Имеется железка IES-2k, 1 плата MSC-1k, 5 плат ALC-1k.
Вообще соществует нормальные решения для провайдинга на такой железке?
Что максимум мне удалось добится:
Ограничить пользователя по MAC - на порту можно - естественно по IP нельзя.
Проверять MAC+IP можно на ближайшем маршрутизаторе. (например: Cat 3550 со статик ARP или Linux+Bridge patch)
Ну и разберать все эти пакеты и заносить в биллинг. (Это делается легко.)
Как всё это обойти:
Ну например попытки поменять MAC+IP не привидут на стороне пользователя к ни к чему - интернет работать не будет. (Фильтруемся по МАС на IES-2k и связку проверяем на маршрутизаторе).
На стороне провайдера можно насолить например попытавшись много-много раз поставить его IP адрес :-) Не суть важно.
Так-же есть ещё решения PPPoE но не очень конечно они меня радуют - например узнав имя и пароль другого пользователя можно поработать за его счёт - и по выше указанной схеме всё будет работать.
Может есть что-то похожее на IES-2k по количеству портов но не Layer2 а Layer 3?
Что-бы фильтровать пользователя уже на порте по IP+MAC.
Вообще соществует нормальные решения для провайдинга на такой железке?
Что максимум мне удалось добится:
Ограничить пользователя по MAC - на порту можно - естественно по IP нельзя.
Проверять MAC+IP можно на ближайшем маршрутизаторе. (например: Cat 3550 со статик ARP или Linux+Bridge patch)
Ну и разберать все эти пакеты и заносить в биллинг. (Это делается легко.)
Как всё это обойти:
Ну например попытки поменять MAC+IP не привидут на стороне пользователя к ни к чему - интернет работать не будет. (Фильтруемся по МАС на IES-2k и связку проверяем на маршрутизаторе).
На стороне провайдера можно насолить например попытавшись много-много раз поставить его IP адрес :-) Не суть важно.
Так-же есть ещё решения PPPoE но не очень конечно они меня радуют - например узнав имя и пароль другого пользователя можно поработать за его счёт - и по выше указанной схеме всё будет работать.
Может есть что-то похожее на IES-2k по количеству портов но не Layer2 а Layer 3?
Что-бы фильтровать пользователя уже на порте по IP+MAC.