vIv Опубликовано 17 октября, 2005 · Жалоба Нееет.... RUBY 2326 тут совершенно не при чём.... Да и на уровень доступа он не особо подходит.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GM Опубликовано 22 октября, 2005 · Жалоба Кстати, в доке так и не нашёл, а reauthentification по таймеру 460-е умеют? Если нет, то дырка-с... насколько я понимаю это относится к любому производителю: Застраховаться от нежелательного пользователя можно используя механизм переаутентификации. Для этого в процессе начальной аутентификации на RADIUS сервере пользователю необходимо возвращать дополнительные атрибуты - session-time (время жизни сессии в секундах) и termination-action (значение 1). Однако в данном случае клиент должен поддерживать кеширование данных аутентификации, иначе ему по таймауту сессии придется заново вводить логин и пароль. Session-Timeout Forces the Termination action after a period of time defined in seconds. This is useful for security purposes, as it prevents machines being permanently logged in. Termination Action When Session-Timeout is reached this attribute defines the action that must be taken. · Default the user will be forcibly logged out. · RADIUS-Request, will require the user to re-authenticate, if authentication is successful all session data (such as packet counts) continues. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 23 октября, 2005 · Жалоба а как вам схема авторизации по 802.1x: упр свич (узел доступа) --- неупр. свич (на доме) -1 влан абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x благо mac-based 802.1x позволяют задать до 16 маков на порт у длинка до 32 у хьюлетов до ?? у байстэков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 23 октября, 2005 · Жалоба а как вам схема авторизации по 802.1x:упр свич (узел доступа) --- неупр. свич (на доме) -1 влан абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x благо mac-based 802.1x позволяют задать до 16 маков на порт у длинка до 32 у хьюлетов до ?? у байстэков а как нащет арпфлуда на неуправляемом коммутаторе, доведения его до состояния хаба. затем перехватываем маки и вперед к 802.1х? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 24 октября, 2005 · Жалоба а как нащет арпфлуда на неуправляемом коммутаторе, доведения его до состояния хаба. затем перехватываем маки и вперед к 802.1х? Не самый эффективный способ - EAP еще расшифровать придется. Или это к тому что можно поставить MAC авторизованного юзера? Тоже не так страшно - будет все глючить конкретно. P.S. Видимо говорилось о mac-flood.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 24 октября, 2005 · Жалоба а как вам схема авторизации по 802.1x:упр свич (узел доступа) --- неупр. свич (на доме) -1 влан абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x благо mac-based 802.1x позволяют задать до 16 маков на порт у длинка до 32 у хьюлетов до ?? у байстэков Работает с переменным успехом :) Главная проблема видимо в кривом клиенте 802.1x встроенном в XP/2000. Недавно ноут приобрел IBM'овский так там предустановлен сторонний клиент (AEGIS вроде). Думаю не зря они потратильсь на софтину эту. Мы тоже хотели сначала 802.1x везде вводить (ограничились 1й сетью , как оказалось не зря). У многих юзеров еще остались 9x винды , MacOS старые. Фришных клиентов под это нету (рабочих). Есть еще у многих железки (a'la роутер за 40$) которые тоже не знают ничего о этом замечательном протоколе. Ну и винда подглючивает. К тому - же для XP - нужно >=SP1 для 2000 >=SP4. Не у всех опять же стоит изначально. Насчет HP - там 802.1 mac-based есть только на старших моделях (никак не уровня доступа). То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac ) А вот про BayStack сам бы хотел узнать , может просветит кто? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 24 октября, 2005 · Жалоба в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac ) на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 25 октября, 2005 · Жалоба в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль То что Вы увидели - скорее всего mac авторизация (на радиус в качестве логина и пароля шлеться mac ) на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based) Вот только в HP mac-based авторизация - это вобщемто не авторизация , a просто весьма удобный способ привязки маков. Port-based - там нормальный 802.1x. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 26 октября, 2005 · Жалоба Вот только в HP mac-based авторизация... Да ну ;-) Коммутатор спрашивает у радиуса - можно ли мне работать с этим маком. Радиус отвечает Если смотреть шире - учитывая что абонент может сменить мак - то ты прав. В качестве "авторизации" mac-base HP не подходит. Вы пробовали тестировать HP port-base 802.1x: интересно вот что: 1. к порту 802.1x port based - поключено 4 юзера (через неупр свич), юзер 1 - авторизовался по 802.1x - порт открыт (или таки мак открыт?) смогут ли юзеры2-4 ходит через этот порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...