forum.opennet.ru - "ПРАВИЛЬНОЕ решение." (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ПРАВИЛЬНОЕ решение."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ПРАВИЛЬНОЕ решение."
Сообщение от Gnom (??) on 07-Мрт-06, 15:50
Здраствуйте товарище и коллеги, а так же светилы мира сетевых технологий! (не кого не забыл вроде, если забыл прощайте) Задача у меня типчная, в некотором роде шаблонная. имеется какая-то сеть (просто сеть) на 1000-1500, самых обычных пользователей. Есть 7206VXR-NPE-300 на которой терминируются IP-интерфейсы. Наглядно изображу: Internet---Router(cisco)NAT----Cisco7206VXR-NPE-300 \| коммутация... \| коммутатор уровня доступа dlink 3226S \| ПОРТ пользователя. Каждый порт на коммутаторе выделяется только для 1-го пользователя. Коммутатор при появление на порту первого МАС-адреса автоматом привязывает его к порту (назом это прибить гвощдями МАК к порту) МАК прибит, хорошо, но не "прибит" IP-адрес, т.е. нет STATIC ARP записи на 7206,ественно пользователь первым делом наберет в своем браузере google.ru и у него будет "интернет" (нечего не мешает) на 7206 появится его МАК,,,, Вот я хочу совета как быть ? По умолчанию писать ACL который запрещает доступ во вне но например доступ к биллингу есть, там вставить кнопку "начать пользоваться интернетом" как он нажал скрипт поправит ACL, и поставить привязку. Не писать ACL а отслеживать появление новой arp-записи и митгом его "забить" ?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

ПРАВИЛЬНОЕ решение., Gnom, 16:15 , 07-Мрт-06, (1)

ПРАВИЛЬНОЕ решение., ram_scan, 16:34 , 07-Мрт-06, (2)

ПРАВИЛЬНОЕ решение., Nailer, 01:21 , 08-Мрт-06, (4)

ПРАВИЛЬНОЕ решение., Gnom, 17:07 , 08-Мрт-06, (5)

ПРАВИЛЬНОЕ решение., Lacunacoil, 18:37 , 07-Мрт-06, (3)

ПРАВИЛЬНОЕ решение., Gnom, 17:15 , 08-Мрт-06, (6)

ПРАВИЛЬНОЕ решение., fantom, 10:17 , 09-Мрт-06, (7)

ПРАВИЛЬНОЕ решение., Gnom, 10:39 , 09-Мрт-06, (8)

ПРАВИЛЬНОЕ решение., Изгой, 11:15 , 09-Мрт-06, (9)

ПРАВИЛЬНОЕ решение., Gnom, 13:56 , 09-Мрт-06, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "ПРАВИЛЬНОЕ решение."

Сообщение от Gnom (??) on 07-Мрт-06, 16:15

в схеме ошибка.
к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ПРАВИЛЬНОЕ решение."

Сообщение от ram_scan on 07-Мрт-06, 16:34

>в схеме ошибка.
>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или dhcp с option 82. Красивше наверное никак =(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "ПРАВИЛЬНОЕ решение."

Сообщение от Nailer (??) on 08-Мрт-06, 01:21

>>в схеме ошибка.
>>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
>
>Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или
>dhcp с option 82. Красивше наверное никак =(
Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков, забудьте про него.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "ПРАВИЛЬНОЕ решение."

Сообщение от Gnom (??) on 08-Мрт-06, 17:07

>>>в схеме ошибка.
>>>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
>>
>>Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или
>>dhcp с option 82. Красивше наверное никак =(
>
>Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи
>использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков,
>забудьте про него.
Т.е. если огромная сеть. в каждый дом ставить 3560, хотя dlink 3226S поддерживает port-securety.
Извините, но ВПН действительно брет для чего в сети дополнительная енкапсуляция

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ПРАВИЛЬНОЕ решение."

Сообщение от Lacunacoil (??) on 07-Мрт-06, 18:37

>Здраствуйте товарище и коллеги, а так же светилы мира сетевых технологий!
>(не кого не забыл вроде, если забыл прощайте)
>
>Задача у меня типчная, в некотором роде шаблонная.
>имеется какая-то сеть (просто сеть) на 1000-1500, самых обычных пользователей.
>Есть 7206VXR-NPE-300 на которой терминируются IP-интерфейсы.
>Наглядно изображу:
>
>Internet---Router(cisco)NAT----Cisco7206VXR-NPE-300
>
>
>
>|
>
>
>          коммутация...
>
>
>
>
>|
>
>
>      коммутатор уровня доступа dlink 3226S
>
>
>
>          |
>
>
>
>          ПОРТ
>пользователя.
>
>Каждый порт на коммутаторе выделяется только для 1-го пользователя.
>Коммутатор при появление на порту первого МАС-адреса автоматом привязывает его к порту
>(назом это прибить гвощдями МАК к порту)
>МАК прибит, хорошо, но не "прибит" IP-адрес, т.е. нет STATIC ARP записи
>на 7206,ественно пользователь первым делом наберет в своем браузере google.ru и
>у него будет "интернет" (нечего не мешает) на 7206 появится его
>МАК,,,,
>
>Вот я хочу совета как быть ?
>По умолчанию писать ACL который запрещает доступ во вне
>но например доступ к биллингу есть, там вставить кнопку "начать пользоваться интернетом"
>как он нажал скрипт поправит ACL, и поставить привязку.
>Не писать ACL а отслеживать появление новой arp-записи и митгом его "забить"
>?
>

Лучше наверно будет поднять на 7206 VPDN и не заморачиваться. Как правильно уже сказали выше !

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "ПРАВИЛЬНОЕ решение."

Сообщение от Gnom (??) on 08-Мрт-06, 17:15

тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь IP-MAC на c7206 и всё, даже если в ручную, то схема по сути рабочая?
ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё зделат:
поставит привзяку на 7206
поправит ACL

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "ПРАВИЛЬНОЕ решение."

Сообщение от fantom (??) on 09-Мрт-06, 10:17

>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>IP-MAC на c7206 и всё, даже если в ручную, то схема
>по сути рабочая?
>
>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>зделат:
>поставит привзяку на 7206
>поправит ACL
Для этого надо:
Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг, дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку, т.к. простое применение конфига не затрет работающий, а наложит один на другой.
Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "ПРАВИЛЬНОЕ решение."

Сообщение от Gnom (??) on 09-Мрт-06, 10:39

>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>>IP-MAC на c7206 и всё, даже если в ручную, то схема
>>по сути рабочая?
>>
>>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>>зделат:
>>поставит привзяку на 7206
>>поправит ACL
>
>Для этого надо:
>Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг,
>дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку,
>т.к. простое применение конфига не затрет работающий, а наложит один на
>другой.
>Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?
Вопрос о новом подключившемся к сети пользователе.
замчем перегружать кошку?
ACL достаточно снять с интерфейса и все.
conf t
no access-list extended Block-EXT
access-list extended Block-EXT загрузитьт новый acl.
exit
arp IP mAC поставить привязку
я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и сказал команды.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "ПРАВИЛЬНОЕ решение."

Сообщение от Изгой (??) on 09-Мрт-06, 11:15

>>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь
>>>IP-MAC на c7206 и всё, даже если в ручную, то схема
>>>по сути рабочая?
>>>
>>>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи
>>>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе,
>>>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё
>>>зделат:
>>>поставит привзяку на 7206
>>>поправит ACL
>>
>>Для этого надо:
>>Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг,
>>дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку,
>>т.к. простое применение конфига не затрет работающий, а наложит один на
>>другой.
>>Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?
>
>Вопрос о новом подключившемся к сети пользователе.
>замчем перегружать кошку?
>ACL достаточно снять с интерфейса и все.
>conf t
>no access-list extended Block-EXT
>access-list extended Block-EXT загрузитьт новый acl.
>exit
>arp IP mAC поставить привязку
>я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и
>сказал команды.
А если пользователь отключился , перестал работать что будет ? Акл должен закряться после сессии сразу а то буде дырка .

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "ПРАВИЛЬНОЕ решение."

Сообщение от Gnom (??) on 09-Мрт-06, 13:56

нет. остается как есть.
Я еще раз повторяю ЭТО ТОЛЬКО ОТНОСИТСЯ К ПЕРВОМУ ПОДКЛЮЧЕНИЮ ПОЛЬЗОВАТЕЛЯ К СЕТИ (ВОТ ЕМУ ВЕРЕВКУ ПРОВЕЛИ ВОТКНУЛИ ДЖЕК В СЕТЕВУХУ)
Т.Е. идея в том что коммутотар САМ (без помощи админа) сможет зделать port-securety (привезать МАК к ПОРТУ)
ДЛя полной безопатсности еще нужн опривязать IP -MAC на 7206 ...
КАК мне показалось разумным.
по умолчанию пользовательский IP находится в заблокированном состоянии
В билинг вставить кнопку (одноразовую) на которую ламак тыкает, ему ставится привязка и правится ACL.
А вообще на протежение всего полета, блокировать доступ в интернет я хочу спомощью ACL

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ПРАВИЛЬНОЕ решение."
Сообщение от Gnom (??) on 07-Мрт-06, 16:15
в схеме ошибка. к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "ПРАВИЛЬНОЕ решение."
	Сообщение от ram_scan on 07-Мрт-06, 16:34
	>в схеме ошибка. >к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или dhcp с option 82. Красивше наверное никак =(
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "ПРАВИЛЬНОЕ решение."
	Сообщение от Nailer (??) on 08-Мрт-06, 01:21
	>>в схеме ошибка. >>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S > >Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или >dhcp с option 82. Красивше наверное никак =( Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков, забудьте про него.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "ПРАВИЛЬНОЕ решение."
	Сообщение от Gnom (??) on 08-Мрт-06, 17:07
	>>>в схеме ошибка. >>>к 7204 подключаются гигабитный-коммутатор с него уже ---коммутаторы доступа 3226S >> >>Традиционно такие вещи решаются через port security на акцессе и vpn/pppoe. Или >>dhcp с option 82. Красивше наверное никак =( > >Красиво это решается на нормальных коммутаторах типа 3560 и выше при помощи >использования IP Source Guard + DHCP Snooping. VPN - бред домосетевиков, >забудьте про него. Т.е. если огромная сеть. в каждый дом ставить 3560, хотя dlink 3226S поддерживает port-securety. Извините, но ВПН действительно брет для чего в сети дополнительная енкапсуляция
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "ПРАВИЛЬНОЕ решение."
Сообщение от Lacunacoil (??) on 07-Мрт-06, 18:37
>Здраствуйте товарище и коллеги, а так же светилы мира сетевых технологий! >(не кого не забыл вроде, если забыл прощайте) > >Задача у меня типчная, в некотором роде шаблонная. >имеется какая-то сеть (просто сеть) на 1000-1500, самых обычных пользователей. >Есть 7206VXR-NPE-300 на которой терминируются IP-интерфейсы. >Наглядно изображу: > >Internet---Router(cisco)NAT----Cisco7206VXR-NPE-300 > > > >\| > > > коммутация... > > > > >\| > > > коммутатор уровня доступа dlink 3226S > > > > \| > > > > ПОРТ >пользователя. > >Каждый порт на коммутаторе выделяется только для 1-го пользователя. >Коммутатор при появление на порту первого МАС-адреса автоматом привязывает его к порту >(назом это прибить гвощдями МАК к порту) >МАК прибит, хорошо, но не "прибит" IP-адрес, т.е. нет STATIC ARP записи >на 7206,ественно пользователь первым делом наберет в своем браузере google.ru и >у него будет "интернет" (нечего не мешает) на 7206 появится его >МАК,,,, > >Вот я хочу совета как быть ? >По умолчанию писать ACL который запрещает доступ во вне >но например доступ к биллингу есть, там вставить кнопку "начать пользоваться интернетом" >как он нажал скрипт поправит ACL, и поставить привязку. >Не писать ACL а отслеживать появление новой arp-записи и митгом его "забить" >? > Лучше наверно будет поднять на 7206 VPDN и не заморачиваться. Как правильно уже сказали выше !
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "ПРАВИЛЬНОЕ решение."
	Сообщение от Gnom (??) on 08-Мрт-06, 17:15
	тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь IP-MAC на c7206 и всё, даже если в ручную, то схема по сути рабочая? ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё зделат: поставит привзяку на 7206 поправит ACL
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "ПРАВИЛЬНОЕ решение."
	Сообщение от fantom (??) on 09-Мрт-06, 10:17
	>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь >IP-MAC на c7206 и всё, даже если в ручную, то схема >по сути рабочая? > >ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи >ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, >где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё >зделат: >поставит привзяку на 7206 >поправит ACL Для этого надо: Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг, дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку, т.к. простое применение конфига не затрет работающий, а наложит один на другой. Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "ПРАВИЛЬНОЕ решение."
	Сообщение от Gnom (??) on 09-Мрт-06, 10:39
	>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь >>IP-MAC на c7206 и всё, даже если в ручную, то схема >>по сути рабочая? >> >>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи >>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, >>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё >>зделат: >>поставит привзяку на 7206 >>поправит ACL > >Для этого надо: >Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг, >дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку, >т.к. простое применение конфига не затрет работающий, а наложит один на >другой. >Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать? Вопрос о новом подключившемся к сети пользователе. замчем перегружать кошку? ACL достаточно снять с интерфейса и все. conf t no access-list extended Block-EXT access-list extended Block-EXT загрузитьт новый acl. exit arp IP mAC поставить привязку я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и сказал команды.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "ПРАВИЛЬНОЕ решение."
	Сообщение от Изгой (??) on 09-Мрт-06, 11:15
	>>>тогда, если port-secure забиндит МАК на порту коммутатора, нужно всего лишь забиндитьь >>>IP-MAC на c7206 и всё, даже если в ручную, то схема >>>по сути рабочая? >>> >>>ПОЯСНИТЕ ПОЖАЛУЙСТО, почему нельзя поумолчанию(при 1ом подключении к сети) запрещать при помощи >>>ACL доступ к внешним сетям(интернет) а оставить доступ к биллинговой системе, >>>где пользователь сможет тыкнуть кнопку "подключить услугу интернет" ---запустится скрпит всё >>>зделат: >>>поставит привзяку на 7206 >>>поправит ACL >> >>Для этого надо: >>Дать команду кошке слить конфиг, найти нужное место в конфиге, поправить конфиг, >>дать команду кошке взять конфиг с tftp, и желательно перегрузить кошку, >>т.к. простое применение конфига не затрет работающий, а наложит один на >>другой. >>Не задолбешся ли чтобы каждый пользователь мог тебе кошку перегружать? > >Вопрос о новом подключившемся к сети пользователе. >замчем перегружать кошку? >ACL достаточно снять с интерфейса и все. >conf t >no access-list extended Block-EXT >access-list extended Block-EXT загрузитьт новый acl. >exit >arp IP mAC поставить привязку >я вроде не вижу проблем, обычный перл скрипт, по telnet'у зашел и >сказал команды. А если пользователь отключился , перестал работать что будет ? Акл должен закряться после сессии сразу а то буде дырка .
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "ПРАВИЛЬНОЕ решение."
	Сообщение от Gnom (??) on 09-Мрт-06, 13:56
	нет. остается как есть. Я еще раз повторяю ЭТО ТОЛЬКО ОТНОСИТСЯ К ПЕРВОМУ ПОДКЛЮЧЕНИЮ ПОЛЬЗОВАТЕЛЯ К СЕТИ (ВОТ ЕМУ ВЕРЕВКУ ПРОВЕЛИ ВОТКНУЛИ ДЖЕК В СЕТЕВУХУ) Т.Е. идея в том что коммутотар САМ (без помощи админа) сможет зделать port-securety (привезать МАК к ПОРТУ) ДЛя полной безопатсности еще нужн опривязать IP -MAC на 7206 ... КАК мне показалось разумным. по умолчанию пользовательский IP находится в заблокированном состоянии В билинг вставить кнопку (одноразовую) на которую ламак тыкает, ему ставится привязка и правится ACL. А вообще на протежение всего полета, блокировать доступ в интернет я хочу спомощью ACL
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]