BiTel

много нового узнал. только зря. ибо DHCP Snooping защитит только от левого dhcp-сервера в сети

_________________
Клиент: вер. 7.0.806 / 29.04.2016 13:18:28 os: Windows 7; java: Java HotSpot(TM) Client VM, v.1.8.0_66
Сервер: вер. 7.0.1035 / 29.04.2016 13:17:38 os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_92

Далеко не только.

http://zyxel.ru/kb/1734
Это ZyXEL, аналогичные решения на коммутаторах Dlink.

Если быть точным, то используется связка DHCP Snooping с IP-MAC-Port Binding (в длинках).
DHCP Snooping отслеживает получение адреса клиентом с доверенного DHCP сервера и добавляет нужные IP-MAC-порт в список разрешенных. Т.е. разрешает трафик с клиента, получившего адрес. При этом, нормальному клиенту разрешается трафик на время аренды IP.
Остальной трафик блокируется. Впрочем, возможны варианты - есть режимы с контролем всего трафика или выборочно (только ARP например).
Стоит клиенту поставить чужой IP, его MAC оказывается в блок-листе. Стоит клиенту поставить вручную свой адрес - его MAC оказывается в блок-листе.

Данная схема ОЧЕНЬ успешно используется. Это гораздо эффективнее и удобнее ACL.

спорить можно бесконечно. ip source guard

_________________
Клиент: вер. 7.0.806 / 29.04.2016 13:18:28 os: Windows 7; java: Java HotSpot(TM) Client VM, v.1.8.0_66
Сервер: вер. 7.0.1035 / 29.04.2016 13:17:38 os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_92

Действительно, спорить можно бесконечно.
А вот проверить (попробовать) - достаточно 1 раз.
Попробуйте, соберите стенд и испытайте.

У меня в сети данная схема работает. Трафик шикарно блокируется и шикарно открывается. Используются как устройства доступа длинки DES30xx и DES32xx.
Управление - централизованное, веб-морда на сервере. Планирую прикрутить биллинг. Диспетчер в восторге (не надо ничего на свичах прописывать), монтеры также. Клиентам тоже проще - подключился и работай. Изменить параметры подключения клиента - легко и незаметно, клиент ничего и не замечает. Про конфликт IP можно забыть.
Раньше использовались ACL - недостатки выше перечислил.

у нас железки поумнее. все умеет. тоже счастливы

_________________
Клиент: вер. 7.0.806 / 29.04.2016 13:18:28 os: Windows 7; java: Java HotSpot(TM) Client VM, v.1.8.0_66
Сервер: вер. 7.0.1035 / 29.04.2016 13:17:38 os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_92

У вас, вероятно, используются ZyXEL(ы) как устройства доступа.
Да, в них DHCP Snooping в связке с IP Source Guard (в длинках это IP-MAC-Port Binding) дает тоже самое.
http://zyxel.ru/kb/2127

Выделенное - нам как раз и важно.

Технологии немного отличаются, но функционально практически тоже самое.
В общем, используем практически одинаковые схемы. Разница в железе и терминах. Думаю, это не принципиально.

Обсуждался вопрос как бороться с подменой IP. Т.е. иметь жесткую привязку Port = IP.
ACL неудобно и неэффективно (не блокируются левые ARP).

Я высказался, что DHCP Snooping в связке с "IP-MAC-Port Binding" или подобной - лучший вариант. И удобно и эффективно.
Вы работаете с ZyXEL, вероятно. Значит у вас DHCP Snooping в связке с IP Source Guard. Принципиальных отличий нет.

О чем спор?

Спасибо попробую.


сейчас нет привязки с БГБиллингом?

Нет, пока нет. Далеко не вся сеть на управлялках, так что пока рано.
А в принципе, сложностей не должно быть. Скриптовый шлюз, в параметрах клиента расположение свича и порт. При открытии записывает в базу.