Добрый всем день,Такая ситуация. Контора подключена к Интернету следующим образом:
Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего шлюза, который тоже с реальным IP. Оставляю за скобками модели всех этих устройств, так как вопрос не по их функциональности.
Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.
Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.
Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата пакетов не буду застрахован, так как есть возможность подмены MAC адреса. Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать к порту конкретный MAC адрес. Я из таких устройств только Catalist знаю, это дорого.
Посоветуйте недорогой свич или другой подход к проблеме.
Спасибо,
Илья.
>Добрый всем день,
>
>Такая ситуация. Контора подключена к Интернету следующим образом:
>
>Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на
>нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего
>шлюза, который тоже с реальным IP. Оставляю за скобками модели всех
>этих устройств, так как вопрос не по их функциональности.
>
>Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не
>обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом
>поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего
>шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.
>
>
>Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.
>
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>знаю, это дорого.
>
>Посоветуйте недорогой свич или другой подход к проблеме.
>
>Спасибо,
>
>Илья.
свитчи подешевле - 3com (например, SuperStackII 1100) и D-Link (например, DES-3226)
а вообще, поможет любой свитч, поддерживающий 802.11q (vlan)
если есть договорённость с провайдером - тока в путь...
Либо, юних с тремя сетевыми карточками - и делай чё хочешь :)ЗЫ 2-е по-любому правильнее :)
кстати, есть ещё такие вещи как sniffing in the switching enveropment - так что ставь лучше роутер, ей богу! :)
>кстати, есть ещё такие вещи как sniffing in the switching enveropment -
>так что ставь лучше роутер, ей богу! :)
Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?
>>кстати, есть ещё такие вещи как sniffing in the switching enveropment -
>>так что ставь лучше роутер, ей богу! :)
>
>
>Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?
аминь
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>знаю, это дорого.
>
>Посоветуйте недорогой свич или другой подход к проблеме.Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, которые стоят не так дорого.
например, D-Link DES-3226а лучше - договориться с провайдером о работе через vpn, например pptp или pppoe. тогда хоть хаб ставьте...
>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>>знаю, это дорого.
>>
>>Посоветуйте недорогой свич или другой подход к проблеме.
>
>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
>которые стоят не так дорого.
>например, D-Link DES-3226
>
>а лучше - договориться с провайдером о работе через vpn, например pptp
>или pppoe. тогда хоть хаб ставьте...Народ, я может подтормаживаю, но проясните.
Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в одном будт порт, к которому провайдерское устройство подключено, во втором - порт, к которому подключен наш шлюз, в третьем - порт, к которому подключен шлюз соеседей.
Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? Или это чудо D-Link еще и на третьем уровне сетевой модели чего-то может?
Спа,
Илья.
>>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>>>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>>>знаю, это дорого.
>>>
>>>Посоветуйте недорогой свич или другой подход к проблеме.
>>
>>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
>>которые стоят не так дорого.
>>например, D-Link DES-3226
>>
>>а лучше - договориться с провайдером о работе через vpn, например pptp
>>или pppoe. тогда хоть хаб ставьте...
>
>Народ, я может подтормаживаю, но проясните.
>
>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>одном будт порт, к которому провайдерское устройство подключено, во втором -
>порт, к которому подключен наш шлюз, в третьем - порт, к
>которому подключен шлюз соеседей.
>
>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
>Или это чудо D-Link еще и на третьем уровне сетевой модели
>чего-то может?
>
>Спа,
>Илья.
Нет нужен роутер, или провайдер должен будет эти vlan поднять у себя сабинтами (твой и соседей)
>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>одном будт порт, к которому провайдерское устройство подключено, во втором -
>порт, к которому подключен наш шлюз, в третьем - порт, к
>которому подключен шлюз соеседей.
тогда никто никого видеть не будет...
я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и порт провайдера, а в VLAN-2 будут входить порт соседа и порт провайдера.
причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову с VLAN-ами.или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...
к сожалению, не могу на своем свиче попробовать - нельзя его из сети выдернуть для экспериментов...
>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
а зачем маршрутизировать между VLAN-ами?>Или это чудо D-Link еще и на третьем уровне сетевой модели
>чего-то может?
нет, на третьем эта модель ничего не может.
>>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>>одном будт порт, к которому провайдерское устройство подключено, во втором -
>>порт, к которому подключен наш шлюз, в третьем - порт, к
>>которому подключен шлюз соеседей.
>тогда никто никого видеть не будет...
>я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и
>порт провайдера, а в VLAN-2 будут входить порт соседа и порт
>провайдера.
>причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову
>с VLAN-ами.
>
>или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...
>
>к сожалению, не могу на своем свиче попробовать - нельзя его из
>сети выдернуть для экспериментов...
>
>>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
>а зачем маршрутизировать между VLAN-ами?
>
>>Или это чудо D-Link еще и на третьем уровне сетевой модели
>>чего-то может?
>нет, на третьем эта модель ничего не может.
Спасибо! Всем ;-)
перестаньте париться
воткни в тачку еще одну сетевую и в нее хаб второй конторы
>перестаньте париться
>воткни в тачку еще одну сетевую и в нее хаб второй конторыи тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких сниферов-2" :)))
>>перестаньте париться
>>воткни в тачку еще одну сетевую и в нее хаб второй конторы
>
>и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких
>сниферов-2" :)))
посему надо пинать провайдера, что бы он соседней конторе выделил порт с ПРОВАЙДЕРСКОМ девайсе.