Проверка соответствия IP + MAC.

Обсуждение ПО и его настройки
Ответить
feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

Здравствуйте. Сможет мне кто-нибудь подсказать решение по реализации привязки (соответствия) IP + MAC?
Дано: К сети подключено 100 пользователей. Имеется 10 отделов, разбитых по VLAN'ам (vlan100, vlan101 итд) по 10 пользователей в каждом. Все они подключены к маршрутизатору (d-link), на котором созданы интерфейсы для этих vlan'ов и соответственно являются шлюзами для пользователей. На маршрутизаторе d-link'a указан дефолтный маршрут, через сервер (RouterOS) на котором правилами firewall посредством NAT'a организован выход в интернет, с внешних IP, для каждого отдела (VLAN).
Возможно ли организовать схему проверки соответствия IP + MAC на сервере (RouterOS)?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

смотрите в сторону ARP


Есть интересная задача и бюджет? http://mikrotik.site
feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

vqd писал(а):смотрите в сторону ARP


В дано я описал примерную схему сети. Насколько мне известно ARP таблица формируется и работает с привязкой IP+MAC, когда сервер (RouterOS) является шлюзом для этих сетей (VLAN'ов). В моем случае сервер (RouterOS) находится после маршрутизаторов (d-link) и на нем осуществляется только доступ интернет. В итоге с помощью ARP моя задача не решаема, либо я что-то недопонимаю, прошу поправить если это так.

Есть еще предположительное решение, с помощью правил firewall в разделе фильтрации. Например: создавать разрешающие правила в цепочке forward c указание для каждого источника IP-адреса и МАС-адреса, а все остальное (кроме разрешенного) запретить. В данном решении, есть одно "НО", в дано я указал кол-во пользователей равным 100, но в реальности может достигать 1000, получается нужно создавать безумное кол-во правил. Есть ли дальнейшее развитие такому подходу, или тупик?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы уверены, что D-link маршрутизаторы??? Если да, то какие??? Может быть это коммутаторы второго (или выше) уровня???
И абсолютно не понятно, как организовано взаимодействие клиентов и микротик?

Если до микротика доходят реальные IP клиентов, то таблица ARP вам поможет. А также статические записи DHCP, если микротик выступает в качестве DHCP сервера. Таким образом можно заставить, чтобы через микротик в инет проходила только определенная связка IP+MAC.

И да, если вам нужно 1000 клиентов, естественно придется создавать 1000 записей (не важно чего, это могут быть и записи ARP, а могут быть и записи в фаерволле). Правда, если дело дошло до таких цифр вам лучше смотреть на функцию Hotspot в микротке. Здесь вам будет и контроль трафика, квоты и так далее. Но и большое количество правил тоже имеют право на жизнь. У меня в одной школе, некоторое время было более 500 подобных правил и все работало.

ЗЫ. Если D-link маршрутизаторы и на них используется NAT, то микротик вам никак не поможет, он будет видеть запросы от D-link, а не от клиентов.


feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

gmx писал(а):Вы уверены, что D-link маршрутизаторы??? Если да, то какие??? Может быть это коммутаторы второго (или выше) уровня???

Спасибо за замечание. Исправлюсь - коммутаторы d-link уровня L3 c функциями "маршрутизатора" Модель - DGS-3627G.

gmx писал(а):И абсолютно не понятно, как организовано взаимодействие клиентов и микротик?

Клиенты получают сетевые настройки от отдельного DHCP-сервера, где в качестве шлюза указан IP-адрес интерфейса коммутатора d-link.
В свою очередь на коммутаторе d-link присутствует дефолтный маршрут 0.0.0.0/0 через сервер (RouterOS).
На сервере (RouterOS) правилами firewall посредством NAT'a организован выход в интернет.

gmx писал(а):Если до микротика доходят реальные IP клиентов, то таблица ARP вам поможет. А также статические записи DHCP, если микротик выступает в качестве DHCP сервера. Таким образом можно заставить, чтобы через микротик в инет проходила только определенная связка IP+MAC.

Да, до сервера (RouterOS) доходят реальные IP пользователей. DHCP-сервер - другая машина. По поводу ARP таблицы, первое что пришло мне в голову, пробовал, но не получилось. Может "плохо пробовал". Выше постом писал, почему возможно не получилось. В любом случае придется еще раз проверить работоспособность соответствия IP+MAC через ARP таблицу в моей задаче/случае. Тем более, что уже два форумчанина указывают на решения через ARP.

gmx писал(а):И да, если вам нужно 1000 клиентов, естественно придется создавать 1000 записей (не важно чего, это могут быть и записи ARP, а могут быть и записи в фаерволле). Правда, если дело дошло до таких цифр вам лучше смотреть на функцию Hotspot в микротке. Здесь вам будет и контроль трафика, квоты и так далее. Но и большое количество правил тоже имеют право на жизнь. У меня в одной школе, некоторое время было более 500 подобных правил и все работало.

Подскажите, а сильно ли ухудшают производительность такое большое кол-во правил?


Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

feeee2008 писал(а):Спасибо за замечание. Исправлюсь - коммутаторы d-link уровня L3 c функциями "маршрутизатора" Модель - DGS-3627G.


Ну так и решайте проблему на D-Link'е средствами

Код: Выделить всё

create address_binding

или

Код: Выделить всё

create arpentry

Производительности у них за глаза для этого.

В ARP-таблице микротика Вы своих клиентов увидите, только если находитесь с ними в одной подсети. Если на DGS настроен полноценный роутинг между вланами, то вопрос можно решить только на D-Link'е.

Кстати, а зачем Вам это? Опишите подробнее Ваши цели, я думаю, что их можно решить более корректным способом.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

feeee2008 писал(а):Подскажите, а сильно ли ухудшают производительность такое большое кол-во правил?


У меня 433 микротик. Если честно, вообще не увидел изменения производительности. Но у меня скорость по тарифу всего навсего 3 мегабита.


feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

Lord3D писал(а):Ну так и решайте проблему на D-Link'е средствами

Lord3D писал(а):Кстати, а зачем Вам это? Опишите подробнее Ваши цели, я думаю, что их можно решить более корректным способом.

Если более подробнее, то цели такие:
Начну чуть издалека, в сети присутствует dhcp сервер, который раздает IP адреса по соответствию с МАС-адресом, но если подключается не зарегистрированное устройство (МАК-адреса нету в базе DHCP), то ему выдается гостевой IP. На гостевом IP адресе, пользователь может пользоваться всеми локальными ресурсами, но в интернет доступ закрыт. Если пользователь статически пропишет заведомо известный IP-адрес или методом перебора может получить доступ в интернет.
Поэтому я и предполагаю, что решение данной задачи должно присутствовать на сервере (RouterOS), на котором NAT'ится трафик для разрешенных для выхода в интернет IP-адресах.
Если настраивать привязку на коммутаторах d-link'a, через тот функционал который вы предлагаете, то получается я буду блокировать дальнейшие соединения по локальной сети.


Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

В таком случае я бы убрал с коммутаторов функции маршрутизации и всех довёл бы до микротика разными VLANами. Там организовал бы DHCP-сервер с добавлением лизов в арп-таблицу, а на интерфейсах перевёл бы ARP в режим Reply-only. Таким образом, клиент не увидит шлюз с вписанным вручную IP.


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

извиняюсь конечно может глупость сморозил. а не проще сделать DHCP релей и направить его на микро? а оттуда уже с этими данными и так и сяк


Ответить