форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"размыления о защите."
Сообщение от teebot on 22-Дек-04, 12:41  (MSK)
Здравствуйте. Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать ИП с маской 252, или жестко привязывать мас к ИП что бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. Как для меня есть несколько трудностей. 1) ситуация с вланами и маской 252 - большой расход ИП 2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить циску, да и вообще что бы сейчас перейти на это надо набрать много команд (клиентов уже набралось) может есть еще какой-то более-мение действенный и простой способ? что посоветуете?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "размыления о защите."
Сообщение от teebot on 22-Дек-04, 12:49  (MSK)
боюсь нарваться на шквал упреков, мол поиск по сайту делать надо. сделал. нашел все вышеописанные рекомендации + VPN. но с впн по-моему еще больше проблем.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "размыления о защите."
Сообщение от teebot on 22-Дек-04, 12:52  (MSK)
да еще забыл добавить. выделеньщики подключены через адсл концентратор. тоесть не каждый в порт каталисты, а через транковый порт. вообщем привязывать ИП к порту или мак к порту каталисты тоже вроди бы нельзя.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "размыления о защите."
Сообщение от fantom (??) on 22-Дек-04, 13:00  (MSK)
>Здравствуйте. > >Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть >роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать >ИП с маской 252, или жестко привязывать мас к ИП что >бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. >Как для меня есть несколько трудностей. >1) ситуация с вланами и маской 252 - большой расход ИП >2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном >количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить >циску, да и вообще что бы сейчас перейти на это надо >набрать много команд (клиентов уже набралось) > >может есть еще какой-то более-мение действенный и простой способ? > >что посоветуете? 1. VPN - с шифровкой пароля. 2. Привязка MAC к порту на каталисте,  ну и ИП+MAC, только можно не привязывать на кощке, а скажем считывать арп таблицу с кошки с некоторой периодичностью, ИП + МАС держать скажем на компе в БД, если у кого-либо ИП изменился - знать шельмовать пытается, если изменит МАС - его каталист непустит, если перезагружать надо - то только каталист, а это 22 абонента.... гу не каждый же день они у себя железки меняют :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "размыления о защите."
	Сообщение от Nailer on 22-Дек-04, 14:15  (MSK)
	>>Здравствуйте. >> >>Раскрою суть вопроса. Есть сеть, есть клиенты получающие инет по выделенке есть >>роутер циско 2651, есть каталиста 2950. Стоит делема резать виланы, давать >>ИП с маской 252, или жестко привязывать мас к ИП что >>бы избежать подмены ИП нерадивыми юзерами. Сейчас реализован вариант номер один. >>Как для меня есть несколько трудностей. >>1) ситуация с вланами и маской 252 - большой расход ИП >>2) ситуация с привязкой ИП к МАС - перегружать железяку, при досточном >>количестве клиентов это накладно. при смене устройства на стороне клиента переконфигурить >>циску, да и вообще что бы сейчас перейти на это надо >>набрать много команд (клиентов уже набралось) >> >>может есть еще какой-то более-мение действенный и простой способ? >> >>что посоветуете? >1. VPN - с шифровкой пароля. >2. Привязка MAC к порту на каталисте,  ну и ИП+MAC, >только можно не привязывать на кощке, а скажем считывать арп таблицу с >кошки с некоторой периодичностью, ИП + МАС держать скажем на компе >в БД, если у кого-либо ИП изменился - знать шельмовать пытается, >если изменит МАС - его каталист непустит, если перезагружать надо - >то только каталист, а это 22 абонента.... гу не каждый же >день они у себя железки меняют :) Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые адреса, по /30 сетке на клиента, а на роутере делаете статическую трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе. В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "размыления о защите."
	Сообщение от Nailer on 22-Дек-04, 14:17  (MSK)
	> >Если клиенты бузить не будут, можно попробовать следующую схему: вдаете клиентам серые >адреса, по /30 сетке на клиента, а на роутере делаете статическую >трансляцию с внешенго адреса на внутренний, который забинден на клиентском интерфейсе. > Внешнего реального, я имел в виду. Таким образом, получается один реальный ip на каждого клиента. > >В принципе, таким образом работает все, кроме, пожалуй, DNS-а. Проверял :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "размыления о защите."
	Сообщение от teebot on 22-Дек-04, 17:54  (MSK)
	да не серьезно как-то провайдеру раздавать серые ИП.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "размыления о защите."
	Сообщение от fantom (??) on 22-Дек-04, 18:51  (MSK)
	Так а с VPN какие проблемы? на каждого - один ИП и еще один - на сервер, привязка login-IP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "размыления о защите."
	Сообщение от Alexey (??) on 22-Дек-04, 19:25  (MSK)
	тема я смотрю стандартная )) у меня таже ситуация, только ДОХРЕНА клиентов по АДСЛ (привязывать маки просто устану - да и нельзя к модему буки люди свои разные цепляют)... поэтому я для себя сделал так (вынашу на критику): все МОИ адсл концентраторы (IES-1000) поддерживают 803.1q - благодоря этому поднимаю VLAN, имею интерфейс VLANx, выдаю серые адреса /30 - и не имею гемора с маками (все это у меня access уровень). Дальше ставлю еще машинку на которую стекаются все потоки от access уровня.. все локальные потоки "текут" по ней, тут же начу... - это у меня уровень расспределения. ставлю уровень ядра - кошка которая "только" маршрутизирует - никаких шейпов, ACL, и police-routing - благодоря чему все в cef
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "размыления о защите."
	Сообщение от Alexey (??) on 22-Дек-04, 19:28  (MSK)
	уровень расспределения это машинка... но может КОГДАТО и каталик 6000 будет ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "размыления о защите."
	Сообщение от Spider2k (??) on 23-Дек-04, 08:43  (MSK)
	На новых каталистах 2950 можно делать так: access-list 2 permit host Klient#1 interface FasttEthernet0/2 no ip address ip access-group 2 in и жужжит...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "размыления о защите."
	Сообщение от dimka (??) on 23-Дек-04, 09:34  (MSK)
	>На новых каталистах 2950 можно делать так: > >access-list 2 permit host Klient#1 > >interface FasttEthernet0/2 > no ip address > ip access-group 2 in > >и жужжит... что то вы тут развели - привязки ip к маку - штука то хорошая конечно, но запарная, чем просто не нравится разбивка сети на вланы и на каждый влан свою сеть соответственно и своего кастомера  - на каталисте каждый порт в отдельный влан - все остальные выключить и всё это упяртать в хорошо закрываемый  шкаф, дабы чуже руки туда не совались...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "размыления о защите."
	Сообщение от Spider2k (??) on 23-Дек-04, 11:27  (MSK)
	>На новых каталистах 2950 можно делать так: > >access-list 2 permit host Klient#1 > >interface FasttEthernet0/2 swithport access Vlan 8 > no ip address > ip access-group 2 in > >и жужжит... Повторяю!!!! на маршрутизаторе: int fas0/0.8 ip address белый на 32 адреса на свиче: interface FasttEthernet0/2 swithport access Vlan 8 no ip address ip access-group 2 in interface FasttEthernet0/3 swithport access Vlan 8 no ip address ip access-group 3 in и др access-list 2 permit host белый адрес клиента access-list 3 permit host белый адрес клиента чтобы др др не видели: switchport protekted (на всех,кроме транка) !!! Привязки к макакам нет!!!!!!! подменивать адреса смысла нет, т.к тут же ничего не ходит....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "размыления о защите."
	Сообщение от teebot on 23-Дек-04, 13:03  (MSK)
	тут я так понял ИП прикалачиваетс аксес листами к порту. но у меня один транковый порт.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "размыления о защите."
	Сообщение от teebot on 23-Дек-04, 11:02  (MSK)
	>да и нельзя к модему буки люди свои разные >цепляют)... да, действительно я и не подумал. Такая ситуация возникает слошь и рядом.  Щас попробую поискать на cisco.com что-топро VPN
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.