faq обучение настройка
Текущее время: Ср авг 20, 2025 08:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Вопросы касательно привязки IP-MAC
СообщениеДобавлено: Чт сен 24, 2009 13:07 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Собственно планируем отказаться от IP-MAC-PORT-Binding
в пользу IP-PORT-Binding как описано тут http://dlink.ru/ru/faq/62/236.html
Цель такая:
1-Автоматически выдавать адрес по DHCP согласно порту(с этим разобрались)
2-Вручную из биллинга (соответсвенно биллинг лезет на свич по SNMP)
включать каждому абоненту привязку IP-PORT. Чтобы абонент не имел возможности сменить адрес на какой либо другой.
Соответсвенно биллинг должен видеть статус привязки.
МАС адрес контролировать не нужно.

Свичи используем DES 3526 и 3028.

Есть несколько вопросов
1-Просьба Длинку -вышлите описание создания подобных ACL по SNMP (howto) (если надо -запрошу в другой теме)

Далее собсвенно вопросы
1-Как это будет работать с DHCP opt 82?
Насколько я понимаю проблем быть не должно - релей отрабатывает до ACL и абоненты будут получать адрес без проблем
2-Как будут работать роутеры?
Поясню - у нас тип подключения DHCP -локалка и PPPOE интернет.
Соответсвенно роутеры у которых нет адреса на локалку будут иметь адреса обычно 0.0.0.0 В IPMB для таких случаев есть опция Allow Zero IP. Правильно ли я понимаю что нужно будет добавлять правила в ACL для пропуска адресов вида 0.0.0.0 ?
3-Нужно каким либо образом по SNMP иметь возможность смотреть статус подобной привязки. Если у IPMB есть соответсвующие MIB-ы просмотрев которые можно отобразить в биллинге статус привязки по соответсвующему порту, а также связку. То как быть в этом случае?

4-Кто нибудь делал подобное? Было б здорово получить некое howto.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2009 17:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
1. Да, DHCP Relay отрабатывает раньше ACL. Соответственно, IP адреса будут клиентом получаться, а значит разрешающего правила для 0.0.0.0 не должно требоваться.
2. Что касается вида привязок то можно, например, в правиле задавать его access_id равным номеру порта, а по snmp опрашивать значение source_ip для этого access_id - это позволит наглядно видеть связку.
P.S. SNMP How-To я Вам выслал. Ознакомьтесь, пожалуйста, и сообщите по результатам.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 25, 2009 02:18 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
ну в таком случае абонент спокойно сможет распространять любой L2 трафик если я не ошибаюсь.

в том числе и любые ARP пакеты, не боитесь что он нагадит в ARP таблицу вашего L3 или любым другим клиентам?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 25, 2009 17:21 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Уфф что то не получается

делаю вот что:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 50

Судя по how to должно выглядеть так:

#snmpset -v2c -c priv 10.40.5.53 1.3.6.1.4.1.171.12.9.1.2.1.3.50 i 4 1.3.6.1.4.1.171.12.9.1.2.1.4.50 a 255.255.255.255 1.3.6.1.4.1.171.12.9.2.2.1.19.50 i 4
Error in packet.
Reason: commitFailed
Failed object: SNMPv2-SMI::enterprises.171.12.9.1.2.1.3.50

И вообще все примеры которые вы прислали не работают на 3526


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 09:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А какая у Вас версию прошивки на коммутаторе?
Я проверил на 6.00.B26 - у меня по How-To все корректно работает. Что касается DES-3028 - там другая документация, ее я Вам тоже высылал.

А вообще "create access_profile ip source_ip_mask 255.255.255.255 profile_id 50" будет выглядеть так:
snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.171.12.9.1.2.1.3.50 i 3 1.3.6.1.4.1.171.12.9.1.2.1.4.50 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.19.50 i 4


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 13:15 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
6.00.B25

может быть не то how to выслали?
В howto сверху написано про прошивку аж 4 версии.

На 6.00B25 по вашему коду(ну единственное адрес свича и коммьюнити у меня другие)
вижу вот что
# snmpset -v2c -c priv 10.40.6.250 1.3.6.1.4.1.171.12.9.1.2.1.3.50 i 3 1.3.6.1.4.1.171.12.9.1.2.1.4.50 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.19.50 i 4
Error in packet.
Reason: inconsistentValue (The set value is illegal or unsupported in some way)
Failed object: SNMPv2-SMI::enterprises.171.12.9.1.2.1.19.50


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 13:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Я тестировал как раз по тому How-to, что Вам высылал.
Пришлите, пожалуйста, мне конфигурационный файл устройства целиком - я проанализирую ситуацию более подробно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 01, 2009 14:39 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Спасибо разобрался.
При всем уважении к технической поддержке Д-линка - а она отличается высокой квалификацией, читать такое howto - мозг сломаешь. Половина oid-ов в описании одна, в тут же приведенном примере совсем другая, в соседнем файле howto третья.
В итоге разобрался конечно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 01, 2009 15:02 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Что касается How-To для различных моделей, то OID'ы естественно могут отличаться. Структура How-To такова, что обычно сначала приводится описание всех OID, которые могут потребоваться, а уже в конце приводятся примеры основных операций. Если Вы обнаружили какое-либо несоответствие действительности в рекомендациях по настройке той или иной функции в этих мануалах, пожалуйста, отпишите мне о них на почту и мы их устраним.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 16:36 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
И еще вопрос
Я так понимаю данная связка не блокирует трафик ARP?
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 50
create access_profile ip source_ip_mask 0.0.0.0 profile_id 60

config access_profile profile_id 50 add access_id auto_assign ip source_ip 10.20.3.50 port 19 permit
config access_profile profile_id 60 add access_id auto_assign ip source_ip 0.0.0.0 port 19 deny


после этого арпингом с линукс машины клиент продолжает пинговаться.


Ну и попутно вопрос: Как реализовать чтобы и ARP пакеты блокировались?
Основная цель -чтобы абоненты не меняли адреса вручную на адрес другого абонента или шлюза


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 18:00 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Да, такая связка ARP трафик блокировать не будет, т.к. работает по протоколу IP.
Если заблокируете ARP - про пинги можно будет забыть, про связь тоже, глюков не оберётесь, проверяли уже.

Чтобы они не ставили адреса шлюза - используйте механизм ARP Spoofing Prevention
Чтобы не ставили себе адреса других клиентов - используйте IP-MAC-Port Binding DHCP Snooping (opt 82)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 19:08 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Адрес абоненты будут получать по dhcp_relay opt82
тут проблем нет
Кроме того интернет идет по PPPOE

IP-MAC-Binding не подходит. Во первых не хочу контролировать МАК адрес. Во вторых нет желания обязательно настраивать тех клиентов что не настроились сами.В третьих надоели глюки из за того что игрушки и некоторый софт типа касперского рассылает броадкастовые пакеты вида 10.20.25.255 и IPMB кладет порт а не просто блочит невалидные пакеты.
Планирую сделать так:
1-Сначала идут правила разрешающие адреса вида 169.254
(чтобы абоненты по какой либо причине не получившие адрес могли подкючить PPPOE)
2-Далее вручную(а фактически скриптом из биллинга) разрешить соответсвующие IP адреса на соответсвующие порты
3-Ну и запретить все остальное

Таким образом если абонент настроит себе ип соседа или шлюза -у него ничего работать не будет, если по какой либо причине он не видит сервера -то он просто не получит адрес, останется без локалки но сможет подключить инет с PPPOE.
Ну и конечно можно выставить тот же адрес вручную

Но то что арп траффик не будет блочится -плохо
и конфликты будут у юзов и ип шлюза они смогут поставить.

А почему плохо? поясни?
Откуда глюки?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 20:27 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
Negator1983 писал(а):
1-Сначала идут правила разрешающие адреса вида 169.254
(чтобы абоненты по какой либо причине не получившие адрес могли подкючить PPPOE)

для ПППоЕ не нужен IP

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 20:54 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Цитата:
IP-MAC-Binding не подходит. Во первых не хочу контролировать МАК адрес. Во вторых нет желания обязательно настраивать тех клиентов что не настроились сами.


Если он получит от DHCP сервера ответ - абонент настроен и в биндинге будет уже фигурировать. и не надо клиентов настраивать, их DHCP настроит сам: невалидный клиент - невалидный ип клиенту, валидному валидный.

Если вы не будете контролировать мак-адреса, хоть как-то, хоть на DHCP, хоть статик-биндингом - у вас скоро начнутся большие проблемы.

Так-же биндинг ведёт логи, если вы будете работать с ACL - никакого отчета вы никогда не получите.

+ к этому, вы не собираетесь контролировать мак-адреса. А рассмотрите такую ситуацию: я вот себе возьму, и поставлю pppoe сервер, и просниферю кучу паролей, и будут сидеть бесплатно!
Да, вы сможете зарезать PPPoE пакеты с моего сервера, но никто не будет мне запрещать ставить себе МАК адрес PPPoE сервака.

Цитата:
для ПППоЕ не нужен IP

+1

IP протокол вам нужен чтобы клиенты на биллинг попадали, или локалкой пользовались, больше смысла в нём нет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 06, 2009 14:34 
Не в сети

Зарегистрирован: Вт окт 06, 2009 14:17
Сообщений: 6
Добрый день, нехотел создавать новую тему, хотя возможно она и не понадобитсья :) Подскажите пожалуйста, интересует вопрос такого характера: есть сеть на 50+ человек нужен контроль MAC адресов пользующихся интернетом, возможно ли реализовать их контроль через DES-3010G ( через IP-MAC-Port binding) , тоесть вручную вводит те которые будет пропускать в интернет или дальше в сеть... в сети все коммутаторы неуправляемые... просто мечусь между Zyxel ES-2108 в котором: (Контроль доступа по МАС-адресу:
*Фильтрация пакетов по МАС-адресам на каждом порту (до 256 записей)
*Привязка MAC-адреса к порту (до 256 записей)

*Ограничение количества динамических MAC-адресов на каждом порту
*Автоматическое изучение и запись всех MAC-адресов подключенных устройств (MAC Freeze)
_________________________________________________________
просто если это в DES-3010G есть то не вижу смысла переплачивать за Zyxel
Спасибо!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB