ip port mac bind
Добавлено:
16 янв 2012, 16:00 Андрей
Привет всем.
Хотел бы узнать каким образом сабж можно реализовать на серверах с БСД? На сегодняшний день я не понимаю как осуществляется выход клиента через сервер.
Заранее благодарен за ответ.
Re: ip port mac bind
Добавлено:
18 янв 2012, 12:20 lehisnoe
Привет!
Андрей писал(а):каким образом сабж можно реализовать на серверах с БСД?
Я не встречал подобных реализаций в силу того, что на серверах, как правило, достаточно малое кол-во сетевых портов (1-4).
IMPB обычно реализуется на коммутаторах. Тут описание
IMPB от DLINK
Re: ip port mac bind
Добавлено:
19 янв 2012, 18:23 Андрей
D-link нет возможности использовать. Буду использовать cisco. Меня интересует именно доступ клиента в инет.
В идеале, как я понимаю, делается это так:
1. Сервер доступа является default-gateway для клиентской подсети.
2. На сервере доступа организуется nat, который и выпускает клиентов в сеть.
Но это топорный вариант, я так понимаю. Тут нет явного AAA. Учет трафика - ну допустим мы его снимем с nat-ip. Далее, в системе не ясно кто раздает ip клиентам, свитч, dhcp сервер? Опять же, как быть с подменой мака. В идеальном варианте было бы не плохо реализовать dhcp с опцией 82, но не понимая предыдущий пункт очень трудно понять как это будет работать. И еще вопрос - стоит ли вообще переходить на эту технологию? Да, я понимаю настроек меньше, никаких pptp/pppoe не создаются - "на конце кабеля интернет", но менять парк свитчей под эти действия я не вижу необходимым. Или я не прав?
Re: ip port mac bind
Добавлено:
20 янв 2012, 09:05 root
Андрей писал(а):Далее, в системе не ясно кто раздает ip клиентам, свитч, dhcp сервер?
как настроишь, cisco умеет быть DHCP сервером
Андрей писал(а):Опять же, как быть с подменой мака.
IP source guard – функция защиты от подмены IP адреса. Данная функция реализуема только на линейках коммутаторов Cisco Catalyst начиная с серии 3560.
Суть IP source guard заключается в том, что данная функция создает мини список доступа на том интерфейсе, с которого ушел DHCP запрос. Данный список доступа содержит в себе одну запись, которая разрешает исключительно тот IP и MAC адрес, который был выдан устройству DHCP сервером. Так, например, если устройство на порту fa0/10 динамически получило адрес 192.168.1.85, то только этот адрес и только с этого порта сможет использовать ресурсы сети. Если злоумышленник или пакостный сотрудник, захочет изменить его вручную, допустим на IP адрес шлюза 192.168.1.254, коммутатор с правильно настроенной функцией IP source guard откажет ему в доступе в сеть.
xgu.ru/wiki/IP_Source_GuardConfiguring DHCP Features and IP Source Guard - CiscoDHCP snoopingDHCP Snooping - CiscoUnderstanding and Configuring DHCP SnoopingHow to configure DHCP Snooping in a Cisco Catalyst Switches