[Денис Креминский]

Уважаемые коллеги,

 

Как правильно трактовать "до 32 VLAN" в описании AT-8024? Стандарт описывает "до 4096 (4094) tagged 802.1q VLANs на сегмент".

 

Некоторые описания протокола 802.1x, например, это:

 

http://www.nwfusion.com/research/2002/0506...06whatisit.html

 

говорят о том, что при успешной аутентификации клиента (supplicant) сервер, допустим, radius (athentication server) может выдавать cвичу (authenticator) параметры для конфигурирвания клиентского порта. Вопросы такие:

 

1. Можно ли в принципе выдавать при аутентификации по 802.1х VID для tagged-VLAN и устанавливать его на аутентифицирующийся порт?

 

2. Если да, то умеет ли это делать AT-8024? В нем есть port security и поддержка tacacs/radius, а вот 802.1х не видно. Если нет, то какой близкий по функционалу/цене свич умеет?

 

3. Если да, то какой сервер аутентификации лучше использовать? (с учетом того, что клиенты 802.1х -- либо freeware, либо встроенный в xp, либо установленный с microsoft.com в w2k)

 

Заранее спасибо.

[alex_001]

Уважаемые коллеги,

 

Как правильно трактовать "до 32 VLAN" в описании AT-8024? Стандарт описывает "до 4096 (4094) tagged 802.1q VLANs на сегмент".

Железка реально держит только 32 VLAN.

Некоторые описания протокола 802.1x, например, это:

 

http://www.nwfusion.com/research/2002/0506...06whatisit.html

 

говорят о том, что при успешной аутентификации клиента (supplicant) сервер, допустим, radius (athentication server) может выдавать cвичу (authenticator) параметры для конфигурирвания клиентского порта. Вопросы такие:

 

1. Можно ли в принципе выдавать при аутентификации по 802.1х VID для tagged-VLAN и устанавливать его на аутентифицирующийся порт?

Не видел таких реализаций. В принципе можно по SNMP после авт. все делать.

2. Если да, то умеет ли это делать AT-8024? В нем есть port security и поддержка tacacs/radius, а вот 802.1х не видно. Если нет, то какой близкий по функционалу/цене свич умеет?

Не знаю насчет AT , DLINK DES33xx DES32xx умеют 802.1х. Если надо много клиентов на порт то 16 на порт - не больше.

 

3. Если да, то какой сервер аутентификации лучше использовать? (с учетом того, что клиенты 802.1х -- либо freeware, либо встроенный в xp, либо установленный с microsoft.com в w2k)

FreeRadius - проверего , работает.

[Гость]

Денис Креминский

По поводу VLAN, в стандарте написано, что идентификатор может быть в пределах 4096, а сколько держит свич - зависит от производителя.

 

AT-8024 держит 32 VLAN, но идентификатор (VID) ты можешь назначать любой в пределах 4096. А зачем вам больше VLAN? Если в сети куча VLAN, значит что-то непправильно спроектировано.

 

Для изоляции пользователей друг от друга существует другой механизм, в AT-8024 есть так называемый non-Q-complient VLAN. То есть выделенные порты находятся в одном 1-м нетегированном VLAN, а изоляция трафика друг от друга производится аппаратно. Общаться они могут только с назначенным uplonk портом.

[Денис Креминский]

Денис Креминский

По поводу VLAN, в стандарте написано, что идентификатор может быть в пределах 4096, а сколько держит свич - зависит от производителя.

 

AT-8024 держит 32 VLAN, но идентификатор (VID) ты можешь назначать любой в пределах 4096. А зачем вам больше VLAN? Если в сети куча VLAN, значит что-то непправильно спроектировано.

 

Ну, попробую объяснить, может, поправите.

 

В ветке software было обсуждение того, как можно избежать использования прокси у абонента, который подключен в свич, аналогичный AT-8024, и использует безлимитный тариф. Подобная схема позволяет пользователям фактически "воровать" трафик у оператора, пропуская его через единственного оплатившего эту услугу пользователя.

 

Самым действенным техническим средством борьбы с этой проблемой обозначили использование тэгированных VLAN, ибо тогда защита от передачи трафика от абонента к абоненту минуя средства учета и безопасности возможна в рамках всего сегмента, а не только одного свича.

 

Для изоляции пользователей друг от друга существует другой механизм, в AT-8024 есть так называемый non-Q-complient VLAN. То есть выделенные порты находятся в одном 1-м нетегированном VLAN, а изоляция трафика друг от друга производится аппаратно. Общаться они могут только с назначенным uplonk портом.

 

я так понимаю, он будет работать в рамках одного конкретного свича? Тогда описанная выше проблема не решается полноценно или требует установки за каждым коммутатором маршрутизатора, а хотелось бы обойтись без этого.

[Гость]

данные железки мне не понравились, т.к. при удаленном управлении (telnet или веб) не доступны многие функции. (пример: вкл/вылк - порт секурити на портах или установка мак-фильтра - доступны только через консоль, как написано в юзер гайде, что имхо бред).

Внимание вопрос: как обстоит дело с snmp (в свое время руки не доши попробовать)

[Shiva]

alex_001,

Не видел таких реализаций. В принципе можно по SNMP после авт. все делать.

У Фаундари есть.

[Гость]

Денис Креминский

Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции.

 

G.Y.S

Есть новая серия AT-8500, там все функции можно конфигурить удаленно (через telnet, ssh).

[Денис Креминский]

Денис Креминский

Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции.

 

G.Y.S

Есть новая серия AT-8500, там все функции можно конфигурить удаленно (через telnet, ssh).

 

Так а что такое non-Q-compliant VLAN?

[Гость]

Денис Креминский

Грубо говоря - аппаратная изоляция трафика между портами свича. Порты находятся в одном port-based VLAN 1, но трафиком обмениваются только с выделенным uplink портом.

[Денис Креминский]

Денис Креминский

Грубо говоря - аппаратная изоляция трафика между портами свича. Порты находятся в одном port-based VLAN 1, но трафиком обмениваются только с выделенным uplink портом.

 

Допустим, у нас есть два свича. Они объединены аплинк портами -- неважно, напрямую или через третий свитч.

 

Абоненты, подключенные к первому и второму, в таком случае, легко смогут обмениваться фреймами друг с другом.

 

Верно?

 

Если да, это решение не подходит.

[Гость]

Денис Креминский

Если строить нормальную иерархическую сеть, то все будет нормально и изоляция будет. Не надо придумывать нелепые ситуации. Идеальных железок не бывает, но как ни странно на них существуют нормальные решения.

[ky]

Денис Креминский

Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции.

 

значит придется переделывать всю сеть, чтобы отделить одного юзера от другого ... а что за железо должно стоять в центре? ведь именно туда и будет сливаться весь трафик?

а вот что делать если захочется объединить несколько юзеров (сделать так, чтобы они "видели" друг друга, и гоняли трафик напрямую)

[Roman Ivanov]

Денис Креминский

Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции.

 

значит придется переделывать всю сеть, чтобы отделить одного юзера от другого ... а что за железо должно стоять в центре? ведь именно туда и будет сливаться весь трафик?

а вот что делать если захочется объединить несколько юзеров (сделать так, чтобы они "видели" друг друга, и гоняли трафик напрямую)

 

поставить им на двоих ХАБ ;) пущай видят друг друга сколько угодно.

[Денис Креминский]

Денис Креминский

Если строить нормальную иерархическую сеть, то все будет нормально и изоляция будет. Не надо придумывать нелепые ситуации. Идеальных железок не бывает, но как ни странно на них существуют нормальные решения.

 

Возвращаемся к первому вопросу. "Нормальной иерархии" не бывает по определению "нормы", поэтому еще раз:

 

1. Поддерживают ли AT-8024 802.1q VLAN tagging и 802.1x?

2. Если нет, какие аналогичные по цене/функционалу устройства его поддерживают? Если можно, с названием модели :)

[Антон Богатов]

"Нормальной иерархии" не бывает по определению "нормы",

 

Воистину так!

 

Сорри за оффтоп, но фраза - просто блеск!

[Shiva]

Денис Креминский,

2. Dlink DES 3526 (сам не щупал, буду после праздников)

[Денис Креминский]

Денис Креминский,

2. Dlink DES 3526 (сам не щупал, буду после праздников)

 

К dlink'у имею суеверные предубеждения :) Но результатов дождусь.

[polux]

Денис Креминский,

У меня есть пара коммутаторов AT8326GB, они точно поддерживают 802.1q который нормальный - основанный на vlan tagging, думаю что в 8024 все точно также, т.к. они не сильно отличаются.

Что касается 802.1x то эта возможность даже не заявляена в спецификации, о чем тогда говорить?

Почитайте http://www.alliedtelesyn.ru/site/files/doc...asheet/8024.pdf

 

Port security - это возможность закрепить за определеным портом mac адреса, причем есть несколько способов это осуществить + еще пара наворовтов, сейчас точно сказать не могу, если интересно могу чуть позже разъяснить.

[polux]

Кстати у телесина сапорт не плохо работает support@alliedtelesyn.ru.

[Гость]

polux

Просто спецификация старая. :)

На самом деле там есть поддержка 802.1x.

[Гость]

polux

Сорри, косякнулся. Не туда посмотрел на их сайте.

802.1x есть в AT-8524M.

[Денис Креминский]

Что касается 802.1x то эта возможность даже не заявляена в спецификации, о чем тогда говорить?

 

Не согласен!

 

http://www.alliedtelesyn.ru/site/files/doc...000_G_Fixed.pdf

[polux]

Денис Креминский, да интересно получается...Посмотрю на своих, в понедельник-вторник скажу что да как.

[Гость]

Денис Креминский, polux

Ха, раскопал.

Оказывается у них на сайте старая документация, млин, издатели.

Начиная с версии софта 3.1.0 и выше поддержка 802.1x в свичах AT-8000 серии есть.

[repa]

alex_001,

Не видел таких реализаций. В принципе можно по SNMP после авт. все делать.

У Фаундари есть.

У нортела на baystack-ах есть. Во время авторизации на radius сервере присылается номер VID и он определяет текущий VLAN пользователя.

Удобно. Оттестировал. Работает. Доволен.