Jump to content
Калькуляторы

edge-core + их фича network-access Поделитесь опытом использования, если такой есть

У всех свичей доступа edge-core, которые я видел, есть фича network-access. Грубо говоря, это примерно то же самое, что у цыски dot1x по МАС адресу - абоенту ничего настраивать не надо, абонент начинает слать пакеты, свич шлёт в радиус запросы (обычный РАР). Вернулся accept - включает порт, вернулся reject - трафик от абонента продолжает блокироваться.

 

Можно организовать аутентификацию по маку, по свич+порт. После авторизации указанного числа маков порт начинает пропускать только их (port security).

 

Задумка изумительная (ну на мой взгляд :-)), но реализация как всегда корява. Анноят следующие моменты:

 

1. Если радиус возвращает reject и абонент всёравно продолжает долбиться, то свич продолжает долбить радиус сервер. При массовом внедрении обеспечена ДДоС атака на радиус сервер.

 

2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

 

3. Во время re-auth связь пропадает :-).

 

4. Трафик блокируется только от абонента, к абоненту не блокируется. У цыски на dot1x можно указывать это. В некоторых ситуациях удаётся построить односторонний канал передачи данных - в обратную сторону данные пускают по другому каналу. Сам такое наблюдал, пока не поверил.

 

На форум вимкома писал, но пока разработчики firmware оставляют алгоритм работы данной фичи нетронутым :(.

 

Если у кого-то есть опыт работы с этой фичей, поделитесь, как вы решаете эти неудобные моменты ?

 

Ещё там есть "dot1x operation-mode mac-based-auth", вроде как подразумевает аутентификацию по маку как у цыски, но в клиента всёравно шлются EAP пакеты от свича, т.е. нужен supplicant. Но вот хотелось бы избежать всяких сапликантов и вообще любых настроек на стороне клинета. Может быть всё же можно сделать так как я хочу ?

Share this post


Link to post
Share on other sites

>После авторизации указанного числа маков порт начинает пропускать только их (port security).

>2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

Даже если с помощью port-security разрешён всего 1 mac?

 

Share this post


Link to post
Share on other sites
>После авторизации указанного числа маков порт начинает пропускать только их (port security).

>2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

Даже если с помощью port-security разрешён всего 1 mac?

Это взаимоисключающие фичи, вместе не работают, но делают одно и то же. Т.е. при успешной авторизации мак добавляется на порт и с него разрешается трафик - как в порт секурити. Но вот если число маков авторизовалось, то новые маки генерят запросы к радиусу, хотя в конфиге свича указано всё типа хватит уже.

Share this post


Link to post
Share on other sites

не знал про такую функцию. А в длинках такого нет?

Share this post


Link to post
Share on other sites
не знал про такую функцию. А в длинках такого нет?

Чё толку с неё ? Она не работает как експектед :-). У меня даже с guest-vlan ничего не получается.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this