ограничаване на пирати?

[id]

Това последното не става

Може би ще трябва да сменям основния суич.

Нямам МАК филтър Пробвах със статично записвана на тези макове , само че на друг порт , ама пак не става.

Предложете суич 16 или 24 порт с 4 SFP порта , който да може да върши въпросната работа.

п.с. В момента ползвам един D-link DGS-1210-16

[byte]

Имаш, прави се с ACL-ите

[id]

Видях, точно това правя

Благодаря на всички за помоща

[id]

заложих капана с "голяма буца сирене" сочно и вкусно Редактирано 13 Март, 2012 от id

[kokaracha]

Това не е никакво решение,дори и временно било.Каква е гаранцията,че няма да пострада титуляра от тази политика,т.е този който може да си вземе потребителско име/парола няма да може да си смени мак-а.

Айде представи си следното да го онагледим,имаш заключена стая и ключ,който е от външната страна на вратата и всеки може да ти отваря вратата на заключената стая,каква е ползата от ключа.

[cdman]

Мрежата е доста добре сегментирана. На повечето места е порт базиран VLAN чак до сървъра , но не всички суичове са от най умните и не мога всеки път да виждам даден мак точно от кой порт на кой суич идва.

От скоро ползвам PPPOE и в началото уж за тест започнахме да раздаваме име и парола , които са същите като номера на стята в която е потребителя. Идеята беше основната защита да е по мак . Но както всяко временно нещо тази практика с юзъра и паролата остана постоянна. Всеки зне на другия името и паролата / много глупво , но факт който скоро ще оправя/

без да се налага да ползва снифер.

Това че PAP не е криптирана го занм , но и то остана поредното постоянно временно нещо.

Общо взето вече знам как НЕ трябва да се прави !

Та темата беше дали някой знае как мога да филтрирам тези МАКова , докато направя нещата като хората.

Така като чета сте се отказали от най-голямото предимство на PPPoE-то, а именно паролите. Защитата по MAC не е надеждна защото той лесно може да бъде сменен. USERNAME-ите може да ги оставиш да са същите, но паролите трябва да се сменят и то не с 123 . След което вързвате всички акаунти по MAC. Да малко по голяма играчка ще е - но е дългосрочно решение! Иначе филтър по мак и да направиш си е като да гониш вятъра. Ауторизацията задължително само по CHAT и MS-CHAP, MS-CHAP-v2 . PAP-a трябва да се изключи напълно.

[NetworkPro]

Аааааа, аха.

Най-тъпото, което се сещам:

вкарваш интерфейса в бридж, местиш ПППОЕ сървъра на бриджа и можеш да дропиш макове от филтъра на бриджа.

Това съм го ползвал - работи си отлично. Когато не исках бъгнат клиент да ми пълни логовете.