Hi, All!
~~~~~~~~
Короче, есть домашняя сетка на 40 машин, есть канал в инет (платим за траффик). Есть проблема того, что люди могут изменить пару IP-MAC и тратить чужие деньги. Видимое решение: VPN (например MS PPTP - есть у всех и работает везде :) ) от клиента до рутера (а дальше в инет). Проблема - как отсечь людей лезущих без VPN через этот рутер???
Проблема в том, что этот рутер стоит в центре "звезды" и люди на одном луче "звезды" должны свободно общаться с людьми на другом луче. То есть меж лучами пакеты идут: 10.1.1.0/24 -> 10.0.0.1/32 -> 10.2.1.0/24 и обратно. (В центре, рутер) А в инет идут 10.1.1.0/24 -> 10.0.0.1/32 -> MASQ -> 0/0.
Если видимое решение реализовать, то можно решить до фига разных проблем домашних сетей: учет траффика не по IP, а по login'у, динамическое выделение IP, невозможность "подсиживания" соседа.
P.S. Надеюсь тема интересная не только мне
(GalaxyMaster) // D$C
а может взять роутер вумный. Да сказать ему чно вот на этом порту
тока такой arp и тока такой ip. По моему каталист от cisco без проблем
решает такие задачи , он же и всю таблицу заморозит ?
Да вы не понимаете, как мне быть с мобильными клиентами??? С теми, кто сменяет постоянно ноуты, просто с людми ходящими к друг другу в гости?? Привязка к IP/MAC - это анахронизм (вспомните привязку совковых программ к чексумме биоса машины - купил программу - и все повязан ни комп поменять, и т.д.)... Я хотел добится именно _мобильности_ клиентов и универсальности...
но есть люди, коие это уже реализовали... По крайней мере мне на мыло пришле дельные советы... =)))
А по-поводу свича... =))) Как ты себе представляешь схему сети охватывающую 20 домов??? когда хабы стоят на этажах в щитках???
=))
Да... послушать 3COM или Cisco _как_ надо строить сети - клево, только в России в домашних сетях - это не канает...
Да было уже решение: получают DHCP-адрес, залогиниваются на роутре,
там вместо шела - программа, поднимающая masq и счетчик траффика на
IP вощедшего. Проблема при этом одна - надо как-то закрывать этот IP
во вне при долгой неактивности, чтобы при вновь вошедшему не был
доступ, хотя опять же можно привязать ПОСЛЕ захода в эту прогу MAC.
Я не понял - 40 машин или 20 домов?
Разница все-таки немалая.
Приязка MAC к порту на свитче -- это не анахронизм в правильное решение.
Можешь, конечно, понаоткрывать PPTP и делать через это...
Только это изврат...
Хотя, если нет другого решения....
А! Можно не PPTP а PPPoE сделать.
Тоже вариант кстати.
Берем у cisco на всякие этажи свитчи с модулями isl
самый дешевый 12-портов 1000 баксов!
В центр савим тоже от циско свичь с isl & layer3 надо сказать
недешевая штука минимум от 6000 баксов!
Теперь схема на свичах делаем Vlan-ы по портам свича !
Транки заводим на центральный swith layer3!
На центральном свитче каждому Vlan-у прописываем что дефаулт
адресс такойто Например Vlan2 (192.168.2.0/24) default gw 192.168.2.1/24
для 192.168.2.0/24 default qw 192.168.2.1/24!
Теперь на этом default поднимаем кучу алиасов или second ip!
с масками /24 ! Во всех свичах по дефаулту уже будет Vlan1 для
Vlan1 на роутере не пишем gw для пущей секьюрности! И на роутере
для Vlan1 непишем никакой маршрутизации!
Теперь еще заставим центральный свич роутить пакеты между Vlan-ами
:-) чтобы-звери могли пинговать друг друга !
Ну а теперь самое главное!
Ежели юзер сидит в Vlan2 с ip 192.168.2.5 то gw 192.168.2.1/24
Если юзер меняет ip на другой сети 192.168.3.5 то gw у него обламывается
так-же обламывается и роутинг в другие Vlan!
Ну а мак адресса нипричем останутся :-) !
Так что каждому зверю по Vlan -у а дальше пусть что хочет то и творит!
И считать траффик по сеткам на юзверов !
PS: Я долго рылся на тему Vlan-ов должно работать ! Но вот мя контора
даже недала денег на 3com layer3 блин всего-то 3000 баксов :-(
так-что на практике это я нереализовал :-( все теория !