kapa Posted April 11, 2006 Posted April 11, 2006 Дано: Сеть в 1500 абонентов. Растущая. 10 сегментов с 1 гигабитным в центре. 2 софтовых маршрутера разруливают по 5 сегментов. От маршрутеров всё стекается в шлюз UTM. Вопрос: Хочется сделать аутентификацию пользователей ещё на уровне 1 сегмента, а не UTM, чтоб блокировать доступ к локальным ресурсам неплательщикам. Чем в этом плане отличаются pptp и ppoe? Второе, насколько понимаю, подразумевает авторизацию как раз на маршрутерах, ибо дальше не пробьётся. Первое может и дальше. Не нагнутся ли маршрутеры при таком количестве фаервольных правил на них? P.S. Маршрутеры: 64 AMD с шиной 1600 и сетевухами 3-com UTM - 2процессорный Ксеон с 4,5 Гбайтами оперативы. Заранее спасибо. Вставить ник Quote
Blackmore Posted April 12, 2006 Posted April 12, 2006 pppoe - для одного сегмента сети, pptp - ходит через маршрутизатор при соответсвующей настройке последнего, я бы поставил в каждый сегмент по отдельному серверу доступа (pppoe или pptp - без разницы) - у Вас выходит гдето по 150 в максимуме соединений - такое протянет даже небольшая машинка и UTM нормально вполне работает с удаленными маршрутизаторами, отключать доступ к локальным ресурсам - про это неоднократно здесь говорили, лучше всего отключая порт клиента на коммутаторе - UTM пока так работать с коммутаторами не умеет, как вариант написать скрипт управления портами коммутаторов посредством SNMP и прикрутить его к UTM в соседнем треде многоуважаемый jab писал : Главное правило - никогда не покупать 3сом, и будете сухим и чистым. с этим можно согласится и сетевухи поставить от Ынтел, про остальное добрые аборигены добавят - здесь любят давать советы и иногда это помогает вопрошающим Вставить ник Quote
kapa Posted April 12, 2006 Author Posted April 12, 2006 я бы поставил в каждый сегмент по отдельному серверу доступа (pppoe или pptp - без разницы) а почему тогда не pptp на самом UTM? может не потянуть? отключать доступ к локальным ресурсам - про это неоднократно здесь говорили, лучше всего отключая порт клиента на коммутаторе - UTM пока так работать с коммутаторами не умеет, как вариант написать скрипт управления портами коммутаторов посредством SNMP и прикрутить его к UTM возможно, к этому и придём, но не сразу, а сейчас хотелось бы хоть как-то чем плохо использовать фаервол на роутерах и блокировать выход с них всем должникам, оставив только порты для авторизации? в соседнем треде многоуважаемый jab писал :Главное правило - никогда не покупать 3сом, и будете сухим и чистым. сейчас почитаю, надеюсь, многоуважаемый jab написал почему? очень интересно Вставить ник Quote
Барий Posted April 12, 2006 Posted April 12, 2006 PPPoE - немаршрутизируемый протокол, "маршрутизация" между сетями возможна лишь посредством PPPoE-релеев. (аналог DHCP релея). PPTP - таких ограничений не имеет. Ни тот ни другой протокол никакого отношения ни к аутентификации, ни к авторизации не имеет. Это лишь транспорт. Насколько я понял вам нужна авторизация, а именно предоставление (или запрет) доступа на уровне ресурсов. Тогда, что есть "локальные ресурсы", доступ к которым вы хотите заблокировать, в вашем случае? Это ресурсы, расположенные на компьютерах клиентов (тех которых 1500), либо это ресурсы одного в-лана, либо это ваш ресурс, доступ к которому имеют все подключенные к интернету пользователи вне зависимости от состояния счета, либо еще что-то... Вставить ник Quote
SergeiK Posted April 13, 2006 Posted April 13, 2006 Добавлю, что PPPoE прекрасно обходиться без IP адресов, то есть клиент может не настраивать IP адрес на сетевой и не получить его по DHCP, но найти PPPoE сервер и получить доступ в интернет. Правда локалку не увидит в этом случае. Некоторые девайсы не хотят работать с PPTP, из абонентских. PPPoE считается побыстрее, менее нагрузочный. Но если у вас много сегментов (вланов) придется ставить PPPoe в каждый. Правда, если они собираются в одном месте, то можно сделать одной железкой :). Вставить ник Quote
kapa Posted April 14, 2006 Author Posted April 14, 2006 отключать доступ к локальным ресурсам - про это неоднократно здесь говорили, лучше всего отключая порт клиента на коммутаторе - UTM пока так работать с коммутаторами не умеет, как вариант написать скрипт управления портами коммутаторов посредством SNMP и прикрутить его к UTM даже если поставить свичи с 802.1x c возможностью аутентификации на портах и Radius-ом? сможет ли радиус UTMа работать с ними? 2 Барий: Возможно, не вполне корректно ставил опрос. Это всё должно будет работать с radius-ом UTMа, или FreeRadius. Там уж разберёмся. Хотелось выбрать оптимальную технологию под имеющуюся архитектуру, а потом уже в ней погрязнуть плотно. Склоняюсь к PPPoE на роутерах, но для установки соединения только с UTM, т.к. почитав, понял, что весь трафик они не потянут. Или поднять отдельный сервер в центре сети и попробовать редиректить на него все пакеты, обращающиеся по его порту. Если это вобще заработает со статическими IP у пользователей, маршрутизируемыми в центральный сегмент, за исключением сервера UTM. "Локальный" трафик - куча медиаконтента с файлового самба-сервера и игры. Если всё заработает, как я описал, попробую блокировать доступ на роутерах неплательщикам по их внутренним IP штатными средствами UTM. Спасибо за ответы. Вставить ник Quote
kapa Posted April 17, 2006 Author Posted April 17, 2006 кстати, вопрос ещё появился: если у меня авторизация на свичах, то как организовать доступ к сайту или балансу у пользователя? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.