@nonamevasya

Как устроены VLAN у провайдера и как провайдер защищает свою сеть на уровне абонентов?

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.
  • Вопрос задан
  • 281 просмотр
Решения вопроса 1
@Strabbo
Добавлю свои 5 копеек.

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?


Private vlan используют только маленькие провайдеры, большим не выгодно из-за ресурсов которые нужны для этой схемы. Если у вас 10к абонентов, то с private vlan это 20к маков, вместо обычных 10к. TCAM не резиновый.

Одну подсеть можно прописать на несколько вланов и без private vlan. Тут нам поможет Ip unnumbered + BNG. Можно и без BNG, но с ним круче.

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.


Зависит от атаки, например Если у провайдера есть DHCP snooping + IPSG + DHCP opt 82 (который можно настроить частично на BNG ну и полностью на свичах) то ваш MITM не пройдет. у вас просто не будет доступа к сети. простоу будете снифить и смотреть что там и всё ))

Если там не Ethernet, а GPON. Тут вообще 95% может и больше (процент взял от балды) ничего вы не заснифите, Сперва надо поймать волну, не каждой железкой можно, а потом уже и расшифровать. GPON использует AES шифрование. Ну и потом GPON downlink это обычный broadcast который зависит от OLT, может заключать в себе дофига абонентов и каждый шифруется по разному ) сперва надо достать ключи конкретного ONU, потом отделить как то его трафик и расшифровать (это в теории).

P.S. Не все провайдеры используют то, о чем я написал. Но я работал в таком где использовали.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@rPman
Абонентов никак не защищают, подходишь в коридор, открываешь распределительную коробочку и подключаешь свое обрудование. Видел большие коробки с гудящим сервером - коробка даже на сейф не походила, но да, металлическая.

На уровне логики более чем достаточно vlan,.. типовой конфиг пользователя - роутер провайдера, это тоже один из (лучших) механизмов защиты клиента, если его нет то клиенту настоятельно рекомендуется такой ставить.
Ответ написан
leahch
@leahch
3D специалист. Dолго, Dорого, Dерьмово.
На одном порту может быть куча тегированных vkan. Ну и наоборот, на порту может сниматься тег для нужнго vlan.
Ну а срвременные провайдеры используют QnQ и vxlan. Vkan поверх vlan и vlanы внутри туннеля.
Ответ написан
Комментировать
velosipedist
@velosipedist
Всего понемножку за оклад и премию
Да, вланы есть и их более чем достаточно. Как тегированные, так и без тега. Большая часть селится на L3 под свои задачи, далее отдельно прокидываются вланы от вышестоящего до всяческого L2 барахла, а на нём уже пишутся вланы для абонентов и доступа во внешку.
И абону на том же FTTx вообще необязательно рисовать или знать влан, вот на GPON да, применяются, особенно если это "известные" провы со своими "брендированными" китайскими модемами/терминалами.
Насчёт MitM - спорно. Если интересно за вообще со стороны - долго, сложно и невыгодно. Если интересует конкретно спецслужбы - у них есть легитимный и безлимитный доступ ко всему трафику прова. Если интересуют хацкеры - так им проще твою машину заразить.
Комок стоит в закрытом железном ящике на видном месте обычно, абонентские порты в изолированной группе, консолька залочена под какой-нибудь радиус/такакс/мастер-пароль/прочую крипто-хэш-шифр историю.

И помним самое главное:
Бояться надо не сколько железа и ПО, сколько человеческого фактора.)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы