[muchacho]

Есть Catalyst 3560, есть сервер на котором авторизуются примерно 1,5к пользователей (пользователи ходят через циску). Нужно сделать чтобы при авторизации, сервер давал команду циске открыть доступ к Интернету пользователям или наоборот закрыть.

Вопросы:

1. Каким образом серверу лучше давать команду циске? SNMP, telnet или ещё каким-то?

2. Как лучше открывать/закрывать доступ к Интернету учитывая кол-во пользователей до 2,5к?

Долго искал решение, нашёл только решение от LanBilling, в котором на сервере создаётся файлик со списком acl’ей и по расписанию заливается на циску через tftp. Это решение не подходит т.к. авторизация и управление доступом должны работать в реальном времени.

Да, ещё на 2-3 адреса доступ всегда должен быть открыт, независимо от того, авторизован клиент или нет.

 

С циской знаком чисто теоретически, практического опыта нет, поэтому прошу прощения за наглость:)

Заранее спасибо.

Изменено 10 июля, 2007 пользователем muchacho

[UglyAdmin]

В реальном времени ISG надо.

Боюсь, Вам это будет не по карману.

[muchacho]

я тоже боюсь что не по карману:)

 

неужели не реально сделать так, чтобы при авторизации сервер по телнету или snmp добавлял/удалял на циске aclи/vlanы/т.п.?

[UglyAdmin]

реально, только не надо :)

[muchacho]

реально, только не надо :)

почему не надо?

вы хотите сказать, что, с помощью циски, я свою задачу не решу?

[UglyAdmin]

Этим способом при помощи циски никто такую задачу не решает.

Используют или PPPoE или "вилан на клиента" или управляемые свитчи с IP-MAC-Port-Binding на доступе.

[muchacho]

PPPoE и "вилан на клиента" мне не подходят

IP-MAC-Port-Binding на доступе пока сделать не реально

 

мне нужно именно описаное мной решение, вопрос в том как его лучше реализовать

[zoro]

тогда как вы хотите это сделать? структурную схему.. плиз.. иначе нечем несможем помочь

[ingress]

ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно.

от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения.

[muchacho]

 

Сети 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 – разделяются vlan’ами и маршрутизируются на свиче. Чтобы клиент имел доступ к другой сети/интернету он должен автоизоваться, иначе имеет доступ только к серверу авторизации. Это собственно вся задача.

 

ну если так делать то делать(открывать доступ) на железке которая делает НАТ этих юзеров, зачем это делать на Л3 свиче для этого не предназначенным - непонятно.

Управление доступом нужно сделать на свиче именно для того, чтобы клиент не мог выйти за пределы своей сети без авторизации. Если бы дело было только в Интернете – всё было бы намного проще.

 

от аксес листа на 2,5к записей ТКАМ умрёт перманентно от ожирения.

Как я понял кол-во записей в аксес листах ограничено 2к, поэтому 2,5к уже никак не будет. И с этой цифрой я наверное погорячился. На данный момент через этот свич будут работать около 1,5к клиентов. Решение это временное и, я думаю, к 2к половина клиентов будут работать через IP-MAC-Port-Binding. Одновременно авторизованных клиентов сейчас примерно 400, сколько будет вечером не знаю, посмотрю, но сомневаюсь, что будет больше 600.

[olebedev]

Можно заставить получать ее ACL формируемый на tftp, по схеме:

1. Убираем ACL с порта

2. Загружаем новый убивая старый

3. Применяем ACL на порт

 

Но боюсь тяжко ей будет, не того плана железка...

[muchacho]

tftp я сразу отбросил, проще через telnet сделать

[olebedev]

Тут есть одна тонкость, в случае с tftp все можно сделать по SNMP, а вот telnet будет крайне непредсказуем...

[ingress]

3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичами

это только в России ставят их на аггрегацию и в ядро )

 

rsh rcmd самое то

Изменено 12 июля, 2007 пользователем ingress

[Nailer]

Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце.

[muchacho]

Забудьте про эту идею, у 3560/3750 максимум то ли 512, то ли 1024 ACE. При превышении вылетит в программную коммутацию на проце.

http://www.cisco.com/en/US/products/hw/swi...00801f3d7d.html

 

Two thousand access control entries (ACEs) are supported.

 

3560(50) вообще в терминологии циски продвинутый аксес с л3 рутингом и т.п. фичами

это только в России ставят их на аггрегацию и в ядро )

 

rsh rcmd самое то

я не против:)

были бы деньги - ставил бы 65ые на доступ:)

[Kaban]

Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco

 

мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами.

 

По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000.

 

Так что идея автора топика отнють не утопическая.

Изменено 13 июля, 2007 пользователем Kaban

[029ah]

фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей

[muchacho]

Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco

 

мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами.

это то, что нужно

спасибо огромное

 

По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000.

кол-во ACE наврядли дотянет хотябы до 700, так что, судя по табличке из доки по свичу - sdm prefer или default или routing

 

 

фигня все это, проходили, в момент изменения ACL'ей пакеты теряться будут у всех пользователей

на следующей неделе буду пробовать, т.к. не особо верится

на маршрутизаторах тоже такая картина?