Как устроены VLAN у провайдера и как провайдер защищает свою сеть на уровне абонентов?

Question

[nonamevasya]

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.

Answer 1

[Strabbo]

Добавлю свои 5 копеек.

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?

Private vlan используют только маленькие провайдеры, большим не выгодно из-за ресурсов которые нужны для этой схемы. Если у вас 10к абонентов, то с private vlan это 20к маков, вместо обычных 10к. TCAM не резиновый.

Одну подсеть можно прописать на несколько вланов и без private vlan. Тут нам поможет Ip unnumbered + BNG. Можно и без BNG, но с ним круче.

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.

Зависит от атаки, например Если у провайдера есть DHCP snooping + IPSG + DHCP opt 82 (который можно настроить частично на BNG ну и полностью на свичах) то ваш MITM не пройдет. у вас просто не будет доступа к сети. простоу будете снифить и смотреть что там и всё ))

Если там не Ethernet, а GPON. Тут вообще 95% может и больше (процент взял от балды) ничего вы не заснифите, Сперва надо поймать волну, не каждой железкой можно, а потом уже и расшифровать. GPON использует AES шифрование. Ну и потом GPON downlink это обычный broadcast который зависит от OLT, может заключать в себе дофига абонентов и каждый шифруется по разному ) сперва надо достать ключи конкретного ONU, потом отделить как то его трафик и расшифровать (это в теории).

P.S. Не все провайдеры используют то, о чем я написал. Но я работал в таком где использовали.

Comments

[velosipedist]

Perfectly balance.)

[nonamevasya]

Ваши 5 копеек оказались самыми ценными. За ip unnumbered спасибо, изучил. Теперь я понял, как в одну подсеть засунуть кучу VLAN.

Answer 2

[rPman]

Абонентов никак не защищают, подходишь в коридор, открываешь распределительную коробочку и подключаешь свое обрудование. Видел большие коробки с гудящим сервером - коробка даже на сейф не походила, но да, металлическая.

На уровне логики более чем достаточно vlan,.. типовой конфиг пользователя - роутер провайдера, это тоже один из (лучших) механизмов защиты клиента, если его нет то клиенту настоятельно рекомендуется такой ставить.

Comments

[velosipedist]

1. Распредкоробка и атака типа MitM на взрезе кабеля тут не прокатит - проверено. Если, конечно, это не дяденька из спецструктур, но оно ему и нах не надо.
2. Там ничего не гудит, там обычные L2 свичи с пассивным охладом - это в подъездах и подвалах. Если, конечно, ты не про выносную климатическую станцию, но что в первом, что во втором варианте - попробуй вскрыть, как минимум привлечёшь взгляды и слух местных жителей и майора Доигралеса, попутно и пров тебя срисует (но уже с небольшой задержкой).
3. У нормального прова вланов на разные случаи жизни больше, чем средний МРОТ по стране.

[Valentin Barbolin]

открываешь распределительную коробочку

У нас провайдеры мониторят открытие дверки на коробке. Правда в это случае они больше переживают что бы коммутатор не утянули)

[nonamevasya]

Абстрактный ответ на уровне ответов меил сру, а не хабра: "ну там что-то гудит в коробке, какие-то индикаторы моргают, эти ваши программисты что-то там кодируют в коде".

Answer 3

[Алексей Черемисин]

На одном порту может быть куча тегированных vkan. Ну и наоборот, на порту может сниматься тег для нужнго vlan.
Ну а срвременные провайдеры используют QnQ и vxlan. Vkan поверх vlan и vlanы внутри туннеля.

Answer 4

[velosipedist]

Да, вланы есть и их более чем достаточно. Как тегированные, так и без тега. Большая часть селится на L3 под свои задачи, далее отдельно прокидываются вланы от вышестоящего до всяческого L2 барахла, а на нём уже пишутся вланы для абонентов и доступа во внешку.
И абону на том же FTTx вообще необязательно рисовать или знать влан, вот на GPON да, применяются, особенно если это "известные" провы со своими "брендированными" китайскими модемами/терминалами.
Насчёт MitM - спорно. Если интересно за вообще со стороны - долго, сложно и невыгодно. Если интересует конкретно спецслужбы - у них есть легитимный и безлимитный доступ ко всему трафику прова. Если интересуют хацкеры - так им проще твою машину заразить.
Комок стоит в закрытом железном ящике на видном месте обычно, абонентские порты в изолированной группе, консолька залочена под какой-нибудь радиус/такакс/мастер-пароль/прочую крипто-хэш-шифр историю.

И помним самое главное:
Бояться надо не сколько железа и ПО, сколько человеческого фактора.)