Способы Привязки Пользователя К Его Ip В Сети

Существует множество типов сетей с разным дизайном и принципами идентификации пользователей для подсчета трафика, снижения тарифной скорости и ограничения доступа к сети для неплательщиков.

Каждый вариант имеет свои особенности и недостатки В этой статье я постараюсь рассказать о наиболее используемых методах идентификации пользователей, которые успешно применяются в сетях мелких и крупных провайдеров.

Привязки на основе так называемого VPN: Идентификация пользователя и доступ в сеть осуществляется на основе проверки его имени пользователя и пароля (логин/пароль).

1) PPTP, L2tp – чаще всего используется в сетях с неуправляемым оборудованием или неуправляемые сегменты сети (исключения Корбина-Телеком + возможно еще некоторые сети) При такой схеме идентификация клиента - для выхода в Интернет нужно поднять VPN-туннель, идентификация пользователя происходит по логину/паролю.

Дальше На основании этих атрибутов VPN-сервер делает запрос к Radius и тот уже говорит выпускать или нет клиента в сеть + возможная тарифная скорость этого клиента (если шейпинг осуществляется с помощью самого VPN-сервера) 2) PPPoE – используется в сетях с управляемым оборудованием (есть люди, которые используют и неуправляемое сегментов используется, но это большой риск, так как велика вероятность появления левых PPPoE сервера со всеми вытекающими).

Насколько я знаю, такая схема идентификации используется пользователя от операторов Стрим-ТВ и Петерстар, данная схема очень похожа на схему с использованием PPTP(PPPoE-сервер + радиус) 3) OpenVPN - теоретически с его помощью можно авторизовать пользователей, но на практике Не видел, чтобы его использовали для таких целей, если есть такие операторы, ткните носом :) Так называемая схема без VPN: Идентификация пользователя в этом случае осуществляется по его IP-адресу, который необходимо защитить от подделки.

Практически все эти схемы могут успешно использоваться в сетях со статическими IP-адресами или при использовании DHCP. 1) IP-Mac-Binding, чаще всего используется в сетях, построенных на коммутаторах D-Link. В этом случае коммутатор использует коммутатор для привязки IP-адреса и MAC-адреса к определенному порту коммутатора (в зависимости от коммутатора и настроек функций можно анализировать пакеты ARP или пакеты TCP/IP); если эта привязка не совпадает, MAC-адрес пользователя просто блокируется на коммутаторе и пакеты от пользователей никуда не уходят. При использовании DHCP могут быть нюансы - клиент отправил DHCP-запрос, а свитч заблокировал его из-за несовпадения привязки :) Естественно, DHCP-сервер должен дать зарегистрированному маку конкретный IP. Не очень удобный метод, так как после смены устройства, подключенного к сети, изменится и MAC-адрес пользователя, т.е.

пользователю придется звонить в поддержку оператора и просить изменить MAC-адрес привязки.

2) Привязка MAC-адреса к порту Такой способ привязки пользователя к порту тоже используется, но не часто.

Алгоритм простой, он просто привязывает MAC-адрес сетевой карты клиента к порту коммутатора; это не предотвращает подмену IP-адреса, но вызывает головную боль у клиента и оператора.

3) Статическая таблица ARP (на маршрутизаторе или коммутаторе уровня 3), очень часто используется при использовании неуправляемых коммутаторов на уровне доступа.

Когда пользователь привязан к порту в таблице ARP на маршрутизаторе или коммутаторе, его MAC-адресу присваивается конкретный IP-адрес пользователя, метод, который также неудобен для пользователя + есть вероятность, что умный пользователь все равно иметь возможность выйти под чужим IP-адресом, просто изменив MAC-адрес его сетевых карт, такая ссылка занимает 2 минуты :) Возможен вариант со статической таблицей ARP и привязкой определенного MAC к порту коммутатора.

Этот метод более интеллектуален, чем просто статический ARP или простая привязка MAC к порту, и, следовательно, более безопасен, поскольку в этом случае клиент может изменить свой IP. , а вот подмена чужого MAC-адреса - нет. 4) Привязка пользователя к порту с помощью ACL (списка контроля доступа) свитча, использованного в моем случае.

Немного неудобный для оператора способ привязки пользователя, но максимально дружелюбный к нему.

При такой привязке на коммутаторе создаются правила вида: - - Позволять - - Отрицать Этот метод удобен тем, что пользователь может менять MAC сколько угодно.

Адресуйтесь и получайте доступ к сети, но если сменить IP, то свитч не работает. Будет не хватать 5) По своему VLAN на пользователя Привязки пользователя как таковой нет, пользователю просто выделяется свой VLAN и своя сеть, а дальше пусть делает в ней что хочет :).

Ресурсоемкий и ИМХО не очень удобный метод, но красивый.

Чаще всего используется для юридических клиентов.

6) Различные привязки для веб-интерфейса и 802.1x – даже не нужно рассматривать.

В этом случае клиент идентифицируется по ссылке логин/пароль и на основании этих данных выпускается в сеть.

Отличается от метода VPN только тем, что нет необходимости открывать VPN-туннель.

7) Никакой привязки вообще.

Такой метод есть и где-то даже используется, но никаких гарантий нет. что пользователи начнут мешать друг другу и воровать Интернет, меняя свой IP на IP соседа, хотя в наш век безлимитного доступа это вполне пожизненно по карману Теги: #ISP #телеком #привязки #безопасность #идентификация #vpn #pptp #ppoe #mac #vlan #Chulan

Последнее изменение: 2024-10-19 21:10:22

Вместе с данным постом часто просматривают: