Omezení a řízení přístupu na LAN rozvodech po domě. ISP.

[Martyr-M]

Zdravím, mám dotaz, jak nejlépe řídit přístup uživatelů na LAN domovních rozvodech.
mám panelové domy, kam pomocí optiky nebo radio reléových, wifi spojů dodám konektivitu.

Rozvod po domě provedu utp kabely a jsou zakončené ve switch.

Nejjednodušší a nejlevnější je utp kabel ze switche zakončit v zákaznickém PC,
ale pokud chci omezit uživatele, z případného odpojení, nebo omezení rychlosti, tak omezím přístup na MAC adresu PC, nebo uživateli přidělím IP adresy, což je dost těžkopádné.

Další možnost je omezení na switchi dát všude administrovatelné switche, ale pokud se někdo připojí na kabel, tak zase není nejlepší.

Poslední asi podle mě nejlepší možnost je dát k zákazníkům routery, jejich MAC si ukládat a omezovat MAC přidělených routerů.
Jak toto řešíte vy? jak to je nejlepší?
díky za radu.

[Aigor]

Ono taky záleží o kolik zákazníků (a jakých) se jedná celkem, v jakých rychlostech se pohybujeme, apod.
Samozřejmě průměrně inteligentní školák se shopností používat google a manuál routeru si přenastaví MAC adresu podle potřeby.
Osobně bych to řešil pronájmem sofistikovanějších routerů jako např. Mikrotik, které se budou z větší části schopny starat samy o sebe. Budeš mít naprostou kontrolu nad provozem sítě, monitoring i automatické zálohy. A pokud někdo Mikrotik nahradí jiným zařízením, i po naklonování MAC to okamžitě poznáš a můžeš provést patřičné kroky. Ani cena už není tak závratná.

[Atreides]

Mno pokud dáš do sítě switche s managementem, tak jedním (dvěma) kliknutím zakážeš všechny porty na switchi. Pak postupně začneš otevírat podle MAC adresy jednotlivých uživatelů. A když si koncový uživ. mac adresu změní, bude to pro něj znamenat jako by měl kabel odpojený = nepujde net !
Když si vymění PC za jiné, tzn. jiná síťovka, tzn. jiná mac = taky mu to nepůjde - pak mu nezbyde než zakoupit router a řešit si vlastní sub systém.

[Caleb]

Moznosti je vice, vazani k MAC adrese je nejspis ta nejhorsi varianta.

- asi nejjednodussi je mit managovatelnej switch a staticke IP adresy - porty se daji vypinat, pripadne je hodit do VLANy kde nebude pustenej net. Celkem sympaticke je, ze i obyc. L2 TPLinky umeji omezovat provoz (shaping)
- pak jsou pokrocilejsi metody, ktere z duvodu pohodlosti vyzaduji zakaznicky router, tj. napr. overovani proti RADIUSu (napr. s PPPoE), nebo pro kazdeho zakaznika zvlast VLANa do ktere je pusteny DHCP server, pro kazdou VLANu jinej
- ja to resim tak, ze udelam jeden IP rozsah, lidem dam do routeru/PC staticke IP a pak vytvorim seznam IP adres, ktere maji pristup na net a pomoci pravidla v mikrotiku, ktery je pred switchem, povolim pristup jenom jim. To se da resit bud na urovni firewallu, nebo treba tak, ze se NATuji jenom zname IP. Vyhodou je moznost pouziti nejobycenejsich switchu. Nevyhoda je, ze pres sit muzou litat kdejake .... a neda se odfiltrovat MS sdileni atd.

EDIT: co se tyce mikrotiku, tak zarizeni s vice portama jsou drahe, navic maximum je myslim 19 portu. Pokud by ovsem slo napr. o vchody s max. 8mi kabelama, tak pouziti napr. RB493 a v kazdem portu jiny IP rozsah/DHCP je velice elegantni reseni.