День добрый!

Нужен совет от ПРАКТИКОВ, желательно админов интернет-провайдеров.
Задача: предоставление интернета в общежитии. 13 этажей по 48 комнат.
Особенности: один порт на одну комнату, но в комнате может быть несколько абонентов с уникальными лицевыми счетами.

Сейчас на каждом этаже стоит по одному-двум коммутаторам DES-3016, DES-3028, объединяет их ProCurve J4900C Switch 2626. Он подключен к серверу BSD: isc-dhcpd (pool 10.10.16.0/20), mpd5 pptp. Клиент подключаясь к порту получает локальные настройки по dhcp напрямую от BSD. Далее через vpn pptp выходит в инет.

До сего момента все работало более-менее исправно. Но недавно столкнулись с проблемами в локальной сети: левые dhcpd, подмена ip шлюза BSD, loopback, вирусные/предномеренные рассылки и т.п. Все это приводит к тому, что абонент не может соединиться с сервером для поднятия vpn (иногда даже пинги не проходят).

Были произведены настройки: ограничение штормов, loopack detection, dhcp-snooping. Но как-то слабо помогает. К тому же резко увеличился поток звонков службу поддержи - "почему я не могу соединиться по vpn?" - все эти настройки либо блокируют трафик от абонента, либо как-то его корректируют.

Вот и подошли к самому вопросу! Как правильно создать/реорганизовать структуры сети, что бы при возникновении проблем со стороны абонента он:
1. не блокировался - пусть работает со своими вирусами, косяками и т.п.
2. не мешал абонентам на других портах

Дорогие и умные железки не предлагать, учесть что на одном порту могут работать несколько абонентов (до 3-4).

Спасибо!

1. Влан на порт / влан на свитч.
2. ARP Spoofing Prevention, DHCP Snooping, DHCP Screening, Loopback Detection, Traffic Control, Multicast Filtering, Unicast Forwarding (мак BSD прибить на аплинке свитчей).
3. ACL.


По-моему он не умеет ACL.


левые dhcpd — решается через DHCP Screening
подмена ip шлюза BSD — решается через ARP Spoofing Prevention + Unicast Forwarding
loopback — решается через Loopback Detection
вирусные/предномеренные рассылки — решается через ACL, DHCP Snooping, Traffic Control, Multicast Filtering
и т.п. — решается сегментацией L2 и L3



Пункты противоречат друг другу.

исправил. "не мешал абонентам на других портах"

2 SpiderX
Спасибо за развернутый ответ!


как это сделать?


можно подробней?


если такая функция не поддерживается коммутатором, страдает только пользователи конкретного vlan'а, на BSD это как-то отражается?


где почитать, что конкретно фильтровать или хотя бы список портов/протоколов/т.п.?

1. Определитесь с моделью вашей сетей. Влан на порт и влан на свитч — это разные вещи.
Сделать:
1.1. Создаете влан на свитче — create vlan vlan0002 t 2
1.2. Конфигурируете членство портов по влане — conf vlan vlan0002 add un 1-24, conf vlan vlan0002 add ta 25 (я предполагаю, что 1-24 порт — клиентские, 25 — аплинк).
1.3. Доводите влан до BSD, и терминируете там, создавая влан и сеть на нем.

2. Смотрите мак адрес на интерфейсе BSD, на котором будут созданы клиентские вланы.
И прописываете его на аплинке свитча для влана(ов) — create fdb vlan0002 <mac> port 25.
Учтите, что если будете менять mac адрес на BSD на свитчах его тоже придется менять. Лучше всего сразу написать скрипт, которому как аргумент передавать имя интерфейса BSD, которой на выходе будет создавать по SNMP на свитчах такую статическую запись в FDB таблице, но это уже дело вкуса.


Подробней — поищите по форуму про ARP Spoofing. Там для каждой модели своя логика и своя реализация. Я его не использую.
Делается через config arp_spoofing_prevention add gateway_ip <getaway на BSD> gateway_mac <mac BSD> port 1-24 (на счет port нужно уточнять, где-то это 1-24, где-то порт аплинка)
Про Unicast Forwarding я ответил выше.


Отражается.


Поиск по форуму, FAQ.

1) Повально сегментируйте всё и вся относительно ядра сети, по максимуму сегментируйте этажи друг от друга
2) На каждый этаж заведите отдельный VLAN и его так-же отсегментируйте отнисительно ядра.
Ещё лучше, если на этаже несколько свичей, заведите влан на свич и его отсегментируйте. В этом случае абоненты ничего друг с другом сделать не смогут.
3) переходите на PPPoE, ему срать на ARP атаки.

При выполнении первых 2-х пунктов:
Подмену IP шлюза решайте с помощью IPFW, это там решабельно. Как настроить - читайте в инете, мануалов вагон.


При правильно настройке IPFW, серверу будет грубоко фиолетово, что там у вас происходит.


Учитывая ваш парк железа, это можно будет сделать только на 3028
По портам, которые народ обычно отфильтровывает, написано тут: http://www.dlink.ru/ru/faq/62/240.html

Задача тривиальна, на имеющемся железе решабельна.

всем спасибо за ответы!


если перейти на PPPoE, то, как я понимаю, ip протокол не нужен. тогда вопрос; если у абонента включен ipv4 и на компе полно вирусов (широковещательные штормы) или карточка глюканула/петля (loopback), то будут возникать проблемы, когда из-за этого паразитного трафика другие абоненты не могут соединиться с PPPoE сервером и поднять VPN сессию?


первый раз об этом слышу. если в одной подсети находятся более одного абонента, то при присвоении одним ip шлюза, как BSD не настраивай трафик от другого абонента, в пределах одного коммутатора, пойдет на поддельный ip шлюза.

Именно так

Если вирусы/широковещалка - пофигу, PPPoE это же Point to Point Protocol over Ethernet, и насрать что он там по IP рассылает.
А вот по поводу петель - к этому вопросу PPPoE чуствителен, могут разрываться сессии внутри влана и петле. Но, в целом, повалная сегментация и разбиение VLAN на свич отчасти спасёт.

Ну и пусть идёт, абонент просто поднимет PPPoE и чхать ему на конфликту IP. Тем более, я настоятельно рекомендую всё сегментировать и делить сеть по принципу vlan на свич, в этом случае у вас такой проблемы вообще никогда не должно возникнуть.

В вашем случае есть смысл сразу перейти на схему VLAN-per-User, т.е. VLAN на абонента. У Вас получится их не так много:

Скорее всего их кол-во будет бОльшим, но всеравно не 4k, так что внедряйте

P.S. Сюда гляньте, может чего почерпнете.

_________________
с уважением, БП

Спасибо всем за развернутые ответы!

Тут вот какая мысль возникла: если мы начнем раздавать по WI-FI, то VLAN-per-User возможно как-то применить?

еще вопрос: указанное выше железо может с dhcpd или каких-нибудь других сервисов автоматом на порту назначать пользователю vlan?

Если будете использовать оффтопиковое железо, то, ЕМНИМС, максимум 16 VLAN, т.е. 1 VLAN управления + 15 пользовательских VLAN и в случае с WiFi, поверьте, 8-15 юзеров - это оптимально, а на большее кол-во расчитывать не надо, т.к. WiFi их, попросту, не вытянет. Сюда еще можете глянуть, но на кол-ве юзеров это не скажется, только на фичастости.


Нет, создавайте VLAN-ы статически. Вам будет удобнее работать. Если страшно хочется полнейшей, тотальной динамики - это у Cisco это называется ISG, а у Ericsson, ЕМНИМС, CLIPS, но это не только вне вашего бюджета, но и, в общем то, из пушки по воробьям.

P.S. И еще раз, для закрепления - для WiFi оптимальным кол-вом юзеров на одну точку явлется 16. Не стойте иллюзий - сеть будет лучше работать

_________________
с уважением, БП