Здраствуйте товарище и коллеги, а так же светилы мира сетевых технологий!
(не кого не забыл вроде, если забыл прощайте)Задача у меня типчная, в некотором роде шаблонная.
имеется какая-то сеть (просто сеть) на 1000-1500, самых обычных пользователей.
Есть 7206VXR-NPE-300 на которой терминируются IP-интерфейсы.
Наглядно изображу:Internet---Router(cisco)NAT----Cisco7206VXR-NPE-300
|
коммутация...
|
коммутатор уровня доступа dlink 3226S
|
ПОРТ пользователя.Каждый порт на коммутаторе выделяется только для 1-го пользователя.
Коммутатор при появление на порту первого МАС-адреса автоматом привязывает его к порту (назом это прибить гвощдями МАК к порту)
МАК прибит, хорошо, но не "прибит" IP-адрес, т.е. нет STATIC ARP записи на 7206,ественно пользователь первым делом наберет в своем браузере google.ru и у него будет "интернет" (нечего не мешает) на 7206 появится его МАК,,,,Вот я хочу совета как быть ?
По умолчанию писать ACL который запрещает доступ во вне
но например доступ к биллингу есть, там вставить кнопку "начать пользоваться интернетом" как он нажал скрипт поправит ACL, и поставить привязку.
Не писать ACL а отслеживать появление новой arp-записи и митгом его "забить" ?
в схеме ошибка.
к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
>в схеме ошибка.
>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226SТрадиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или dhcp с option 82. Красивше наверное никак =(
>>в схеме ошибка.
>>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
>
>Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или
>dhcp с option 82. Красивше наверное никак =(Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков, забудьте про него.
>>>в схеме ошибка.
>>>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
>>
>>Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или
>>dhcp с option 82. Красивше наверное никак =(
>
>Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи
>использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков,
>забудьте про него.
Т.е. если огромная сеть. в каждый дом ставить 3560, хотя dlink 3226S поддерживает port-securety.
Извините, но ВПН действительно брет для чего в сети дополнительная енкапсуляция
>Здраствуйте товарище и коллеги, а так же светилы мира сетевых технологий!
>(не кого не забыл вроде, если забыл прощайте)
>
>Задача у меня типчная, в некотором роде шаблонная.
>имеется какая-то сеть (просто сеть) на 1000-1500, самых обычных пользователей.
>Есть 7206VXR-NPE-300 на которой терминируются IP-интерфейсы.
>Наглядно изображу:
>
>Internet---Router(cisco)NAT----Cisco7206VXR-NPE-300
>
>
>
>|
>
>
> коммутация...
>
>
>
>
>|
>
>
> коммутатор уровня доступа dlink 3226S
>
>
>
> |
>
>
>
> ПОРТ
>пользователя.
>
>Каждый порт на коммутаторе выделяется только для 1-го пользователя.
>Коммутатор при появление на порту первого МАС-адреса автоматом привязывает его к порту
>(назом это прибить гвощдями МАК к порту)
>МАК прибит, хорошо, но не "прибит" IP-адрес, т.е. нет STATIC ARP записи
>на 7206,ественно пользователь первым делом наберет в своем браузере google.ru и
>у него будет "интернет" (нечего не мешает) на 7206 появится его
>МАК,,,,
>
>Вот я хочу совета как быть ?
>По умолчанию писать ACL который запрещает доступ во вне
>но например доступ к биллингу есть, там вставить кнопку "начать пользоваться интернетом"
>как он нажал скрипт поправит ACL, и поставить привязку.
>Не писать ACL а отслеживать появление новой arp-записи и митгом его "забить"
>?
>
Лучше наверно будет поднять на 7206 VPDN и не заморачиваться. Как правильно уже сказали выше !
тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь IP-MAC на c7206 и всё, даже если в ручную, то схема по сути рабочая?ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё зделат:
поставит привзяку на 7206
поправит ACL
>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>IP-MAC на c7206 и всё, даже если в ручную, то схема
>по сути рабочая?
>
>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>зделат:
>поставит привзяку на 7206
>поправит ACLДля этого надо:
Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг, дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку, т.к. простое применение конфига не затрет работающий, а наложит один на другой.
Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?
>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>>IP-MAC на c7206 и всё, даже если в ручную, то схема
>>по сути рабочая?
>>
>>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>>зделат:
>>поставит привзяку на 7206
>>поправит ACL
>
>Для этого надо:
>Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг,
>дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку,
>т.к. простое применение конфига не затрет работающий, а наложит один на
>другой.
>Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?Вопрос о новом подключившемся к сети пользователе.
замчем перегружать кошку?
ACL достаточно снять с интерфейса и все.
conf t
no access-list extended Block-EXT
access-list extended Block-EXT загрузитьт новый acl.
exit
arp IP mAC поставить привязку
я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и сказал команды.
>>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>>>IP-MAC на c7206 и всё, даже если в ручную, то схема
>>>по сути рабочая?
>>>
>>>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>>>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>>>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>>>зделат:
>>>поставит привзяку на 7206
>>>поправит ACL
>>
>>Для этого надо:
>>Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг,
>>дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку,
>>т.к. простое применение конфига не затрет работающий, а наложит один на
>>другой.
>>Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?
>
>Вопрос о новом подключившемся к сети пользователе.
>замчем перегружать кошку?
>ACL достаточно снять с интерфейса и все.
>conf t
>no access-list extended Block-EXT
>access-list extended Block-EXT загрузитьт новый acl.
>exit
>arp IP mAC поставить привязку
>я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и
>сказал команды.
А если пользователь отключился , перестал работать что будет ? Акл должен закряться после сессии сразу а то буде дырка .
нет. остается как есть.
Я еще раз повторяю ЭТО ТОЛЬКО ОТНОСИТСЯ К ПЕРВОМУ ПОДКЛЮЧЕНИЮ ПОЛЬЗОВАТЕЛЯ К СЕТИ (ВОТ ЕМУ ВЕРЕВКУ ПРОВЕЛИ ВОТКНУЛИ ДЖЕК В СЕТЕВУХУ)
Т.Е. идея в том что коммутотар САМ (без помощи админа) сможет зделать port-securety (привезать МАК к ПОРТУ)
ДЛя полной безопатсности еще нужн опривязать IP -MAC на 7206 ...КАК мне показалось разумным.
по умолчанию пользовательский IP находится в заблокированном состоянии
В билинг вставить кнопку (одноразовую) на которую ламак тыкает, ему ставится привязка и правится ACL.А вообще на протежение всего полета, блокировать доступ в интернет я хочу спомощью ACL