https://www.opennet.ru/openforum/vsluhforumID10/4980.html Нужен совет:<br>Меня интересует как провайдеры обеспечивают безопасность IP адреса т.е как ISP борются от злоумышленников которые хотят использовать IP других клиентов <br>Старый способ это привязка ARP (MAC + IP )<br>Интересует другие способы, кто знает поделитесь....<br>Спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#15 Fri, 18 May 2012 18:39:40 GMT &gt; ip src-guard + dhcp-snoop это если в домосети.<br><br>Ок, а если провадейрская сеть ?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#14 Wed, 01 Feb 2012 15:06:10 GMT ip src-guard + dhcp-snoop это если в домосети.<br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#13 Fri, 16 Dec 2011 10:48:30 GMT Ну дык VLAN на порту свича - это и есть один из вариантов порт секьюрити. Не более того. "Порт секьюрити" - всего лишь термин. Под которым, кстати, разные производители оборудования могут понимать абсолютно разные термины. Вариант привязки МАК-адреса в данном случае к порту свича - не самый лучший вариант. Причина вполне очевидна - пользователь может поменять оконечное устройство. И что тогда? Руками править настройки свича каждый раз? А если таких пользователей 10? А если 100? А если 1000? А привязка VLAN к номеру порта требует только первоначальной (разовой) настройки. Хотя, конечно, не исключены исправления конфигов в дальнейшем, но они существенно меньше, чем в случае привязки МАК-адреса. Или Вы о другом там выше? <br>Про управляемые и неуправляемые свичи - я как бы в курсе. :) <br>Про съем данных о трафике с порта клиента мне понравилось - а если это именно СВИЧИ? Управляемые, но свичи. Без третьего уровня. Снимать данные с портов КАЖДОГО свича? А если их 100? А если 1000? ОБъем снимаемых данных представляет https://www.opennet.ru/openforum/vsluhforumID10/4980.html#12 Fri, 16 Dec 2011 10:29:01 GMT &gt; Vlan per user. Для каждого user-a vlan. Не очень понятно, все равно спасибо за мысль, теперь есть думать в какую сторону)).<br><br> Ну - Вы сможете нагуглить много на эту тему самостоятельно. :) Если вкратце, то это можно описать так. Оконечный пользователь подключен к оконечному свичу (как выше замечено - ЕСТЕСТВЕННО, управляемому). К порту этого свича привязан (предварительно) некий VLAN. Который УНИКАЛЕН в пределах терминирнующего узла. Соответственно, при прохождении трафика весь трафик пользователя на втором уровне маркируется соответствующим VID. Когда трафик доходит до терминирующего устройства уже на ТРЕТЬЕМ уровне есть некая связка - /32 сеть (то есть один IP) для конкретного VLAN. Собственно, никто не мешает повесить туда хоть /24 сеть (при желании), либо любую другую. Вкратце вот где-то так. На самом деле там все несколько сложнее и более обширнее, но суть приблизительно такая. Опять повторюсь - что эта технология требует больших финансовых вложений (если не строить сеть на софтороутерах, ака Линукс/ https://www.opennet.ru/openforum/vsluhforumID10/4980.html#11 Fri, 16 Dec 2011 09:44:51 GMT &gt; PPPoE <br><br>Да про PPoE Забыл написать. Этот вариант используется с BRAS-ом. Спс<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#10 Fri, 16 Dec 2011 09:42:17 GMT acl по src не пойдет, IPSec не понял мысль. Vlan per user. Для каждого user-a vlan. Не очень понятно, все равно спасибо за мысль, теперь есть думать в какую сторону)). Есть еще предложения. ?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#9 Fri, 16 Dec 2011 09:13:39 GMT &gt; сетей. Ну и разумеется, технология о которой я говорю требуют наличия <br>&gt; в сети везде управляемого оборудования (свичей),<br><br>Управляемое оборудование не тождественно свичам.<br>Бывают неуправляемые свичи (наиболее распространенный вид свичей), а бывают управляемые свичи(стоят несколько дороже дешевых мыльниц "а-ля свытич").<br>Управляемое оборудование - в части свичей -это только управляемые свичи а не любые свичи вообще.<br><br>Неуправляемый свичи так же легко кладут сегмент сети как и хабы. И в плане безопасности - полный голяк.<br><br>Для организации безопасной работы необходимы управляемые свичи. И тут возникает смысловая коллизия с МБОНЕ.<br><br>Зачем нужен терминатор на вланах, если можно банально включить порт-секюрити на порту и жестко (раз уж у нас стоит нормальное управляемое оборудование да :), привязать ФИЗИЧЕСКИЙ порт на оборудовании к клиенту? Как гвоздями прибить.<br>Клиент не выйдет в сеть с иным адресом чем приписан ему (не пройдет дальше порта на свиче к которому он подключен физически), сеть разгрузится (т https://www.opennet.ru/openforum/vsluhforumID10/4980.html#8 Fri, 16 Dec 2011 05:51:56 GMT PPPoE<br> https://www.opennet.ru/openforum/vsluhforumID10/4980.html#7 Fri, 16 Dec 2011 05:19:48 GMT &gt; Выдают клиенту сеть /30? Сменит IP - не попадет в дефолт гейтвей <br><br> И сколько ж таких дефолт гейтвеев надо прописать, к примеру, на циске? :) Опять же - теряется адресное пространство. На мой взгляд - вариант, предложенный мной выше (а это реально работающий, боевой вариант) намного предпочтительнее. Опять же от юзверя не требуется никаких лишних телодвижений - только ввод в настройки сетевой карты сетевых реквизитов. Еще предпочительнее вариант автоматического (DHCP) назначения IP На терминящий VLAN - но там есть нюансы, в виде, например Option 82 - необходима его поддержка на свичах и на терминирующем оборудовании (циски, джуниперы - не суть важно).<br> <br><br><br>