ip port mac bind

Все остальное

ip port mac bind

Сообщение Андрей » 16 янв 2012, 16:00

Привет всем.
Хотел бы узнать каким образом сабж можно реализовать на серверах с БСД? На сегодняшний день я не понимаю как осуществляется выход клиента через сервер.

Заранее благодарен за ответ.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: ip port mac bind

Сообщение lehisnoe » 18 янв 2012, 12:20

Привет!
Андрей писал(а):каким образом сабж можно реализовать на серверах с БСД?
Я не встречал подобных реализаций в силу того, что на серверах, как правило, достаточно малое кол-во сетевых портов (1-4).

IMPB обычно реализуется на коммутаторах. Тут описание IMPB от DLINK
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ip port mac bind

Сообщение Андрей » 19 янв 2012, 18:23

D-link нет возможности использовать. Буду использовать cisco. Меня интересует именно доступ клиента в инет.
В идеале, как я понимаю, делается это так:
1. Сервер доступа является default-gateway для клиентской подсети.
2. На сервере доступа организуется nat, который и выпускает клиентов в сеть.
Но это топорный вариант, я так понимаю. Тут нет явного AAA. Учет трафика - ну допустим мы его снимем с nat-ip. Далее, в системе не ясно кто раздает ip клиентам, свитч, dhcp сервер? Опять же, как быть с подменой мака. В идеальном варианте было бы не плохо реализовать dhcp с опцией 82, но не понимая предыдущий пункт очень трудно понять как это будет работать. И еще вопрос - стоит ли вообще переходить на эту технологию? Да, я понимаю настроек меньше, никаких pptp/pppoe не создаются - "на конце кабеля интернет", но менять парк свитчей под эти действия я не вижу необходимым. Или я не прав?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: ip port mac bind

Сообщение root » 20 янв 2012, 09:05

Андрей писал(а):Далее, в системе не ясно кто раздает ip клиентам, свитч, dhcp сервер?

как настроишь, cisco умеет быть DHCP сервером

Андрей писал(а):Опять же, как быть с подменой мака.

IP source guard – функция защиты от подмены IP адреса. Данная функция реализуема только на линейках коммутаторов Cisco Catalyst начиная с серии 3560.
Суть IP source guard заключается в том, что данная функция создает мини список доступа на том интерфейсе, с которого ушел DHCP запрос. Данный список доступа содержит в себе одну запись, которая разрешает исключительно тот IP и MAC адрес, который был выдан устройству DHCP сервером. Так, например, если устройство на порту fa0/10 динамически получило адрес 192.168.1.85, то только этот адрес и только с этого порта сможет использовать ресурсы сети. Если злоумышленник или пакостный сотрудник, захочет изменить его вручную, допустим на IP адрес шлюза 192.168.1.254, коммутатор с правильно настроенной функцией IP source guard откажет ему в доступе в сеть.

xgu.ru/wiki/IP_Source_Guard
Configuring DHCP Features and IP Source Guard - Cisco
DHCP snooping
DHCP Snooping - Cisco
Understanding and Configuring DHCP Snooping
How to configure DHCP Snooping in a Cisco Catalyst Switches
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28