[vIv]

а я тебе расскажу как-нибудь, что в 2005-2006-м открылось... причём, что самое противное, - с дурной виндой.

У тебя бы попробовали - раньше бы нашли эти грабли. А ты, как все брюхоногие, сослался на лень и занятость. Прогрессу кислород перекрыл, ленивец.

Кстати, до сих пор прямого нормального решения нет и не предвидится, - косяк в самой модели атворизации запрятан.

 

Кстати, у вас там подвижки подвигаются или удалось забить на супермысль?

[jab]

а я тебе расскажу как-нибудь, что в 2005-2006-м открылось... причём, что самое противное, - с дурной виндой.

У тебя бы попробовали - раньше бы нашли эти грабли. А ты, как все брюхоногие, сослался на лень и занятость. Прогрессу кислород перекрыл, ленивец.

Кстати, до сих пор прямого нормального решения нет и не предвидится, - косяк в самой модели атворизации запрятан.

Так я сразу сказал, что там граблей на сто лет вперед припасено, а ты меня пессимистом обозвал. :-)

 

Кстати, у вас там подвижки подвигаются или удалось забить на супермысль?

Ну как обычно - "рыбаки ловили рыбу, а поймали рака". :-) Главное что я благополучно от всего отмазался.

 

[vIv]

Ну и молодец, поздравляю. Если принесут бумажки от Синтерры на эту тему - посылай туда же. Подробности могу лично рассказать.

[a_andry]

Еще где-то прочитал, что с одного порта может авторизоваться несколько пользователей. То есть можно на один порт умного коммутатора подключить мыльницу и с нее смогут работать несколько пользователей, или я неправильно понял? Разъясните, пожалуйста, кто знает.

Есть два режима работы 1x - port based и mac based. При mac based то что вы описали как раз и работает. Ставится умный свич, в него мыльница, на мыльницу по 1х до 16-ти или хз скоко там маков, при авторизации одного открывается доступ только для его мака, а не весь порт. Только не все вендоры держат, например в длинке3526 нормально это работает, а в аналогичных еджкорах хоть и заявлено, но не пашет.

 

Как уже написали высше - нужны умные свичи. Свичи с поддержкой 1х скорее всего будут держать вланы, опцию 82 и т.д. Дык нафиг городить 1х с такой "непонятной" настройкой, если абонент может втыкнуть кабель и сразу работать без дополнительный движений?

 

[Psih[AL]]

Как уже написали высше - нужны умные свичи. Свичи с поддержкой 1х скорее всего будут держать вланы, опцию 82 и т.д. Дык нафиг городить 1х с такой "непонятной" настройкой, если абонент может втыкнуть кабель и сразу работать без дополнительный движений?

А как ты предлагаешь городить?

[micros]

Я бы выбирал из

1 - vlan-per-customer с дубовым доступом умеющим только виланы (или чуть умнее если хотите IPTV)

2 - dhcp option 82 + dhcp snooping + ACL на коммутаторах - это доступ подороже будет

 

это уже вам кажется в 3й раз тут написано)

[Psih[AL]]

Спасибо за ответы. Собирем стенд, попробуем разные варианты и решим. Как обкатаем, отпишусь.

[arty]

сорри за некрофилию, но если автору еще интересно, то:

 

используем как раз связку zyxel es2024a + 802.1x (никто не впаривал, сами додумались до этого варианта). связка используется для реализации системы ограничений скорости в зависимости от объема трафика клиента.

в качестве клиента-авторизатора используем одиссей, т.к. он имеет возможность проходить переавторизацию на автомате, без участия пользователя. в общем работает все нормально, пока проблем не было замечено.

[curlay]

Хочу вставить свои5 копеек.

Недавно проникся идеей .1х, прочитал данный топик и все-таки решил попробовать.

Существует сетка так сказать дикий евернет на неуправляемых коммутаторах с доступом в инет через VPN.

Взял два коммутатора один пресловутый DLINK DES-3010g и ATI AT-FS750/16. За пару часов собрал Freeradius и настроил коммутаторы, с тем условием что под руками всего лишь было железо, комп и гугл. Мне пока удалось настроить MD-5 задачу, с EAP – MSCHAP v2 не получилось. Проигравшись со всем этим приобрел некоторый опыт по внедрению .1х.

Плюсы минусы.

Плюсы:

Большой спектр оборудования с поддержкой 802.1х от коммутаторов, роутеров, точек доступа и мобильных телефонов с WI-FI (хотя бы MD-5 задачу).

Быстрота развертывания системы, плюс есть коммутаторы со встроенной базой данных абонентов т.е. возможно не использовать внешний сервер.

Простота настройки на стороне абонента в XP sp2 просто на ура. В XP sp3 не так все просто необходима включить службу, а потом все как по маслу, VISTA и 7 не было под рукой, другие не рассматриваю та как их просто не найти на пользовательских компах. XP sp2 стандарт де факто. При использовании MD-5 задачи настройка проще, чем VPN или PPPoE.

Хорошая защищенность от несанкционированного доступа.

 

Минусы:

Заметил только один, но очень жирный. Очень неудобная аутентификация пользователя в сети, нет возможности пере аутентификации при введении неправильном логине или пароле, а также зазевался и тоже тапки. Все-таки в VPN или PPPoE это сделано с умом. Играться со сторонним суппликантом не было возможности по причине его отсутствия. Так как все таки задача сводится к идее минимума настроек на абонентской тачке. Надеюсь что при использовании управление доступом 802.1x на основе MAC-адреса этого недостатка не будет. То данной методу или технологии большое плаванье.

 

[a-tc]

Тема из разряда "мне хочется странного, посоветуйте"

Прямая авторизация - ИМХО бред

 

Вас оператор телефонной связи обязывает вводить логины с паролями при включении телефона?

Или сообщать ему физический адрес нового устройства?

 

П.С. не вздумайте брать зуксель на эту задачу - им очень плохо от .1х

Изменено 20 декабря, 2009 пользователем a-tc

[jab]

Вас оператор телефонной связи обязывает вводить логины с паролями при включении телефона?

Или сообщать ему физический адрес нового устройства?

Один оператор без симки не пускает, а через второго может любая сволочь без авторизации назвонить в мозамбик или заминировать вокзал, вот и выбирайте... :-)

[a-tc]

Симка - это косвенная авторизация

Через второго оператора можно отследить звонок

[martin74]

отслеживайте. Я уже приводил пример - ночью аккуратно отключается абонент от коробки в подъезде, туда подключаюсь я, делаю звонок в мозамбик, возвращаю все обратно и иду спать.

[a-tc]

Это немного другая проблема, "как не надо строить сети"

[inkelyad]

Еще бы кто-нибудь производил Ethernet-овские CPE, куда симку вставить можно.

USB модемы сотовых операторов с достаточно крутой(если подумать) математикой есть.

Карты авторизации для нужд TV тоже есть.

А на порядок более простое устройство для Ethernet никто за разумную цену сделать не может.

 

Изменено 22 декабря, 2009 пользователем inkelyad

[jab]

Еще бы кто-нибудь производил Ethernet-овские CPE, куда симку вставить можно.

Там симка не нужна, там уже есть флешка, на которую можно положить ключ.

[Степан]

категорически не советую 1Х мешать с зукцелями.

Зукцеля постоянно виснут, сапорт постоянно делают удивленный вид и говорят- раньше такого небыло. Хотя наши коллеги с г. Кирова с разрабочиками этих синеньких железок мучались 4 месяца (давали им впн- создавали ситуаци....) Нет у зукцелей нормального ни менеджемнта, ни сапорта.

 

Проблем в сжирании памяти под ответы радиуса... при 1х у нас все на радиусе и если ответ потерялся,...... после 20 потеряного - комута нету, только ногами по питалову дергать.

Имею на борту 450 зайцев разного номинала (2024а 2108)

Жуткая фигня.

Железки отстой.

1х тоже радует.....

Сама технология работает без отказно (нужно признать)

НО, при скрещении с зуйчиками- только врагам пожелать.... лучше эр телекому сбагрить....

 

[inkelyad]

Там симка не нужна, там уже есть флешка, на которую можно положить ключ.

CPE отдельно(в магазине из нескольких моделей выбирается), ключик оператора(берется в его офисе) -- отдельно.

Это в идеале. В реальности же вообще бытовых мыльниц, что 802.1x понимают как-то маловато наблюдается.

 

[lexius]

категорически не советую 1Х мешать с зукцелями.

...

Сама технология работает без отказно (нужно признать)

Насчёт Zyxel соглашусь, как только массово включили на них 802.1x, начались различные проблемы...

А вот насчёт технологии... тут от клиентского софта зависит многое - некоторые с пол пинка заводятся, а у некоторых как ни крути - а приходится по старинке pppoe настраивать. Плюс далеко не все роутеры поддерживают 802.1х... Хотя, по-моему, здесь это всё уже было сказано.

З.Ы. Привет коллегам из Мультика :)