+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Изоляция клиентов (ПК + управляемый коммутатор)

Изоляция клиентов (ПК + управляемый коммутатор), RouterOS

namo

Guest

11.10.2010 10:15:00

У меня есть Mikrotik RouterOS с хотспотом на Intel PC. Компьютер подключен к свичу, а свич — к нескольким точкам доступа. (Пользователь может зайти, используя имя пользователя и пароль через HTTP-chap только). У меня проблема: неавторизованные пользователи сканируют IP и MAC активных пользователей и меняют свои MAC и IP так, чтобы совпадать с активным пользователем, чтобы одновременно пользоваться интернетом. Я предотвратил это на одной и той же точке доступа с помощью изоляции клиентов. Мне сказали, что я могу купить управляемый свич, чтобы сделать изоляцию клиентов и не допускать двух компьютеров с одинаковыми MAC и IP. Я включил изоляцию клиентов в своей точке доступа, и теперь авторизованные пользователи не видят MAC и IP других пользователей с той же точки доступа, но они всё ещё видят MAC и IP пользователей с других точек доступа. Поможет ли управляемый свич решить проблему? (Я собираюсь взять Dell™ PowerConnect™ 3024 у знакомого) http://support.dell.com/support/edocs/network/1j052/en/index.htm?~file=/network/1j052/en/index.htm

namo

Guest

29.10.2010 03:26:00

Я обнаружил, что неавторизованный клиент может сканировать IP и MAC с помощью netcut. Затем он или она может сменить MAC своего WiFi-адаптера на MAC-адрес, совпадающий с авторизованным пользователем, и Mikrotik выдаст ему тот же IP. После этого пользователь может пользоваться интернетом другого человека. Я решил купить этот управляемый коммутатор, чтобы решить проблему с NetCut: used: http://cgi.ebay.com/ws/eBayISAPI.dll?ViewItem&item=290476757490 Нужно ли мне просто создать приватную VLAN для каждого порта и настроить порт, идущий к Mikrotik, как порт интернета?

roadracer96 Guest	#3 0 29.10.2010 08:02:00 Разделённое горизонтом мостирование или мостовой файрвол. Пользовался и тем, и другим. У меня отлично работает.

namo Guest	#4 0 29.10.2010 13:41:00 У меня есть ПК с одним Ethernet-портом LAN, не RB493AH. То есть у меня всего один порт для LAN.

Feklar

Guest

29.10.2010 14:34:00

С правильным управляемым коммутатором у вас будет гораздо больше контроля над сетью, чем просто с MikroTik, который работает как коммутатор. Управляемый коммутатор — это устройство, специально предназначенное для этой роли, и у него есть все соответствующие функции. Например, как он работает с VLAN, можно ставить порты в защищённый режим — примерно как изоляция уровня 2 на точке доступа. К тому же, у вас будет столько портов, сколько нужно. Если 493 покрывает все порты для вашего хотспота, тогда вариант с Horizon на мосту будет работать отлично. RouterOS, прежде всего, как следует из названия, это роутер, он не предназначен для работы в режиме коммутатора.

Однако помните: все эти варианты лишь не дают клиентам общаться друг с другом через устройства или сеть. Это не остановит кого-то от перехвата беспроводного трафика, получения IP и MAC-адресов и последующего изменения настроек. Такова природа беспроводной связи — вы транслируете всё, что отправляете и принимаете, и любой в зоне досягаемости может это поймать. Особенно это актуально для беспроводных хотспотов, где чем сложнее сделать подключение для пользователей, тем больше придётся платить за поддержку и устранение неполадок. Поэтому часто просто невыгодно настраивать шифрование в сети и проще смириться с тем, что доступ могут красть.

namo Guest	#6 0 12.11.2010 13:54:00 Этот управляемый коммутатор поможет? http://flkoliv.com/index.php?q=aHR0cDovL3N1cHBvcnQuZGVsbC5jb20vc3VwcG9ydC9lZG9jcy9uZXR3b3JrLzFqMDUyL2VuL2luZGV4Lmh0bT9%2BZmlsZT0vbmV0d29yay8xajA1Mi9lbi9pbmRleC5odG0%3D ?

fewi Guest	#7 0 12.11.2010 14:11:00 Никакой коммутатор не поможет, если кто-то притворяется другим клиентом на той же точке доступа.

namo

Guest

13.11.2010 04:15:00

У меня нет проблем с тем же самым AP. Пользователь может получить IP и MAC других AP, но не может получить их для AP, к которому он подключён. Я подключаюсь к одному AP и открываю NetCut. Я вижу MAC и IP пользователей с других AP, но не вижу тех, кто подключён к тому же AP, что и я.

AlexN

Guest

13.11.2010 08:52:00

Возьмём умный коммутатор. Предположим, у вас есть 3 точки доступа и один роутер на ПК. Тогда вам нужно 4 порта: например, 1 — для роутера на ПК, 2 — для AP1, 3 — для AP2, 4 — для AP3. Далее нужно создать 3 VLAN с разными тегами через коммутатор, например, с тегом 1001 на портах 1 и 2, с тегом 1002 на портах 1 и 3 и с тегом 1003 на портах 1 и 4. Отключите передачу непомеченных (untagged) пакетов на портах 1-4. Если вы используете простые мосты на своих точках доступа, то вместо ethernet-интерфейса в бридж добавьте VLAN с соответствующим тегом (1001 для AP1, 1002 для AP2, 1003 для AP3). Родительским для этого VLAN должен быть тот же ethernet-интерфейс, который вы исключили из моста.

otgooneo

Guest

#10

13.11.2010 13:36:00

Думаю, управляемые коммутаторы уровня Layer2 могут решить эту проблему. Например, коммутаторы серии Linksys SRW имеют функцию ACL (Access Control List). У меня нет опыта работы с ними, но, насколько я понимаю, ACL работает на уровне Layer2 и может блокировать перехват трафика.

namo Guest	#11 0 13.11.2010 13:49:00 Я попробую эти советы, когда у меня появится управляемый коммутатор.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры