Bear_UA Опубликовано 8 января, 2008 · Жалоба Подскажите по двум вопросам. 1. Можно ли как-то заставить пппое сервер выдавать после авторизации ИП адрес для сетевой карты клиента (а-ля dhcp) 2. Можно ли отдать dhcp пакет через пппое тунель клиенту после авторизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 8 января, 2008 · Жалоба 1 да 2 ммм - нафиг?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 8 января, 2008 · Жалоба Выдать адрес именно для сетевой карты, а не для туннельного интерфейса pppoe? Не думаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 8 января, 2008 · Жалоба 2Bear_UA: курим что есть pppoe и с чем его кушают http://www.nag.ru/2004/1125/1125.shtml Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 8 января, 2008 · Жалоба Спасибо. А подскажите как можно сделать такую хитрую штуку чтобы клиент авторизировался по пппое на юникс машине, а после этого маршрутизацией его пакетов занялся рядомстоящий свитч? Это утопия или это возможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 8 января, 2008 · Жалоба Вы вероятно невнимательно читали информацию по приведенному выше линку. PPPoE это туннельное соединение со всеми вытекающими .... и главное - зачем ? Даже не очень шустрая машинка в сочетании с freebsd и mpd прожует довольно много .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 8 января, 2008 · Жалоба Попробую обьяснить зачем. Руководству локальной сети хочется чтобы можно было контролировать клиентов пользующихся ресурсом и применять к ним меры без "лазанья к клиентскому свичу". Тоесть доступ к любому ресурсу выполнялся только ПОСЛЕ авторизации пользователя по логину и паролю. Т.к. пользователей (и сегментов сети) много то все повесить на машину с фрибсд и мпд - машинка будет мягко говоря загибаться. Я разработал схему с выдачей ип и маршрутов для локального трафика через dhcp и выдачу инета через пппое. Но возник вопрос - а если пользователь самостоятельно поставит себе ИП (не получая по dhcp) - сможет ли он получить доступ к локалке? Конечно сможет. Вот надо как-то это избежать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 8 января, 2008 · Жалоба к-во терминаторов можно сделать больше одного, к примеру 2 или 4 или ... в зависимости от планируемой нагрузки ..... исходя их принипа 400-700 юзверей на терминатор (сильно зависит от самого PC). > Я разработал схему с выдачей ип и маршрутов для локального трафика через dhcp и выдачу инета через пппое. Вы скрестили быка и носорога. Если уж так хочется заморачиваться с таким разделением - читаем про PPtP. > сможет ли он получить доступ к локалке? если мыльницы - да, сможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 8 января, 2008 · Жалоба Сейчас схема и работает на пптп. Но хочется сделать более упрощенное подключение для конечного пользователя. В конце на клиента будет стоять не мыльница а Л2 свитч. Но отключать/включать руками клиента на порту также не хочется, хочется это все как-то автоматизировать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teodor Опубликовано 8 января, 2008 · Жалоба Смотрите в сторону vlan'ов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Harmer Опубликовано 8 января, 2008 · Жалоба Поищи, тут была статья по авторизации с помощью 802.1х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 8 января, 2008 · Жалоба 802.1x хорош если к порту комутатора подключается 1 клиент. А если к порту комутатора подключается еще компекс 8-ка и 7 абонентов? Как тогда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 8 января, 2008 · Жалоба В конце на клиента будет стоять не мыльница а Л2 свитч ну так автоматизируйте процесс включения\отключения пользователей. с помощью snmp и скриптов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 9 января, 2008 · Жалоба snmp насколько мне известно может включить отключить порт но не конкретный мак на порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LeStat Опубликовано 9 января, 2008 · Жалоба >В конце на клиента будет стоять не мыльница а Л2 свитч. >А если к порту комутатора подключается еще компекс 8-ка и 7 абонентов? Как тогда? определитесь ) а вообще править ACL на коммутаторе... Идеальным вариантом будет ВЛАНы.... но осилит ли ядро? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 9 января, 2008 · Жалоба Править ACL на комутаторе в динамике - реализуемо? Какой клас л2 комутаторов это поддерживает? Виланы да согласен - то на порту будет висеть мыльница. Как быть в таком случае? Как защититься от самостоятельной прописки ИП/мак клиентом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LeStat Опубликовано 9 января, 2008 · Жалоба на мыльнице? никак проблема зарыта глубже.... пока не уйдёте от мыльниц - ничего не выйдет... всегда можно запустить снифер, увидеть маки и ипы тех, кто на мыльнице сидит, а подменить - дело техники..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Harmer Опубликовано 9 января, 2008 · Жалоба 802.1x хорош если к порту комутатора подключается 1 клиент. А если к порту комутатора подключается еще компекс 8-ка и 7 абонентов? Как тогда? Статья была по авторизации на полностью неуправляемой сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LeStat Опубликовано 9 января, 2008 · Жалоба Статья была по авторизации на полностью неуправляемой сети. это спасёт максимум то, что за свитчём, хотя мак, опять-таки можно подделать... 802.1х актуален, когда конечный абонент включен в свитч с 802.1х, а не мыльницу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boykov Опубликовано 9 января, 2008 · Жалоба может DHCP с авторизацией? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user_anonymous Опубликовано 9 января, 2008 · Жалоба 802.1x хорош если к порту комутатора подключается 1 клиент. А если к порту комутатора подключается еще компекс 8-ка и 7 абонентов? Как тогда? К порту и должен подключаться только один клиент. Но так как такое условие выполняется не всегда - многие производители позволяют 802.1х для нескольких клиентов на одном порту (хотя имхо это не очень правильно) Используйте правильные свичи. Например можно поизучать это техническое описание. Ближе к концу там есть вполне доступные железяки с очень неплохим заявленным функционалом (см. например 2510 и 2600 серии). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
