Jump to content

Авторизация пользователей на свичах

2bit
 Share

Recommended Posts

2bit

2bit

Posted
Posted

Добрый день,

 

Все знают, что на свежих свичах и прошивках (таких как ZyXEL ES-2024A) возможно указывать RADIUS сервер. Возникает вопрос, зачем?

 

Я так понимаю появилась новая система аунтификации пользователей.

По такой схеме: СЕРВЕР ДОСТУП (RADIUS СЕРВЕР) <-----------> SWITCH (RADIUS CLIENT) <----------> Пользователь.

Тоесть на некотором сервере, на котором стоит RADIUS, заведенены учётные записи пользователей (PPPoE). К этому серверу подключен свич (как RADIUS клиент). В свою очередь свич настроен на изоляцию пользователей, пока те не авторизуются.

 

То есть появляется новый пользователь в локальной сети, он не видит ни кого кроме себя (свич его полностью изолируется). Но стоит пользователю подключиться по PPPoE, его пропускает свич.

 

То есть свич каким-то велосипедом принимает запросы на подключение, отправляет их RADIUS серверу, тот в свою очередь определяет заведён ли такой пользоваль. И отсылает команду свичу пропустить/игнорировать.

 

Понимаю что это полный бред. Но в моём понимании никаких других схем работы всего этого не появляется.

SergDM

SergDM

Posted
Posted

Свич не велосипедом отправляет ) 3com котрый жужжит у меня под боком в одном из вариантов настройки смотрит на свежепоявившийся мак юзера и пытается переправить его радиус серверу и в случае успеха дает ему нетворк аксесс (например выводит из гостевого влана в номальный ) , а дальше в принципе уже и пппое пройти может.. если захочет...

2bit

2bit

Posted
  • Author
Posted
у них - это у кого?

Ничего, что пока ты PPPoE не авторизовался - у тебя даже ип нету... может из за этого?

Нет =). В соседних домах соединённых последовательно оптикой. Один пользователей посылал флуд. Я в другом доме пытался "заловить" это флуд, но свичи изолировали =(.

 

Свич не велосипедом отправляет ) 3com котрый жужжит у меня под боком в одном из вариантов настройки смотрит на свежепоявившийся мак юзера и пытается переправить его радиус серверу и в случае успеха дает ему нетворк аксесс (например выводит из гостевого влана в номальный ) , а дальше в принципе уже и пппое пройти может.. если захочет...
Может это оно?!
vIv

vIv

Posted
Posted (edited)

Смешались в кучу кони, люди.....

 

802.1X - доступ в эзернет. По паролю или по сертификату.

Фильтрация по EtherType - это L2 ACL, в частности можно просто "запретить всё, кроме PPPoE"

А ещё можно указывать RADIUS/TACACS+ для того, чтобы проверять права доступа тех, кто пытается устройством поуправлять.

Edited by vIv
vIv

vIv

Posted
Posted (edited)

Если уж vlan-per-customer , то обсчитывается оно элементарно по netflow/sflow , авторизация выполняется аппаратно - проводом в квартиру, ну а параноикам доступен как-раз 802.1X

PPPoE тут ни с какого боку не нужен

Edited by vIv

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.