muchacho Posted July 10, 2007 Posted July 10, 2007 (edited) Есть Catalyst 3560, есть сервер на котором авторизуются примерно 1,5к пользователей (пользователи ходят через циску). Нужно сделать чтобы при авторизации, сервер давал команду циске открыть доступ к Интернету пользователям или наоборот закрыть. Вопросы: 1. Каким образом серверу лучше давать команду циске? SNMP, telnet или ещё каким-то? 2. Как лучше открывать/закрывать доступ к Интернету учитывая кол-во пользователей до 2,5к? Долго искал решение, нашёл только решение от LanBilling, в котором на сервере создаётся файлик со списком acl’ей и по расписанию заливается на циску через tftp. Это решение не подходит т.к. авторизация и управление доступом должны работать в реальном времени. Да, ещё на 2-3 адреса доступ всегда должен быть открыт, независимо от того, авторизован клиент или нет. С циской знаком чисто теоретически, практического опыта нет, поэтому прошу прощения за наглость:) Заранее спасибо. Edited July 10, 2007 by muchacho Вставить ник Quote
UglyAdmin Posted July 10, 2007 Posted July 10, 2007 В реальном времени ISG надо. Боюсь, Вам это будет не по карману. Вставить ник Quote
muchacho Posted July 10, 2007 Author Posted July 10, 2007 я тоже боюсь что не по карману:) неужели не реально сделать так, чтобы при авторизации сервер по телнету или snmp добавлял/удалял на циске aclи/vlanы/т.п.? Вставить ник Quote
muchacho Posted July 10, 2007 Author Posted July 10, 2007 реально, только не надо :) почему не надо? вы хотите сказать, что, с помощью циски, я свою задачу не решу? Вставить ник Quote
UglyAdmin Posted July 10, 2007 Posted July 10, 2007 Этим способом при помощи циски никто такую задачу не решает. Используют или PPPoE или "вилан на клиента" или управляемые свитчи с IP-MAC-Port-Binding на доступе. Вставить ник Quote
muchacho Posted July 10, 2007 Author Posted July 10, 2007 PPPoE и "вилан на клиента" мне не подходят IP-MAC-Port-Binding на доступе пока сделать не реально мне нужно именно описаное мной решение, вопрос в том как его лучше реализовать Вставить ник Quote
zoro Posted July 10, 2007 Posted July 10, 2007 тогда как вы хотите это сделать? структурную схему.. плиз.. иначе нечем несможем помочь Вставить ник Quote
ingress Posted July 10, 2007 Posted July 10, 2007 ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно. от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения. Вставить ник Quote
muchacho Posted July 11, 2007 Author Posted July 11, 2007 Сети 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 – разделяются vlan’ами и маршрутизируются на свиче. Чтобы клиент имел доступ к другой сети/интернету он должен автоизоваться, иначе имеет доступ только к серверу авторизации. Это собственно вся задача. ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно. Управление доступом нужно сделать на свиче именно для того, чтобы клиент не мог выйти за пределы своей сети без авторизации. Если бы дело было только в Интернете – всё было бы намного проще. от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения. Как я понял кол-во записей в аксес листах ограничено 2к, поэтому 2,5к уже никак не будет. И с этой цифрой я наверное погорячился. На данный момент через этот свич будут работать около 1,5к клиентов. Решение это временное и, я думаю, к 2к половина клиентов будут работать через IP-MAC-Port-Binding. Одновременно авторизованных клиентов сейчас примерно 400, сколько будет вечером не знаю, посмотрю, но сомневаюсь, что будет больше 600. Вставить ник Quote
olebedev Posted July 12, 2007 Posted July 12, 2007 Можно заставить получать ее ACL формируемый на tftp, по схеме: 1. Убираем ACL с порта 2. Загружаем новый убивая старый 3. Применяем ACL на порт Но боюсь тяжко ей будет, не того плана железка... Вставить ник Quote
muchacho Posted July 12, 2007 Author Posted July 12, 2007 tftp я сразу отбросил, проще через telnet сделать Вставить ник Quote
olebedev Posted July 12, 2007 Posted July 12, 2007 Тут есть одна тонкость, в случае с tftp все можно сделать по SNMP, а вот telnet будет крайне непредсказуем... Вставить ник Quote
ingress Posted July 12, 2007 Posted July 12, 2007 (edited) 3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичами это только в России ставят их на аггрегацию и в ядро ) rsh rcmd самое то Edited July 12, 2007 by ingress Вставить ник Quote
Nailer Posted July 13, 2007 Posted July 13, 2007 Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце. Вставить ник Quote
muchacho Posted July 13, 2007 Author Posted July 13, 2007 Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце. http://www.cisco.com/en/US/products/hw/swi...00801f3d7d.html Two thousand access control entries (ACEs) are supported. 3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичамиэто только в России ставят их на аггрегацию и в ядро ) rsh rcmd самое то я не против:) были бы деньги - ставил бы 65ые на доступ:) Вставить ник Quote
Kaban Posted July 13, 2007 Posted July 13, 2007 (edited) Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами. По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000. Так что идея автора топика отнють не утопическая. Edited July 13, 2007 by Kaban Вставить ник Quote
029ah Posted July 14, 2007 Posted July 14, 2007 фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей Вставить ник Quote
muchacho Posted July 14, 2007 Author Posted July 14, 2007 Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами. это то, что нужно спасибо огромное По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000. кол-во ACE наврядли дотянет хотябы до 700, так что, судя по табличке из доки по свичу - sdm prefer или default или routing фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей на следующей неделе буду пробовать, т.к. не особо верится на маршрутизаторах тоже такая картина? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.