トラフィックのカウント、関税率の削減、ネットワークアクセスの非支払者への制限のために、さまざまなデバイスとユーザー識別の原則を持つ多くのタイプのネットワークがあります。
各オプションには独自の特性と欠点があります。
この記事では、小規模および大規模プロバイダーのネットワークで正常に使用されるユーザー識別の最もよく使用される方法についてお話します。
いわゆるVPNに基づくバインディング:
ユーザーの識別とネットワークへのアクセスは、ユーザー名とパスワード(ログイン/パスワード)の確認に基づいて実行されます
1)PPTP、L2tp-管理されていない機器のあるネットワークまたは
管理されていないネットワークセグメント(Corbina-Telecomなどを除く)
一部のネットワーク)
このスキームでは、顧客識別-インターネットにアクセスするには、上げる必要があります
VPNトンネル、ユーザー認証はログイン/パスワードによって発生します。 次へ
これらの属性に基づいて、VPNサーバーはRadiusにリクエストを行い、彼はすでに言っています
クライアントをネットワークにリリースするかしないか+このクライアントの可能な関税率
(VPNサーバー自体を使用してシェーピングが行われる場合)
2)PPPoE-制御機器を備えたネットワークで使用(管理されていない人もいます)
セグメントが使用されますが、左の出現の可能性が高いため、これは大きなリスクです
すべてのPPPoEサーバーが暗示する)。 私の知る限り、この識別スキームは適用されます
Stream-TVおよびPeterstarオペレーターの場合、このスキームは次を使用するスキームに非常に似ています
PPTP(PPPoEサーバー+半径)
3)OpenVPN-理論的には、ユーザーにその助けを借りて承認することは可能ですが、実用的です
そのようなオペレータがいる場合、そのような目的でそれを使用するのを見たことはありません-あなたの鼻を突く:)
いわゆるVPNフリースキーム:
この場合のユーザー識別は、IPアドレスに基づいており、なりすましから保護する必要があります。
これらのスキームのほとんどすべては、静的IPアドレスを持つネットワークで、またはDHCPを使用する場合に正常に使用できます。
1)IP-Mac-Binding。D-Linkスイッチ上に構築されたネットワークで最もよく使用されます。 この場合、スイッチにより、IPアドレスとMACアドレスはスイッチの特定のポートにバインドされます(スイッチと機能の設定に応じて、ARPパケットまたはTCP / IPパケットを分析できます)。このバインドが一致しない場合、ユーザーのMACアドレスはスイッチとパケットで単にブロックされますユーザーはどこにも行かない。 DHCPを使用する場合、微妙な違いがある場合があります-クライアントがDHCP要求を送信し、スイッチがバインディングの不一致のためにそれをブロックしました:)当然、DHCPサーバーは登録済みのケシ-特定のIPを提供する必要があります。 ネットワークに接続されているデバイスを変更した後、ユーザーのMACアドレスも変更されるため、ユーザーにとってあまりフレンドリーな方法ではありません。つまり、ユーザーはオペレーターのサポートに連絡して、バインディングのMACアドレスを変更するよう要求する必要があります
2)MACアドレスをポートにバインドする
ユーザーをポートにバインドするこの方法も使用されますが、頻繁には使用されません。
アルゴリズムは単純で、クライアントのネットワークカードのMACアドレスはスイッチポートに接続されているだけで、IPアドレスのなりすましを防ぐことはできませんが、クライアントとオペレーターの頭痛の種になります。
3)静的ARPテーブル(第3レベルのルーターまたはスイッチ上)、アクセスレベルで非管理スイッチを使用する場合に非常に頻繁に使用されます
このユーザーをルーターまたはスイッチのARPテーブルのポートにバインドすると、ユーザーのIPアドレスがユーザーの特定のIPアドレスに割り当てられます。この方法はユーザーにとっても不便です+ネットワークのMACアドレスを変更するだけで、スマートユーザーが別のIPアドレスで取得できる可能性がありますカード、そのような結合は2分かかります:)
静的ARPテーブルと特定のMACのスイッチポートへのバインドにはバリエーションがあります。この方法は、静的ARPまたはMACをポートにバインドするよりも有能であり、したがって、クライアントはそのIPを変更できるため、より安全です。しかし、他の誰かのMACアドレスを置き換えます-いいえ。
4)私の場合は、ACL(アクセス制御リスト)スイッチを使用してユーザーをポートにバインドします。 オペレーターがユーザーをバインドする方法には少し不便ですが、ユーザーにとっては最も友好的です。 このバインディングにより、フォームのルールがスイッチ上に作成されます。
<クライアントIP>-<クライアントポート>-許可
<その他すべて>-<クライアントポート>-拒否
この方法は、ユーザーが必要なだけMACを変更できるという点で便利です。
アドレスを指定してネットワークへのアクセスを取得しますが、IPを変更すると-スイッチは
スキップします
5)ユーザーごとのVLAN別
そのため、ユーザーバインディングはなく、ユーザーにVLANと独自のネットワークが割り当てられ、そこでユーザーは必要な処理を実行できます:)。 リソース集約型のIMHOは非常に便利な方法ではありませんが、美しい方法です。 法的クライアントに最もよく使用されます
6)さまざまなWebベースおよび802.1xバインディング-検討することさえできません。 この場合、クライアントはログイン/パスワードの組み合わせによって識別され、このデータに基づいてネットワークにリリースされます。 VPNトンネルを上げる必要がないという点でのみ、VPN方式とは異なります。
7)拘束力がまったくない。
そのような方法があり、どこかで使用されていますが、保証はありません
ユーザーが互いに干渉し始め、方法を変更してインターネットを盗む
あなたのIPを隣人のIPに
ユーザーをネットワーク上のIPにバインドする方法
All Articles