Денис Креминский Опубликовано 5 января, 2005 · Жалоба Уважаемые коллеги, Как правильно трактовать "до 32 VLAN" в описании AT-8024? Стандарт описывает "до 4096 (4094) tagged 802.1q VLANs на сегмент". Некоторые описания протокола 802.1x, например, это: http://www.nwfusion.com/research/2002/0506...06whatisit.html говорят о том, что при успешной аутентификации клиента (supplicant) сервер, допустим, radius (athentication server) может выдавать cвичу (authenticator) параметры для конфигурирвания клиентского порта. Вопросы такие: 1. Можно ли в принципе выдавать при аутентификации по 802.1х VID для tagged-VLAN и устанавливать его на аутентифицирующийся порт? 2. Если да, то умеет ли это делать AT-8024? В нем есть port security и поддержка tacacs/radius, а вот 802.1х не видно. Если нет, то какой близкий по функционалу/цене свич умеет? 3. Если да, то какой сервер аутентификации лучше использовать? (с учетом того, что клиенты 802.1х -- либо freeware, либо встроенный в xp, либо установленный с microsoft.com в w2k) Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 6 января, 2005 · Жалоба Уважаемые коллеги, Как правильно трактовать "до 32 VLAN" в описании AT-8024? Стандарт описывает "до 4096 (4094) tagged 802.1q VLANs на сегмент". Железка реально держит только 32 VLAN. Некоторые описания протокола 802.1x, например, это: http://www.nwfusion.com/research/2002/0506...06whatisit.html говорят о том, что при успешной аутентификации клиента (supplicant) сервер, допустим, radius (athentication server) может выдавать cвичу (authenticator) параметры для конфигурирвания клиентского порта. Вопросы такие: 1. Можно ли в принципе выдавать при аутентификации по 802.1х VID для tagged-VLAN и устанавливать его на аутентифицирующийся порт? Не видел таких реализаций. В принципе можно по SNMP после авт. все делать. 2. Если да, то умеет ли это делать AT-8024? В нем есть port security и поддержка tacacs/radius, а вот 802.1х не видно. Если нет, то какой близкий по функционалу/цене свич умеет? Не знаю насчет AT , DLINK DES33xx DES32xx умеют 802.1х. Если надо много клиентов на порт то 16 на порт - не больше. 3. Если да, то какой сервер аутентификации лучше использовать? (с учетом того, что клиенты 802.1х -- либо freeware, либо встроенный в xp, либо установленный с microsoft.com в w2k) FreeRadius - проверего , работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 6 января, 2005 · Жалоба Денис Креминский По поводу VLAN, в стандарте написано, что идентификатор может быть в пределах 4096, а сколько держит свич - зависит от производителя. AT-8024 держит 32 VLAN, но идентификатор (VID) ты можешь назначать любой в пределах 4096. А зачем вам больше VLAN? Если в сети куча VLAN, значит что-то непправильно спроектировано. Для изоляции пользователей друг от друга существует другой механизм, в AT-8024 есть так называемый non-Q-complient VLAN. То есть выделенные порты находятся в одном 1-м нетегированном VLAN, а изоляция трафика друг от друга производится аппаратно. Общаться они могут только с назначенным uplonk портом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 6 января, 2005 · Жалоба Денис КреминскийПо поводу VLAN, в стандарте написано, что идентификатор может быть в пределах 4096, а сколько держит свич - зависит от производителя. AT-8024 держит 32 VLAN, но идентификатор (VID) ты можешь назначать любой в пределах 4096. А зачем вам больше VLAN? Если в сети куча VLAN, значит что-то непправильно спроектировано. Ну, попробую объяснить, может, поправите. В ветке software было обсуждение того, как можно избежать использования прокси у абонента, который подключен в свич, аналогичный AT-8024, и использует безлимитный тариф. Подобная схема позволяет пользователям фактически "воровать" трафик у оператора, пропуская его через единственного оплатившего эту услугу пользователя. Самым действенным техническим средством борьбы с этой проблемой обозначили использование тэгированных VLAN, ибо тогда защита от передачи трафика от абонента к абоненту минуя средства учета и безопасности возможна в рамках всего сегмента, а не только одного свича. Для изоляции пользователей друг от друга существует другой механизм, в AT-8024 есть так называемый non-Q-complient VLAN. То есть выделенные порты находятся в одном 1-м нетегированном VLAN, а изоляция трафика друг от друга производится аппаратно. Общаться они могут только с назначенным uplonk портом. я так понимаю, он будет работать в рамках одного конкретного свича? Тогда описанная выше проблема не решается полноценно или требует установки за каждым коммутатором маршрутизатора, а хотелось бы обойтись без этого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 6 января, 2005 · Жалоба данные железки мне не понравились, т.к. при удаленном управлении (telnet или веб) не доступны многие функции. (пример: вкл/вылк - порт секурити на портах или установка мак-фильтра - доступны только через консоль, как написано в юзер гайде, что имхо бред). Внимание вопрос: как обстоит дело с snmp (в свое время руки не доши попробовать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 6 января, 2005 · Жалоба alex_001, Не видел таких реализаций. В принципе можно по SNMP после авт. все делать. У Фаундари есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 6 января, 2005 · Жалоба Денис Креминский Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции. G.Y.S Есть новая серия AT-8500, там все функции можно конфигурить удаленно (через telnet, ssh). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 6 января, 2005 · Жалоба Денис КреминскийОписанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции. G.Y.S Есть новая серия AT-8500, там все функции можно конфигурить удаленно (через telnet, ssh). Так а что такое non-Q-compliant VLAN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 7 января, 2005 · Жалоба Денис Креминский Грубо говоря - аппаратная изоляция трафика между портами свича. Порты находятся в одном port-based VLAN 1, но трафиком обмениваются только с выделенным uplink портом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 7 января, 2005 · Жалоба Денис КреминскийГрубо говоря - аппаратная изоляция трафика между портами свича. Порты находятся в одном port-based VLAN 1, но трафиком обмениваются только с выделенным uplink портом. Допустим, у нас есть два свича. Они объединены аплинк портами -- неважно, напрямую или через третий свитч. Абоненты, подключенные к первому и второму, в таком случае, легко смогут обмениваться фреймами друг с другом. Верно? Если да, это решение не подходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 7 января, 2005 · Жалоба Денис Креминский Если строить нормальную иерархическую сеть, то все будет нормально и изоляция будет. Не надо придумывать нелепые ситуации. Идеальных железок не бывает, но как ни странно на них существуют нормальные решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ky Опубликовано 7 января, 2005 · Жалоба Денис КреминскийОписанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции. значит придется переделывать всю сеть, чтобы отделить одного юзера от другого ... а что за железо должно стоять в центре? ведь именно туда и будет сливаться весь трафик? а вот что делать если захочется объединить несколько юзеров (сделать так, чтобы они "видели" друг друга, и гоняли трафик напрямую) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 7 января, 2005 · Жалоба Денис КреминскийОписанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции. значит придется переделывать всю сеть, чтобы отделить одного юзера от другого ... а что за железо должно стоять в центре? ведь именно туда и будет сливаться весь трафик? а вот что делать если захочется объединить несколько юзеров (сделать так, чтобы они "видели" друг друга, и гоняли трафик напрямую) поставить им на двоих ХАБ ;) пущай видят друг друга сколько угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 7 января, 2005 · Жалоба Денис КреминскийЕсли строить нормальную иерархическую сеть, то все будет нормально и изоляция будет. Не надо придумывать нелепые ситуации. Идеальных железок не бывает, но как ни странно на них существуют нормальные решения. Возвращаемся к первому вопросу. "Нормальной иерархии" не бывает по определению "нормы", поэтому еще раз: 1. Поддерживают ли AT-8024 802.1q VLAN tagging и 802.1x? 2. Если нет, какие аналогичные по цене/функционалу устройства его поддерживают? Если можно, с названием модели :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Антон Богатов Опубликовано 7 января, 2005 · Жалоба "Нормальной иерархии" не бывает по определению "нормы", Воистину так! Сорри за оффтоп, но фраза - просто блеск! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 7 января, 2005 · Жалоба Денис Креминский, 2. Dlink DES 3526 (сам не щупал, буду после праздников) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 7 января, 2005 · Жалоба Денис Креминский, 2. Dlink DES 3526 (сам не щупал, буду после праздников) К dlink'у имею суеверные предубеждения :) Но результатов дождусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polux Опубликовано 8 января, 2005 · Жалоба Денис Креминский, У меня есть пара коммутаторов AT8326GB, они точно поддерживают 802.1q который нормальный - основанный на vlan tagging, думаю что в 8024 все точно также, т.к. они не сильно отличаются. Что касается 802.1x то эта возможность даже не заявляена в спецификации, о чем тогда говорить? Почитайте http://www.alliedtelesyn.ru/site/files/doc...asheet/8024.pdf Port security - это возможность закрепить за определеным портом mac адреса, причем есть несколько способов это осуществить + еще пара наворовтов, сейчас точно сказать не могу, если интересно могу чуть позже разъяснить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polux Опубликовано 8 января, 2005 · Жалоба Кстати у телесина сапорт не плохо работает support@alliedtelesyn.ru. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 8 января, 2005 · Жалоба polux Просто спецификация старая. :) На самом деле там есть поддержка 802.1x. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 8 января, 2005 · Жалоба polux Сорри, косякнулся. Не туда посмотрел на их сайте. 802.1x есть в AT-8524M. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 8 января, 2005 · Жалоба Что касается 802.1x то эта возможность даже не заявляена в спецификации, о чем тогда говорить? Не согласен! http://www.alliedtelesyn.ru/site/files/doc...000_G_Fixed.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polux Опубликовано 8 января, 2005 · Жалоба Денис Креминский, да интересно получается...Посмотрю на своих, в понедельник-вторник скажу что да как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 8 января, 2005 · Жалоба Денис Креминский, polux Ха, раскопал. Оказывается у них на сайте старая документация, млин, издатели. Начиная с версии софта 3.1.0 и выше поддержка 802.1x в свичах AT-8000 серии есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
repa Опубликовано 9 января, 2005 · Жалоба alex_001, Не видел таких реализаций. В принципе можно по SNMP после авт. все делать. У Фаундари есть. У нортела на baystack-ах есть. Во время авторизации на radius сервере присылается номер VID и он определяет текущий VLAN пользователя. Удобно. Оттестировал. Работает. Доволен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...