- размыления о защите., teebot, 12:49 , 22-Дек-04 (1)
боюсь нарваться на шквал упреков, мол поиск по сайту делать надо. сделал. нашел все вышеописанные рекомендации + VPN. но с впн по-моему еще больше проблем. - размыления о защите., teebot, 12:52 , 22-Дек-04 (2)
да еще забыл добавить. выделеньщики подключены через адсл концентратор. тоесть не каждый в порт каталисты, а через транковый порт. вообщем привязывать ИП к порту или мак к порту каталисты тоже вроди бы нельзя. - размыления о защите., fantom, 13:00 , 22-Дек-04 (3)
>Здравствуйте. > >Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть >роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать >ИП с маской 252, или жестко привязывать мас к ИП что >бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. >Как для меня есть несколько трудностей. >1) ситуация с вланами и маской 252 - большой расход ИП >2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном >количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить >циску, да и вообще что бы сейчас перейти на это надо >набрать много команд (клиентов уже набралось) > >может есть еще какой-то более-мение действенный и простой способ? > >что посоветуете? 1. VPN - с шифровкой пароля. 2. Привязка MAC к порту на каталисте, ну и ИП+MAC, только можно не привязывать на кощке, а скажем считывать арп таблицу с кошки с некоторой периодичностью, ИП + МАС держать скажем на компе в БД, если у кого-либо ИП изменился - знать шельмовать пытается, если изменит МАС - его каталист непустит, если перезагружать надо - то только каталист, а это 22 абонента.... гу не каждый же день они у себя железки меняют :)
- размыления о защите., Nailer, 14:15 , 22-Дек-04 (4)
>>Здравствуйте. >> >>Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть >>роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать >>ИП с маской 252, или жестко привязывать мас к ИП что >>бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. >>Как для меня есть несколько трудностей. >>1) ситуация с вланами и маской 252 - большой расход ИП >>2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном >>количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить >>циску, да и вообще что бы сейчас перейти на это надо >>набрать много команд (клиентов уже набралось) >> >>может есть еще какой-то более-мение действенный и простой способ? >> >>что посоветуете? >1. VPN - с шифровкой пароля. >2. Привязка MAC к порту на каталисте, ну и ИП+MAC, >только можно не привязывать на кощке, а скажем считывать арп таблицу с >кошки с некоторой периодичностью, ИП + МАС держать скажем на компе >в БД, если у кого-либо ИП изменился - знать шельмовать пытается, >если изменит МАС - его каталист непустит, если перезагружать надо - >то только каталист, а это 22 абонента.... гу не каждый же >день они у себя железки меняют :) Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые адреса, по /30 сетке на клиента, а на роутере делаете статическую трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе. В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)
- размыления о защите., Nailer, 14:17 , 22-Дек-04 (5)
> >Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые >адреса, по /30 сетке на клиента, а на роутере делаете статическую >трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе. >Внешнего реального, я имел в виду. Таким образом, получается один реальный ip на каждого клиента. > >В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)
- размыления о защите., teebot, 17:54 , 22-Дек-04 (6)
да не серьезно как-то провайдеру раздавать серые ИП.
- размыления о защите., fantom, 18:51 , 22-Дек-04 (7)
Так а с VPN какие проблемы? на каждого - один ИП и еще один - на сервер, привязка login-IP
- размыления о защите., Alexey, 19:25 , 22-Дек-04 (8)
тема я смотрю стандартная ))у меня таже ситуация, только ДОХРЕНА клиентов по АДСЛ (привязывать маки просто устану - да и нельзя к модему буки люди свои разные цепляют)... поэтому я для себя сделал так (вынашу на критику): все МОИ адсл концентраторы (IES-1000) поддерживают 803.1q - благодоря этому поднимаю VLAN, имею интерфейс VLANx, выдаю серые адреса /30 - и не имею гемора с маками (все это у меня access уровень). Дальше ставлю еще машинку на которую стекаются все потоки от access уровня.. все локальные потоки "текут" по ней, тут же начу... - это у меня уровень расспределения. ставлю уровень ядра - кошка которая "только" маршрутизирует - никаких шейпов, ACL, и police-routing - благодоря чему все в cef
- размыления о защите., Alexey, 19:28 , 22-Дек-04 (9)
уровень расспределения это машинка... но может КОГДАТО и каталик 6000 будет ;)
- размыления о защите., Spider2k, 08:43 , 23-Дек-04 (10)
На новых каталистах 2950 можно делать так:access-list 2 permit host Klient#1 interface FasttEthernet0/2 no ip address ip access-group 2 in и жужжит...
- размыления о защите., dimka, 09:34 , 23-Дек-04 (11)
>На новых каталистах 2950 можно делать так: > >access-list 2 permit host Klient#1 > >interface FasttEthernet0/2 > no ip address > ip access-group 2 in > >и жужжит... что то вы тут развели - привязки ip к маку - штука то хорошая конечно, но запарная, чем просто не нравится разбивка сети на вланы и на каждый влан свою сеть соответственно и своего кастомера - на каталисте каждый порт в отдельный влан - все остальные выключить и всё это упяртать в хорошо закрываемый шкаф, дабы чуже руки туда не совались...
- размыления о защите., Spider2k, 11:27 , 23-Дек-04 (13)
>На новых каталистах 2950 можно делать так: > >access-list 2 permit host Klient#1 > >interface FasttEthernet0/2 swithport access Vlan 8 > no ip address > ip access-group 2 in > >и жужжит... Повторяю!!!! на маршрутизаторе: int fas0/0.8 ip address белый на 32 адреса на свиче: interface FasttEthernet0/2 swithport access Vlan 8 no ip address ip access-group 2 in interface FasttEthernet0/3 swithport access Vlan 8 no ip address ip access-group 3 in и др access-list 2 permit host белый адрес клиента access-list 3 permit host белый адрес клиента чтобы др др не видели: switchport protekted (на всех,кроме транка) !!! Привязки к макакам нет!!!!!!! подменивать адреса смысла нет, т.к тут же ничего не ходит....
- размыления о защите., teebot, 13:03 , 23-Дек-04 (14)
тут я так понял ИП прикалачиваетс аксес листами к порту. но у меня один транковый порт.
- размыления о защите., teebot, 11:02 , 23-Дек-04 (12)
>да и нельзя к модему буки люди свои разные >цепляют)... да, действительно я и не подумал. Такая ситуация возникает слошь и рядом. Щас попробую поискать на cisco.com что-топро VPN
|