                  >
                  >и жужжит...

                  Повторяю!!!!

                  на маршрутизаторе:
                  int fas0/0.8
                  ip address белый на 32 адреса

                  на свиче:
                  interface FasttEthernet0/2
                  swithport access Vlan 8
                  no ip address
                  ip access-group 2 in
                  interface FasttEthernet0/3
                  swithport access Vlan 8
                  no ip address
                  ip access-group 3 in
                  и др
                  access-list 2 permit host белый адрес клиента
                  access-list 3 permit host белый адрес клиента

                  чтобы др др не видели: switchport protekted (на всех,кроме транка)

                  !!! Привязки к макакам нет!!!!!!! подменивать адреса смысла нет, т.к тут же ничего не ходит....

            • размыления о защите., !*! teebot, 11:02 , 23-Дек-04 (12)
              >да и нельзя к модему буки люди свои разные
              >цепляют)...

              да, действительно я и не подумал. Такая ситуация возникает слошь и рядом.  Щас попробую поискать на cisco.com что-топро VPN




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру