Romchuk 10 Posted 2011-10-09 09:07:02 Share Posted 2011-10-09 09:07:02 Є клієнти зі статичними IP-адресами. Іп-адрес сервера 192.168.10.1 Буває що клієнт помилково вбиває в налаштуваннях замість свого айпі,айпі адрес сервера. Який найпростіший свіч може вирішити типо такої задачі http://dlink.ru/ru/faq/62/252.html ? Link to post Share on other sites
mr.Dream 164 Posted 2011-10-09 10:02:40 Share Posted 2011-10-09 10:02:40 хм. по ідеї, якщо така адреса вже є в мережі, то драйвер мережевої карти не повинен позволити її використати. Хоча таке в самого було 1 раз. А світчі то хіба що ставити всі такі, або розділити сегменти - але тоді в межах сегменту таке все рівно може трапитись. Вирішувалось дзвінком до клієнта і 3,14здюлями. (є база всіх mac-ів на всяк випадок) Link to post Share on other sites
Mobil 68 Posted 2011-10-09 10:20:35 Share Posted 2011-10-09 10:20:35 Нужно строить сеть полностью на управляемом железе или же использовать PPPoE + DHCP DROP Link to post Share on other sites
mr.Dream 164 Posted 2011-10-09 10:25:46 Share Posted 2011-10-09 10:25:46 угу. нужно все на цисках, джуниперах строить. оптика в канашке. на каждый ящик счетчик . круглосуточная техподдержка. а еще гарантированая скорость каждому абону. и при всем этом и других факторах "как нужно" давать соточку за чирик... Link to post Share on other sites
KaYot 3,730 Posted 2011-10-09 10:52:04 Share Posted 2011-10-09 10:52:04 На любом длинке такое можно сделать, 3526-3550-3100-3200 Link to post Share on other sites
Женёк 71 Posted 2011-10-09 11:10:07 Share Posted 2011-10-09 11:10:07 У меня та же проблема была, действительно, исправить никак не получается, разве что раздать DHCP Насчет свичей в центре тоже думал, если кто проблему такую решал, подскажите как? Link to post Share on other sites
max_m 92 Posted 2011-10-09 12:31:39 Share Posted 2011-10-09 12:31:39 У меня к примеру решается это примерно так , сеть побита на маленькие сегменты во главе каждого из них стоит RB250GS при появление конфликта с сервером присылается сообщение админу с МАС адресом нарушителя, далее админ находит сегмент и прописывает правило с указанным МАС и дропает его. После чего звонит клиент с фразой, а че у меня инет не пашет после чего ему доходчиво объясняют что он не прав. Можно конечно по другому решать к примеру в центе сети ставим L2 железку с возможностью создания черного списка МАС и поддержкой telnet пишем скрип для сервака который отслеживает таких правонарушителей и автоматом по telnet закидывает правило в L2. Link to post Share on other sites
Женёк 71 Posted 2011-10-10 05:52:04 Share Posted 2011-10-10 05:52:04 On 10/9/2011 at 12:31 PM, max_m said: У меня к примеру решается это примерно так , сеть побита на маленькие сегменты во главе каждого из них стоит RB250GS при появление конфликта с сервером присылается сообщение админу с МАС адресом нарушителя, далее админ находит сегмент и прописывает правило с указанным МАС и дропает его. После чего звонит клиент с фразой, а че у меня инет не пашет после чего ему доходчиво объясняют что он не прав. Можно конечно по другому решать к примеру в центе сети ставим L2 железку с возможностью создания черного списка МАС и поддержкой telnet пишем скрип для сервака который отслеживает таких правонарушителей и автоматом по telnet закидывает правило в L2. Да варианты не плохие... Кто еще может что сказать по этому поводу??? Link to post Share on other sites
Tux 24 Posted 2011-10-10 05:58:01 Share Posted 2011-10-10 05:58:01 когда то пользовался ipsentinel Link to post Share on other sites
Melanxolik 63 Posted 2011-10-10 07:23:54 Share Posted 2011-10-10 07:23:54 On 10/9/2011 at 9:07 AM, Romchuk said: Є клієнти зі статичними IP-адресами. Іп-адрес сервера 192.168.10.1 Буває що клієнт помилково вбиває в налаштуваннях замість свого айпі,айпі адрес сервера. Який найпростіший свіч може вирішити типо такої задачі http://dlink.ru/ru/faq/62/252.html ? Статика, это шутка??? On 10/9/2011 at 10:02 AM, mr.Dream said: хм. по ідеї, якщо така адреса вже є в мережі, то драйвер мережевої карти не повинен позволити її використати. Хоча таке в самого було 1 раз. А світчі то хіба що ставити всі такі, або розділити сегменти - але тоді в межах сегменту таке все рівно може трапитись. Вирішувалось дзвінком до клієнта і 3,14здюлями. (є база всіх mac-ів на всяк випадок) Да ну, а пробовали прописать один ip на linux и win машинке??? попробуйте, будут оба работать. On 10/9/2011 at 10:25 AM, mr.Dream said: угу. нужно все на цисках, джуниперах строить. оптика в канашке. на каждый ящик счетчик . круглосуточная техподдержка. а еще гарантированая скорость каждому абону. и при всем этом и других факторах "как нужно" давать соточку за чирик... ну зачем вы начинаете умничать? вам человек дело сказал, оптимальный вариант отслеживание таких ситуаций на умном железе или переход к pppoe, раздавайте адреса в сетку автоматом, а клиенты пусть поднимают отдельно соединения, дешево и сердито. Мне вот только одно интересно, а как вы тогда боретесь если сосед дружбану просто поставил у себя проксю или расшарил соединение и юзает теперь его инет, сидят в десятером, а платят за одного. Link to post Share on other sites
mr.Dream 164 Posted 2011-10-10 07:29:00 Share Posted 2011-10-10 07:29:00 On 10/10/2011 at 7:23 AM, Melanxolik said: сидят в десятером, а платят за одного. По перше, ставлю ліміт 200 сесій на клієнта, так що один торентщик завалить кайф всім халявщикам. а по друге з неплатниками в нас чітко - ноу мані, ноу хані - відключаєм кабель. Link to post Share on other sites
hillers 1 Posted 2011-10-10 07:54:22 Share Posted 2011-10-10 07:54:22 On 10/10/2011 at 5:52 AM, Женёк said: Да варианты не плохие... Кто еще может что сказать по этому поводу??? В L2 свитчах есть полезная фишка - на портах прописываешь arp-guard ip 192.168.xxx.xxx , защищает важные адреса от подмены. К примеру - Foxgate 6224 или 6208, Edgecore Link to post Share on other sites
Br0vaMan 4 Posted 2011-10-10 08:31:14 Share Posted 2011-10-10 08:31:14 On 10/10/2011 at 7:29 AM, mr.Dream said: On 10/10/2011 at 7:23 AM, Melanxolik said: сидят в десятером, а платят за одного. По перше, ставлю ліміт 200 сесій на клієнта, так що один торентщик завалить кайф всім халявщикам. а по друге з неплатниками в нас чітко - ноу мані, ноу хані - відключаєм кабель. Ну насчет 200 сесий ты загнул очень маленькое ограничение!! + ставить в ручную сеть бека! попробуй организовать сервер доступа на туннельном уровне типо PPPoE и гонять на туннельном уровне и сеть и интернет ip сам на туннели вешаешь Link to post Share on other sites
NiTr0 585 Posted 2011-10-10 08:33:53 Share Posted 2011-10-10 08:33:53 On 10/10/2011 at 7:23 AM, Melanxolik said: Да ну, а пробовали прописать один ip на linux и win машинке??? попробуйте, будут оба работать. Если маки разные - не будут. Если одинаковые - будут и даже 2 (3, 4, 5...) вин-машины будут. Если файрвол дропает все "чужие" пакеты. Link to post Share on other sites
Женёк 71 Posted 2011-10-10 13:00:59 Share Posted 2011-10-10 13:00:59 On 10/10/2011 at 7:54 AM, hillers said: On 10/10/2011 at 5:52 AM, Женёк said: Да варианты не плохие... Кто еще может что сказать по этому поводу??? В L2 свитчах есть полезная фишка - на портах прописываешь arp-guard ip 192.168.xxx.xxx , защищает важные адреса от подмены. К примеру - Foxgate 6224 или 6208, Edgecore т.е. на порту можно прописать разрешенные IP адреса и в случае если с сети вылезет левый IP он его просто не пропустит, правильно? Link to post Share on other sites
hillers 1 Posted 2011-10-10 13:22:02 Share Posted 2011-10-10 13:22:02 On 10/10/2011 at 1:00 PM, Женёк said: т.е. на порту можно прописать разрешенные IP адреса и в случае если с сети вылезет левый IP он его просто не пропустит, правильно? Да на портах клиентских прописываешь arp-guard ip 192.168.001.001 и если клиент по ошибке или специально поставит такой адрес, его пакеты отфильтруются Link to post Share on other sites
hellion 4 Posted 2011-10-10 18:25:50 Share Posted 2011-10-10 18:25:50 IP-MAC-Port Binding на 3200 серии работает отлично. а дроп левых DHCP http://dlink.ru/ru/faq/62/198.html читаем тут. стараюсь резать все на доступе. скажу что zyxel mes-3528, больше 100 масов если в бинде, то начинаються потери. Link to post Share on other sites
Женёк 71 Posted 2011-10-10 20:23:23 Share Posted 2011-10-10 20:23:23 On 10/10/2011 at 1:22 PM, hillers said: On 10/10/2011 at 1:00 PM, Женёк said: т.е. на порту можно прописать разрешенные IP адреса и в случае если с сети вылезет левый IP он его просто не пропустит, правильно? Да на портах клиентских прописываешь arp-guard ip 192.168.001.001 и если клиент по ошибке или специально поставит такой адрес, его пакеты отфильтруются а если у человека сеть тупая, но в центре стоит Л2, как в этом случае? Link to post Share on other sites
petrovi4 178 Posted 2011-10-10 20:32:28 Share Posted 2011-10-10 20:32:28 Как минимум сегментировать сеть. И L2 понятие очень обширное, мыльница кстати тоже L2 Ну а вобще opt82 штука полезная. Link to post Share on other sites
hillers 1 Posted 2011-10-11 07:02:46 Share Posted 2011-10-11 07:02:46 On 10/10/2011 at 8:23 PM, Женёк said: а если у человека сеть тупая, но в центре стоит Л2, как в этом случае? так же, прописываешь arp-guard ip 192.168.001.001 на всех портах, кроме того на котором висит сам 192.168.001.001 должно помочь Link to post Share on other sites
Romchuk 10 Posted 2012-01-16 17:09:29 Author Share Posted 2012-01-16 17:09:29 On 10/11/2011 at 7:02 AM, hillers said: On 10/10/2011 at 8:23 PM, Женёк said: а если у человека сеть тупая, но в центре стоит Л2, как в этом случае? так же, прописываешь arp-guard ip 192.168.001.001 на всех портах, кроме того на котором висит сам 192.168.001.001 должно помочь Наприклад на TL-SL2218WEB можна прописати ?Значить якщо клієнт міняє айпі на айпі сервера, то свіч просто задропить пакети.А в межах цього самого свіча.. як решта клієнтів будуть конектитись?Будуть конектитись на сервер, чи конектитись на цього клієнта в якого айпішка така сама як на серваку? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now