DHCP и автозизация по mac

[Maks]

Имеется управляемая сеть.
Так что говорить что это не безопасно не нужно.
В данный момент авторизация по  PPPoЕ
Но планируется сменить авторизацию на IP+mac

Нужно чтоб неавторизированные абоны ( неизвестные mac) попадали только на статистику.
Где проходили авторизацию (по логину и паролю) и имели возможность задать свой mac .
(или я думаю каким образом узнать с какого mac адреса они зашли)
После чего перезагружались, им выдается их настоящий IP и начинали работать в интернете.

Вопрос возможно ли это реализовать, и сколько будет стоять модуль для смены mac абонентами со статистики?

Или возможно подскажите другие варианты?

Свичи полностью тупые позволяют изолировать абонентов друг от друга
тоесть запретить общаться абонентам на прямую через свич,  трафик должен маршрутизироваться.

PPPoE не предлагать от него отказываемся, ключик это уже старо.

[VitalVas]

Свичи полностью тупые позволяют изолировать абонентов друг от друга
тоесть запретить общаться абонентам на прямую через свич,  трафик должен маршрутизироваться.

как ето??
поясни
как я помню "тупые" свичи ето свичи которые имеют мозги на мас таблицу, и все
как может свич 1 уровня модели оси изолировать абонентов друг от друга??
для изоляции абонентов друг от друга как минимум нужно свич 2 уровня с поддержкий вланов

[Elisium]

как может свич 1 уровня модели оси изолировать абонентов друг от друга??

Это такие дешевые свичи, в которых port-based vlan.
Все клиентские порты общаются ТОЛЬКО с аплинком и друг друга НЕ видят ..

[VitalVas]

можеш дать модель свича??

[Maks]

Вот http://nag.ru/news/15567/
Кому интерестно, пишите в асю можно не только Длинки.

[elite]

Модуль смены мак адреса через пользовательскую статистику сделать можно. Это в принципе не сложно. НО возникают проблемы с безопасностью. Как в неуправляемой сети гарантировать, что человек не поставит своему компу мак-адрес соседа? тут PVLAN не может

[Maks]

Пользователи через свичи себя не видят!
Таким образом узнать мак соседа через сеть НЕВОЗМОЖНО .
Ну а если он сходит в гости и в тихаря перепишет на чисточек мак, то это уже не мои проблемы.
Такого злоумышлинника вычисляем и отключает ,т.к его будет легко вычислить:
1 - у клинета (жертвы) за компом не много друзей сидит
2 - не все такие хитрожопые чтоб менять себе мак.
Проверено , общение только через маршрутизатор или через L3 свич.
Выходит чтото на подобии VLAN на юзера, только апаратными средствами.

[Maks]

Идеально если сделать связку на подобии:
- абон зашел на сраницу статистики и авторизировался
- нажал кнопку сменить мак
- скрипт сам автоматически заменил мак ( вот только не знаю как скрипт вычеслит мак абонента зашедшего на статистику)
- абон перезагрузился и продолжил работу.

Эта связка избавляет абона от умения узнавания и прописывания мака.

[elite]

Идеально если сделать связку на подобии:
- абон зашел на сраницу статистики и авторизировался
- нажал кнопку сменить мак
- скрипт сам автоматически заменил мак ( вот только не знаю как скрипт вычеслит мак абонента зашедшего на статистику)
- абон перезагрузился и продолжил работу.

Эта связка избавляет абона от умения узнавания и прописывания мака.

вполне реально сделать такое
узнавать мак адрес можно из dhcp.leases сервера dhcp ))

[elite]

Пользователи через свичи себя не видят!
Таким образом узнать мак соседа через сеть НЕВОЗМОЖНО .
Ну а если он сходит в гости и в тихаря перепишет на чисточек мак, то это уже не мои проблемы.
Такого злоумышлинника вычисляем и отключает ,т.к его будет легко вычислить:
1 - у клинета (жертвы) за компом не много друзей сидит
2 - не все такие хитрожопые чтоб менять себе мак.
Проверено , общение только через маршрутизатор или через L3 свич.
Выходит чтото на подобии VLAN на юзера, только апаратными средствами.

а как трафик между клиентами разрулишь?

[Maks]

Идеально если сделать связку на подобии:
- абон зашел на сраницу статистики и авторизировался
- нажал кнопку сменить мак
- скрипт сам автоматически заменил мак ( вот только не знаю как скрипт вычеслит мак абонента зашедшего на статистику)
- абон перезагрузился и продолжил работу.

Эта связка избавляет абона от умения узнавания и прописывания мака.

вполне реально сделать такое
узнавать мак адрес можно из dhcp.leases сервера dhcp ))

Кто такое может сделать? сколько будет это примерно стоять?

[Maks]

Пользователи через свичи себя не видят!
Таким образом узнать мак соседа через сеть НЕВОЗМОЖНО .
Ну а если он сходит в гости и в тихаря перепишет на чисточек мак, то это уже не мои проблемы.
Такого злоумышлинника вычисляем и отключает ,т.к его будет легко вычислить:
1 - у клинета (жертвы) за компом не много друзей сидит
2 - не все такие хитрожопые чтоб менять себе мак.
Проверено , общение только через маршрутизатор или через L3 свич.
Выходит чтото на подобии VLAN на юзера, только апаратными средствами.

а как трафик между клиентами разрулишь?

Вот пока над этим думаю
Можно делать дом - подсеть
Таким образом только в предалах дома не будет связи.

[elite]

Вот пока над этим думаю
Можно делать дом - подсеть
Таким образом только в предалах дома не будет связи.

это не есть правильно!!

[Maks]

Вот пока над этим думаю
Можно делать дом - подсеть
Таким образом только в предалах дома не будет связи.

это не есть правильно!!

Зато появляется полный контороль над сетью.
Люди не будут подымать свои прокси сервера, и перепродвавать траф.
Хацкеры сосут ноги.
В последнее время людям нужет интернет и локальный ресурс прова,а лазить по соседям в поисках чегото по фтп, уже не модно

[iMPoSsibLe]

В последнее время людям нужет интернет и локальный ресурс прова,а лазить по соседям в поисках чегото по фтп, уже не модно

+1  Добавлю лишь пиринговые ресурсы "а-ля" ретрекеры и прочие гадости.