muchacho Опубликовано 10 июля, 2007 (изменено) · Жалоба Есть Catalyst 3560, есть сервер на котором авторизуются примерно 1,5к пользователей (пользователи ходят через циску). Нужно сделать чтобы при авторизации, сервер давал команду циске открыть доступ к Интернету пользователям или наоборот закрыть. Вопросы: 1. Каким образом серверу лучше давать команду циске? SNMP, telnet или ещё каким-то? 2. Как лучше открывать/закрывать доступ к Интернету учитывая кол-во пользователей до 2,5к? Долго искал решение, нашёл только решение от LanBilling, в котором на сервере создаётся файлик со списком acl’ей и по расписанию заливается на циску через tftp. Это решение не подходит т.к. авторизация и управление доступом должны работать в реальном времени. Да, ещё на 2-3 адреса доступ всегда должен быть открыт, независимо от того, авторизован клиент или нет. С циской знаком чисто теоретически, практического опыта нет, поэтому прошу прощения за наглость:) Заранее спасибо. Изменено 10 июля, 2007 пользователем muchacho Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 июля, 2007 · Жалоба В реальном времени ISG надо. Боюсь, Вам это будет не по карману. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 10 июля, 2007 · Жалоба я тоже боюсь что не по карману:) неужели не реально сделать так, чтобы при авторизации сервер по телнету или snmp добавлял/удалял на циске aclи/vlanы/т.п.? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 июля, 2007 · Жалоба реально, только не надо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 10 июля, 2007 · Жалоба реально, только не надо :) почему не надо? вы хотите сказать, что, с помощью циски, я свою задачу не решу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 июля, 2007 · Жалоба Этим способом при помощи циски никто такую задачу не решает. Используют или PPPoE или "вилан на клиента" или управляемые свитчи с IP-MAC-Port-Binding на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 10 июля, 2007 · Жалоба PPPoE и "вилан на клиента" мне не подходят IP-MAC-Port-Binding на доступе пока сделать не реально мне нужно именно описаное мной решение, вопрос в том как его лучше реализовать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 10 июля, 2007 · Жалоба тогда как вы хотите это сделать? структурную схему.. плиз.. иначе нечем несможем помочь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 июля, 2007 · Жалоба ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно. от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 11 июля, 2007 · Жалоба Сети 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 – разделяются vlan’ами и маршрутизируются на свиче. Чтобы клиент имел доступ к другой сети/интернету он должен автоизоваться, иначе имеет доступ только к серверу авторизации. Это собственно вся задача. ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно. Управление доступом нужно сделать на свиче именно для того, чтобы клиент не мог выйти за пределы своей сети без авторизации. Если бы дело было только в Интернете – всё было бы намного проще. от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения. Как я понял кол-во записей в аксес листах ограничено 2к, поэтому 2,5к уже никак не будет. И с этой цифрой я наверное погорячился. На данный момент через этот свич будут работать около 1,5к клиентов. Решение это временное и, я думаю, к 2к половина клиентов будут работать через IP-MAC-Port-Binding. Одновременно авторизованных клиентов сейчас примерно 400, сколько будет вечером не знаю, посмотрю, но сомневаюсь, что будет больше 600. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 12 июля, 2007 · Жалоба Можно заставить получать ее ACL формируемый на tftp, по схеме: 1. Убираем ACL с порта 2. Загружаем новый убивая старый 3. Применяем ACL на порт Но боюсь тяжко ей будет, не того плана железка... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 12 июля, 2007 · Жалоба tftp я сразу отбросил, проще через telnet сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 12 июля, 2007 · Жалоба Тут есть одна тонкость, в случае с tftp все можно сделать по SNMP, а вот telnet будет крайне непредсказуем... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 12 июля, 2007 (изменено) · Жалоба 3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичами это только в России ставят их на аггрегацию и в ядро ) rsh rcmd самое то Изменено 12 июля, 2007 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 13 июля, 2007 · Жалоба Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 13 июля, 2007 · Жалоба Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце. http://www.cisco.com/en/US/products/hw/swi...00801f3d7d.html Two thousand access control entries (ACEs) are supported. 3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичамиэто только в России ставят их на аггрегацию и в ядро ) rsh rcmd самое то я не против:) были бы деньги - ставил бы 65ые на доступ:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 13 июля, 2007 (изменено) · Жалоба Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами. По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000. Так что идея автора топика отнють не утопическая. Изменено 13 июля, 2007 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
029ah Опубликовано 14 июля, 2007 · Жалоба фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 14 июля, 2007 · Жалоба Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами. это то, что нужно спасибо огромное По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000. кол-во ACE наврядли дотянет хотябы до 700, так что, судя по табличке из доки по свичу - sdm prefer или default или routing фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей на следующей неделе буду пробовать, т.к. не особо верится на маршрутизаторах тоже такая картина? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...