[vIv]

Нееет.... RUBY 2326 тут совершенно не при чём....

Да и на уровень доступа он не особо подходит....

[GM]

Кстати, в доке так и не нашёл, а reauthentification по таймеру 460-е умеют? Если нет, то дырка-с...

насколько я понимаю это относится к любому производителю:

Застраховаться от нежелательного пользователя можно используя механизм переаутентификации. Для этого в процессе начальной аутентификации на RADIUS сервере пользователю необходимо возвращать дополнительные атрибуты - session-time (время жизни сессии в секундах) и termination-action (значение 1). Однако в данном случае клиент должен поддерживать кеширование данных аутентификации, иначе ему по таймауту сессии придется заново вводить логин и пароль.

 

Session-Timeout

 

 

Forces the Termination action after a period of time defined in seconds. This is useful for security purposes, as it prevents machines being permanently logged in.

 

 

Termination Action

 

 

When Session-Timeout is reached this attribute defines the action that must be taken.

 

 

· Default the user will be forcibly logged out.

· RADIUS-Request, will require the user to re-authenticate, if authentication is successful all session data (such as packet counts) continues.

[G.Y.S.]

а как вам схема авторизации по 802.1x:

упр свич (узел доступа) --- неупр. свич (на доме) -1 влан

 

абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x

 

благо mac-based 802.1x позволяют задать

до 16 маков на порт у длинка

до 32 у хьюлетов

до ?? у байстэков

[balamutang]

а как вам схема авторизации по 802.1x:

упр свич (узел доступа) --- неупр. свич (на доме) -1 влан

 

абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x

 

благо mac-based 802.1x позволяют задать

до 16 маков на порт у длинка

до 32 у хьюлетов

до ?? у байстэков

а как нащет арпфлуда на неуправляемом коммутаторе, доведения его до состояния хаба. затем перехватываем маки и вперед к 802.1х?

[alex_001]

а как нащет арпфлуда на неуправляемом коммутаторе, доведения его до состояния хаба. затем перехватываем маки и вперед к 802.1х?

 

Не самый эффективный способ - EAP еще расшифровать придется. Или это к тому что можно поставить MAC авторизованного юзера? Тоже не так

страшно - будет все глючить конкретно.

 

P.S. Видимо говорилось о mac-flood..

[alex_001]

а как вам схема авторизации по 802.1x:

упр свич (узел доступа) --- неупр. свич (на доме) -1 влан

 

абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x

 

благо mac-based 802.1x позволяют задать

до 16 маков на порт у длинка

до 32 у хьюлетов

до ?? у байстэков

 

Работает с переменным успехом :) Главная проблема видимо в кривом клиенте 802.1x встроенном в XP/2000. Недавно ноут приобрел IBM'овский так там предустановлен сторонний клиент (AEGIS вроде). Думаю не зря они потратильсь на софтину эту.

 

Мы тоже хотели сначала 802.1x везде вводить (ограничились 1й сетью , как оказалось не зря). У многих юзеров еще остались 9x винды , MacOS старые. Фришных клиентов под это нету (рабочих). Есть еще у многих железки (a'la роутер за 40$) которые тоже не знают ничего о этом замечательном протоколе. Ну и винда подглючивает. К тому - же для XP - нужно >=SP1 для 2000 >=SP4. Не у всех опять же стоит изначально.

 

Насчет HP - там 802.1 mac-based есть только на старших моделях (никак не уровня доступа). То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac )

 

А вот про BayStack сам бы хотел узнать , может просветит кто?

[G.Y.S.]

в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль

 

То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac )  

на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based)

[alex_001]

в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль

 

То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac )

на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based)

Вот только в HP mac-based авторизация - это вобщемто не авторизация , a просто весьма удобный способ привязки маков. Port-based - там нормальный 802.1x.

[G.Y.S.]

Вот только в HP mac-based авторизация...

Да ну ;-)

Коммутатор спрашивает у радиуса - можно ли мне работать с этим маком. Радиус отвечает

Если смотреть шире - учитывая что абонент может сменить мак - то ты прав. В качестве "авторизации" mac-base HP не подходит.

Вы пробовали тестировать HP port-base 802.1x:

интересно вот что:

1. к порту 802.1x port based - поключено 4 юзера (через неупр свич),

юзер 1 - авторизовался по 802.1x - порт открыт (или таки мак открыт?)

смогут ли юзеры2-4 ходит через этот порт?