Frozen Fido : RU.UNIX.BSD : Re: DHCP и привязка к порту коммутатора

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Valentin Davydov                     2:5020/400     15 Sep 2006  09:24:11
 To : Eugene Grosbein
 Subject : Re: DHCP и привязка к порту коммутатора
 --------------------------------------------------------------------------------

 >   From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org>
 >   Date: Fri, 15 Sep 2006 10:39:00 +0400
 >
 >Есть микробиллинг под FreeBSD для маленькой локалки, считающий трафик
 >на IP-адресах счетчиками ipfw count. Использовался в условиях, где можно было
 >полагаться на неизменность MAC-адреса рабочих станций, staticarp
 >на интерфейсе роутера и вперед.
 >
 >Hужно перенести его немножко в другие условия. MAC-адреса меняются
 >произвольно, IP-адреса будут выдаваться по DHCP. Можно полагаться
 >на неизменность порта коммутатора, в который включается рабочая станция,
 >то есть нужно в итоге считать трафик "на порту свича". Свичи L2 управляемые,
 >но по SNMP счетчики c интерфейсов снимать не годится, считать надо
 >трафик на L3, а не L2.
 >
 >Как лучше привязать выдачу IP к номеру порта?
 
 Можно по каждому пришедшему на интерфейс роутера ARP запросу (отлавливаемому,
 например, через bpf) опрашивать свич на предмет того, в какой порт воткнут 
 соответствующий MAC, и прописывать содержащийся в запросе IP в правило allow,
 номер которого соответствует номеру этого порта свича, а все остальные правила 
 с этим же IP удалять. Тогда независмо от того, кого и сколько в какой порт 
 понавтыкалось, суммарный счёт правил с таким-то номером будет соответствовать
 unicast-трафику через этот порт (если клиенты не догадаются использовать у
 себя static arp или спуфить его, разумеется).
 
 >Можно попробовать найти недорогой свич, отсылающий SNTP trap при появлении
 >нового MAC-а на порту, ловить этот трап на роутере и вести на нем
 >таблицу соответствия MAC-ов и портов свича,
 
 Это плохо. Трапы иногда теряются.
 
 >а потом при запросе к DHCP
 >можно как-то заставить демон выдать определенный IP для нового MAC-а?
 
 Это происходит не потом, а сразу. То есть первый же пакет от нового MACа -
 это DHCP-запрос. И придёт он к тебе на роутер раньше трапа.
 
 >Или в крайнем случае пусть выдает любой свободный, еще одно соответствие
 >MAC-IP наверое можно обработать.
 
 Hе можно, а нужно.
 
 >Можно при запросе к DHCP опрашивать свич, выясняя соотвествие MAC-порт
 >и корректировать таблицу IP-порт на роутере. Можно совмещать трапы
 >и опрос (трап может и пропасть).
 
 IMHO, закладываться на dhcp при подсчёте вообще не стоит. Hе для трафика он 
 предназначен.
 
 >А может, есть более правильные пути?
 
 Засунуть каждый порт в отдельный vlan и считать трафик на vlan-интерфейсах.
 Вряд ли у тебя там тысячи портов, а vlanы сейчас любые свичи умеют.
 
 Вал. Дав.
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: DHCP и привязка к порту коммутатора	Valentin Davydov	15 Sep 2006 09:24:11

Архивное /ru.unix.bsd/6577630ab07c.html, оценка 3 из 5, голосов 10