Дегтярев Илья

Охватываем территорию беспроводкой. Точки все Linksys wrt54gl c dd-wrt. Ранее везде использовался WPA2-EAP-MSCHAPv2 + Freeradius и без подсчета трафика. Возникла необходимость в подсчете входящего трафика + желание пустить клиентов не умеющих EAP (айфонов много развелось) Chillispot. После правки исходника запустил на серваке с атлоном 64x2 3800+ под Gentoo. Соответственно будут использоватся оба метода авторизации (для eap chilli умеет быть проксей) Через сервак с chilli польется весь инет (возможно и на нем нат) + исходящий на локальные серваки (для авторизующихся через веб форму, только для пропуска после авторизации, входящий всегда напрямую будет ползти) Планируется около 30 мбит инета. (Всего 100 wifi точек). Потянет ли она обсчет?

А там точно не было 1q тегированного трафика? Мож юзер случайно поднял.У меня однажды на ноуте броадкомоская начала такое вытворять.

sps224g - что за зверь?

Пару разделяющих бетонных стен снесите.

после 3х часового отсутствия света в свитче, подключенном к Ipponовскому упсу сгорел блок питания. Подал ему 12 вольт от компового блока - работает. Какой мощности блок поставить, что посоветуете? Или может где родной можно купить. (Я думаю любой сц такую сумму заломит) Может существуют готовые блоки с встроенным ибп и аккумуляторами на такую мощность (полагаю там около 150Вт пиковое может быть, судя по надписе для rpc). Бюджет - до $.2k

Можно не менять IP шлюза. Можно вписать один и тот же шлюз, а менять командой arp -s мак на мак нужного настоящего шлюза.

Как дети. Используете в сети с чем то неуправляемым какие либо тулзы... Берем на шлюзе с линухом поднимаем мост, компилим в ядро фильтр моста (ebtables), включаем внутренний интерфейс в этот мост. На нем в цепочке нат начинаем проверять arp пакеты. 1) если видим "самоутвердающий пакет" то отсылаем его в другую цепочку, где уже по одному сверяем пары мак-ип клиента. если пришедшей пары не видим, отвечаем левым маком что ип уже занят. Через 5 мин у dhcp закончитсяыбор адресов. Этот пакет должен рассылатся всеми компами перед присвоением адреса. 2) если видим arp запрос с любого ип, которого не может быть в сегменте - отвечаем левым маком. Не даст создавать свои подсети. При это это событие можно и в syslog послать 3) если видим чей либо случайный ответ на ип роутера - сразу в лог и идем банить человека. А вообще можно на любой запрос (кроме 1 пункта) отвечать маком роутера - и большинство трафика внутри польется через роутер - можно многое проконтролировать.

Не надо врать!! У меня на 80ти WRT54GL постороена целая wi-fi сеть. ebtables используется для фильтрации броадкастов, предотвращения arp атак и запрета обмена межды клиентами по l2 (все через центральный cisco 6506) Используется dd-wrt v24 ebtables там есть, лежит в виде отдельных модулей. включить его можно через insmod в скрипте запуска. После этого ebtables при прохождении мостовых цепочек начинает вызывать еще и iptables, но это можно отрубить (иначе 15 мегибит уже проц полностью загружают) Да, модуля arp там нет, у меня обработкой арпы занимаеся радиус сервер, точки на него юникастом пересылают все arp/dhcp пакеты. Между 80 точками - полный роуминг с сохранением ip без всяких туннелей. Соответственно без разрыва tcp сессий. Все в личку/на почту

У меня кластер 2950 и 2970тых, на 3550 должно быть абсолютно так же На подчиненном: cluster commander-address 0011.0011.0011 name room3 vlan 84 0011.0011.0011 - мак главного, потом вилан внутри которого они будут общаться потом на главном: cluster enable room3 0 cluster member mac-address 0011.0011.0022 vlan 84

ставь dd-wrt. с ней намного легче разобраться.

У линксиса прикольная Cisco-CLI подобная командная строка. Правда скрытая и нигде не описанная. Точно есть в SWR, про SR сказать не могу

ebtables. при загрузке модуля в ядро трафик проходящий через мост так же будет посылаться в цепочки iptables. Так что все работает, если в этой сборке есть ebtables

Пару месяцев назад была тема, в которой человек ругался, что srw224 не устанавливает вилан, отданный радиусом. Сам еще не проверял. Вот с циской понимаю - проблем нет

Решил окончательно пререйти на 802.1x авторизацию, но пользователи пополам сидят в трех разных виланах. Кто знает нужный путь MIB ? (Или как его правильно называть?) Думаю решение от свитча не зависит? (Linksysы swr224g4, несколько 3com, и кластер из 14 Cisco 2950)

Обычно чуть хуже. На маршрутизаторах случаем мак адреса не вбиваются? Если на 192.168.2.2 жестко прописать для 179 мак, который реально у 201, то пакеты будут сыпаться 201му как будто через него прописан маршрут.

iperf по дефолту в винде запускается с tcp окном в 8кб ( по крайней мере у меня) - и вижу 340 мегабит Запускаю с ключем -w 85k - сразу вижу все 930-940 мегабит. Карточка - некая Allastic L1 в матери Со второй стороны gentoo и tcp окно по дефолту 85,3 кб. Увеличение окна до 256 уже прироста не дает. На ноуте с гигабитным броадкомом, висящим на обычном PCI - максимум 450 мбит, и 1,5 Ггц пень на 50 процентов прерываниями занят