faq обучение настройка
Текущее время: Чт мар 28, 2024 15:27

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
СообщениеДобавлено: Чт ноя 19, 2015 18:30 
Не в сети

Зарегистрирован: Чт ноя 19, 2015 17:53
Сообщений: 2
Здравствуйте, бьемся уже вторую неделю над следующей проблемой:
Имеются несколько DES-1210-28 (Firmware Version 5.20.011 / Hardware Version A1)

Задача - ограничить прохождение через клиентские порты пакетов только из разрешенной подсети (192.168.0.0/20) и запретить пакеты из других подсетей (юзеры воруют маки серверов и хостов пропущенных в интернет мимо биллинга). Возможности привязать маки к конкретному порту нету, т.к. к сожалению DES-1210-28 используются как свичи агрегации а не доступа из-за финансовых ограничений организации и за ними расположденно много мыльниц.

По советам и примерам на этом форуме прописываю в командной строке следующие правила

create access_profile profile_id 2 ip protocol_id_mask 0x00 source_ip_mask 255.255.240.0
config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 ports 1-24 permit
(разрешаю прохождение пакетов из подсети 192.168.0.0/20)

create access_profile profile_id 50 ip protocol_id_mask 0x00 source_ip_mask 0.0.0.0
config access_profile profile_id 50 add access_id 50 ip protocol_id 0 source_ip 0.0.0.0 ports 1-24 deny
(запрещаю все остальное)

В результате пользователи использующие мак-адрес например веб-сервера получают от ДХЦП ip и пользуются интернетом паралельно с сервером, частично теряются пакеты как от пользователя так и от сервера.

Мы явно что-то делаем не так. Если есть возможность подскажите в чем дело. Спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 20, 2015 13:01 
Не в сети

Зарегистрирован: Сб авг 04, 2007 13:42
Сообщений: 116
Я бы Вашу проблему решал на уровне биллинга.
Привязка серверов по IP+MAC для интернета, естественно статика для серверов, и исключение этих айпишников из пула DHCP.
Подстановка мак от сервера не даст ровным счетом ничего, кроме нарушение стабильности работы самого сервера из-за одинаковых маков в таблице у свитчей.
Подстановка IP+MAC вообще положит сервер)) Чему никто рад не будет


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 22, 2017 16:00 
Не в сети

Зарегистрирован: Чт ноя 19, 2015 17:53
Сообщений: 2
Подниму тему, проблема остается


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 22, 2017 18:25 
Не в сети

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow
дурь всё это.

прямое решение проблемы - разбейте сеть на вланы.
каждый неуправляемый сегмент должен оказаться в своём влане.
далее на роутере привяжите абонентские ипы к соответствующим вланам.
в итоге, воровать инет они смогут только у своих соседей-по-мыльнице.

есть ещё более правильное решение - внедрить пппое.
для мыльниц это наиболее безопасный вариант, возможность воровать инет исчезнет вовсе.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB