Здравствуйте уважаемые гуру cisco.

Я настроил с одним провайдером канал PPPoE. Спустя неделю, они обнаруживают, что другие их клиенты пытаются авторизоваться на нашем маршрутизаторе, в док-во чего приводят лог:

=================
23:34:07.960724 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]
23:34:07.961467 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]
23:34:13.195092 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 98: PPPoE PADS [Service-Name] [Host-Uniq 0x00000001] [AC-Name "2811-cr1"] [AC-Cookie 0x6AE3CD656CBB35958512B6E6C14813C5][|pppoe]
23:34:14.936473 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 102: PPPoE PADS [Host-Uniq 0x001CF0ABF89F0000] [AC-Cookie 0x01650E56A037B2A7560398EB8C82855D] [AC-Name "2811-cr1"] [Service-Name][|pppoe]
===============

Конфиг у меня такой:
===================

bba-group pppoe global

interface FastEthernet0/0/2
 switchport access vlan 12
 no keepalive
 no cdp enable
!

interface Vlan12
 description ------ ROSWEB Internet Backup -------                              
 no ip address
 pppoe enable
 pppoe-client dial-pool-number 1
!

interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname rosweb-2481-09
 ppp chap password 7 00001602060E53
!
!
ip nat inside source route-map internet-vlan12 interface Dialer1 overload
ip nat inside source static tcp 192.168.25.21 25 interface Dialer1 25
!
!
route-map internet-vlan12 permit 10
 match ip address nat-fe-0-0.20-in
!
================
Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании pppoe и их клиенты перестали пытаться авторизоваться у нас.
Внимание вопрос:

нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя выполнить какие-либо настройки, чтобы её не допустить?

• Cisco 2811,STONE, 17:51 , 11-Янв-10
  • Cisco 2811,Alex, 18:09 , 11-Янв-10
    • Cisco 2811,KiM, 21:31 , 11-Янв-10
      • Cisco 2811,Alex, 09:01 , 12-Янв-10
        • Cisco 2811,Николай, 10:27 , 12-Янв-10
          • Cisco 2811,Alex, 11:18 , 12-Янв-10
            • Cisco 2811,STONE, 12:16 , 12-Янв-10

>[оверквотинг удален]
>route-map internet-vlan12 permit 10
> match ip address nat-fe-0-0.20-in
>!
>================
>Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании
>pppoe и их клиенты перестали пытаться авторизоваться у нас.
>Внимание вопрос:
>
>нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя
>выполнить какие-либо настройки, чтобы её не допустить?

вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это у них умеет), но правильно чтобы вы настроили как надо.

>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>у них умеет), но правильно чтобы вы настроили как надо.

1. Неужели это не дыра в их безопасности?
Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя авторизацию клиентов.
2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки в их конфигах проще, чем настроить у себя фильтрацию?

>>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>>у них умеет), но правильно чтобы вы настроили как надо.
>
>1. Неужели это не дыра в их безопасности?
>Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя
>авторизацию клиентов.
>2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки
>в их конфигах проще, чем настроить у себя фильтрацию?

1.оператору пофигу, он не отвечает за пароли клиента.
2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)

>1.оператору пофигу, он не отвечает за пароли клиента.
>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)

Вы, видимо, тоже представитель какого-нить провайдера. :)

>>1.оператору пофигу, он не отвечает за пароли клиента.
>>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)
>
>Вы, видимо, тоже представитель какого-нить провайдера. :)

Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению ну допустим отдельный влан с pppoe наверняка скопом в один все забросили, то что отключить легче чем разобраться - 100% :))

>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>ну допустим отдельный влан с pppoe наверняка скопом в один все
>забросили, то что отключить легче чем разобраться - 100% :))

Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают транк с нативным VLAN для нас, всяки bpdu валятся, аж у меня спанингтри их порт гасил, во дятлы!
Куда вообще их безопасники мотрят, если они у них вообще есть.

>>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>>ну допустим отдельный влан с pppoe наверняка скопом в один все
>>забросили, то что отключить легче чем разобраться - 100% :))
>
>Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают
>транк с нативным VLAN для нас, всяки bpdu валятся, аж у
>меня спанингтри их порт гасил, во дятлы!

Это типичный пример хомяка(домового провайдера)

>Куда вообще их безопасники мотрят, если они у них вообще есть.

восновном безопасников на сети нет:) в редких ISP они присутствуют

а вообще в некоторых провах включение автоматизировано, нажал кнопку и всё заработало у определённого клиента на определённой железке. но енто редкость.