D
Size: a a a
2020 September 08
p
пары svid cvid де факто и есть идентификатор пользователя при вланперюзер
MM
привет.
планирую использовать режим
mode=L2,shared=1,ifcfg=1,start=up,ip-unnumbered=1
т.е. старт по первому пакету, клиентам статика, авторизация в LB по IP, VLAN общий.
Подскажите как можно клиентам запретить брать чужие адреса статикой, ведь по сути Framed-IP-Address == User-Name и LB даёт access accept если находит IP в учётной записи. Понимаю что это кривой дизайн, но QinQ тут пока нет возможности сделать целиком сейчас.
на доступах D-Link, попробовал функционал address_binding в режиме arp_inspection и strict, связку коммутатор заблокировал, но первые пакеты всё равно на BRAS долетели и он стартанул сессию по "чужому" IP.
планирую использовать режим
mode=L2,shared=1,ifcfg=1,start=up,ip-unnumbered=1
т.е. старт по первому пакету, клиентам статика, авторизация в LB по IP, VLAN общий.
Подскажите как можно клиентам запретить брать чужие адреса статикой, ведь по сути Framed-IP-Address == User-Name и LB даёт access accept если находит IP в учётной записи. Понимаю что это кривой дизайн, но QinQ тут пока нет возможности сделать целиком сейчас.
на доступах D-Link, попробовал функционал address_binding в режиме arp_inspection и strict, связку коммутатор заблокировал, но первые пакеты всё равно на BRAS долетели и он стартанул сессию по "чужому" IP.
ну тогда acl на свитчах писать и ими разрешать связку mac+ip
E
ну тогда acl на свитчах писать и ими разрешать связку mac+ip
ну это те же самые address_binding, костыли( сейчас сделал чтобы радиус проверял IP+MAC в auth пакете и при этом на коммутаторе приходится включать address_binding ip+mac+port, буду думать как уйти на QinQ т.к.это всё временно.
MM
Привязка к маку лишний гемор
+
S
ну тогда acl на свитчах писать и ими разрешать связку mac+ip
Обычно такие ацл не фильтруют арп
E
ну вот ща в длинке подсказали в чём разница двух режимах arp_inspection и ip_inspection
По арп порт блочится если абон плюнул арпом с левыми реквизитами. Блок или до правильного арпа или до снятия блока админом. Контролируются только арп пакеты. По ип - пропускаются только пакеты (все), летящие с разрешенныими мак и ип отправителя. Все остальное дропается (железячно, проц не грузится. По сути, разрешающий acl).
По арп порт блочится если абон плюнул арпом с левыми реквизитами. Блок или до правильного арпа или до снятия блока админом. Контролируются только арп пакеты. По ип - пропускаются только пакеты (все), летящие с разрешенныими мак и ип отправителя. Все остальное дропается (железячно, проц не грузится. По сути, разрешающий acl).
MM
Обычно такие ацл не фильтруют арп
у d-link достаточно мощьные acl и arp можно прирезать
MM
@themiron привет, вопрос, а sstp сервер можно спрятать за таким сервисом как cloudflare , т.е. задача такая чтобы не знали где физически стоит сервер, не смогли по ip узнать место.
VG
@themiron привет, вопрос, а sstp сервер можно спрятать за таким сервисом как cloudflare , т.е. задача такая чтобы не знали где физически стоит сервер, не смогли по ip узнать место.
да
D
@vladimirfert я не уверен, но попробуйте указать -DCMAKE_INSTALL_PREFIX=/usr без
/ в конце