Чем плох интернет через VPN

[alex444]

рассмотрим сферического коня в вакууме

ты прекрасно знаешь, что у меня он вовсе и не сферический. ,)

 

[Viking]

небольшой ЗІ: для меня первоочередное мнение абонентов, так вот біли случаи, когда они приятно удивляли отсутствию БДСМоЕ соединения... никто, заметьте, никто не сказал, хочу бдсмое!

варианты авторизации?

привязка к маку?
шейпинг на порту свича?
IEEE802.1X ?

 

[Viking]

Ну вот возьмем замечательную сеть ДатаСвит. Любой школьник с уровнем развития лучше "буратино" - мог очень долгое время сидеть в инете за чужой счет. Все сетевики знают этому причины.
VPN-авторизация, уже как минимум не так проста для взлома, и чаще всего была самодостаточно. И если кого и ломали - то как правило по халатности самого абонента: дыры в ОС, умыкнутые пароли и т.д. Но это уже была достаточная форма контроля того, что дядьки которые заплатили деньги - могли быть спокойными что эти деньги тратятся не всеми школьниками района, пока они спят.

2002-2004 года... управляемого железо толком вообще не было. А если и было- то это было скорее ПК-решение, чем аппаратный свитч..... а соответсвенно на всех домах сурикомы/планеты L1\L2 (без управления).... если вообще не тупые хабы.
Как привязать конфиденциальность данного абонента?
авторизация по ip\mac - дык меняеться за 10 секунд оба параметра школьником в винде.
ACL-связки - требует дорого железа на тот момент
привязка порт/мак - аналогично дорогую железку на уровень доступа
802.1X -аналогично...

Вот от слишком высокой стоимости "управляемого порта" на уровне доступа и получило массовость VPN-авторизация.
Сейчас уже трагикомично далее строить сеть на этом... разве что предоставление услуг через "чужие" транспортные потоки, не подконтрольные Вам - тогда да есть смысл оного решения.

всё плохо.
а вариантов, что делать - так и не услышал...

 

[Viking]

это потому, что всем самзнаешькак!

да?

а тут кое-кто написал "небольшой ЗІ: для меня первоочередное мнение абонентов, "
ему наверно совсем неСамиЗнаетеКак

 

[Viking]

намекаем на противоречие?
а его нема!
на абонентов не самизнаетекак, а вот на потоки теоретического подсознания про цоды и коммутаторы 10-го уровня на фоне всеобщей деградации и культа чирика, очень даже и самизнаетекак!

ну так чо.
как с VPN бороться буим ?

 

[Viking]

А смысл борьбы с ним? Если сеть планировалось/строилась какое-то время назад и там есть авторизация через VPN, то мало вероятно, что кто-то будет "через колено" ломать все и вся.... ну разве что ТриОлени снова захотят поиздеваться над абонентами - но это уже другая история

Другое дело, что зачем сети которые проектируют/строят сейчас - когда управляемые комутаторы стали намного доступней - опять все возвращать к VPN?

я по-моему как-то неразборчиво, наверно, написал, почерк неровный, спешил, все дела.

повторю написав МЕДЛЕННО. ну есть у нас управляемые свичи, как будем ААА строить на нашей сетке?

 

[Viking]

надо полагать, что ваша терминология достаточна для того, чтобы ответить на вопрос "как" четко и веско, буквально парой слов.

даже одним.

 

[Viking]

краткость, безусловно, сестра таланта

беззвезды!

 

[Orshansky]

повторю написав МЕДЛЕННО. ну есть у нас управляемые свичи, как будем ААА строить на нашей сетке?

Авторизация пользователей - по DHCP option82 (+ DHCP snooping, IP Source Guard).

Упрощенно схема выглядит следующим образом.

Хочется отметить, что применение такой схемы наряду с изоляцией портов доступа решает массу детских болезней технологии Ethernet.

Одной из первых в Харькове применена в сети Airbites.

 

[alex444]

Одной из первых в Харькове применена в сети Airbites

.... к сожалению, со всеми детскими болезнями реализовавшего её товарища.
до сих пор помню вопли отдельных юзверов с их форума "ну почему каждый час мне приходится отключать/включать сетевую карту"... чем это лучше истории про впн и wfw ?

 

[Orshansky]

.... к сожалению, со всеми детскими болезнями реализовавшего её товарища.
до сих пор помню вопли отдельных юзверов с их форума "ну почему каждый час мне приходится отключать/включать сетевую карту"... чем это лучше истории про впн и wfw ?

Ну в отличии от многих, человек реализовавший (и не раз утерший под носом) такую схему охотно поделился опытом с общественностью и написал интересную статью

Вы прекрасно знаете, что схема AAA - это комплекс систем/подсистем и коммутатор доступа - это важная, но всеголишь мизерная ее часть наряду с архитектурой сети, схемами резервирования, серверами доступа, реализацией RADIUS-сервера, биллинговой системы и ее подсистем. К сожалению многие забывают, что в связи ничего второстепенного нет, тоесть можно сделать все на отлично, но сэкономив всеголишь на одном узле, на выходе получим - на два с минусом

Достоинства же такой схемы очевидны и общеизвестны.

 

[Viking]

Авторизация пользователей - по DHCP option82 (+ DHCP snooping, IP Source Guard).

Упрощенно схема выглядит следующим образом.

Хочется отметить, что применение такой схемы наряду с изоляцией портов доступа решает массу детских болезней технологии Ethernet.

Одной из первых в Харькове применена в сети Airbites.

всё заебически, но чем это в принципе отличается от привязки к маку сетевки?
ничем. тут будет привязка к маку свича+порту свича.

лучше чем забивать в биллинг мак клиента, но всего лишь эволюционный шаг к исключению абона из выдачи мака, а не отказ от мака как паспорта.

 

[Orshansky]

всё заебически, но чем это в принципе отличается от привязки к маку сетевки?
ничем. тут будет привязка к маку свича+порту свича.

лучше чем забивать в биллинг мак клиента, но всего лишь эволюционный шаг к исключению абона из выдачи мака, а не отказ от мака как паспорта.

Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы

First Published: February 26, 2009
Last Updated: February 26, 2009
The Cisco DHCP Option 82 Configurable Circuit ID and Remote ID provides more naming choices in
the Option 82 Remote ID and Option 82 Circuit ID suboptions. For example, you can use a
switch-configured hostname or specify an ASCII text string for the remote ID, and you can configure an
ASCII text string to override the circuit ID.

Предлагаю переходить от теории к практике.

 

[Viking]

Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы

что там должно быть - не вопрос.
вопрос, как оно туда попадёт.

как я уже говорил, если одна и та же функциональность реализуется по-разному на разных вендорах а то и на разных сериях железа - она не подходит для долговременных проектов.

если же функциональность гибкая и одинаковая - всё ок.
и такой вариант можно принимать в работу.

 

[Viking]

Блин я не верю своим глазам... общаються и даже находят общий язык и без всяких упоминаний нефритого стержня

ты не умничай, ты карту хаты рисуй.

 

[Viking]

А чего там рисовать.... берем любую типовую планировку ЛЮБОЙ новостройки - и будет от чего отталкиваться.

Любые перевозки любых грузов в любые страны! (звонить по любым телефонам)

 

[Orshansky]

Но если именно моей надо - то вот:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

С резервированием основных узлов

 

[Viking]

Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы



Предлагаю переходить от теории к практике.

выяснить бы ещё стандартные методы сдруживания DHCP с биллингом, ибо статика в лице 1 IP == 1 Абон не принимается.

 

[Orshansky]

выяснить бы ещё стандартные методы сдруживания DHCP с биллингом, ибо статика в лице 1 IP == 1 Абон не принимается.

протокол RADIUS.
см. схему выше.

 

[Viking]

протокол RADIUS.
см. схему выше.

схема хостящаяся на 127.0.0.1 как-то не особо доступна остальным, кроме автора.