Jump to content

edge-core + их фича network-access

wtyd
 Share

Recommended Posts

wtyd

wtyd

Posted
Posted

У всех свичей доступа edge-core, которые я видел, есть фича network-access. Грубо говоря, это примерно то же самое, что у цыски dot1x по МАС адресу - абоенту ничего настраивать не надо, абонент начинает слать пакеты, свич шлёт в радиус запросы (обычный РАР). Вернулся accept - включает порт, вернулся reject - трафик от абонента продолжает блокироваться.

 

Можно организовать аутентификацию по маку, по свич+порт. После авторизации указанного числа маков порт начинает пропускать только их (port security).

 

Задумка изумительная (ну на мой взгляд :-)), но реализация как всегда корява. Анноят следующие моменты:

 

1. Если радиус возвращает reject и абонент всёравно продолжает долбиться, то свич продолжает долбить радиус сервер. При массовом внедрении обеспечена ДДоС атака на радиус сервер.

 

2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

 

3. Во время re-auth связь пропадает :-).

 

4. Трафик блокируется только от абонента, к абоненту не блокируется. У цыски на dot1x можно указывать это. В некоторых ситуациях удаётся построить односторонний канал передачи данных - в обратную сторону данные пускают по другому каналу. Сам такое наблюдал, пока не поверил.

 

На форум вимкома писал, но пока разработчики firmware оставляют алгоритм работы данной фичи нетронутым :(.

 

Если у кого-то есть опыт работы с этой фичей, поделитесь, как вы решаете эти неудобные моменты ?

 

Ещё там есть "dot1x operation-mode mac-based-auth", вроде как подразумевает аутентификацию по маку как у цыски, но в клиента всёравно шлются EAP пакеты от свича, т.е. нужен supplicant. Но вот хотелось бы избежать всяких сапликантов и вообще любых настроек на стороне клинета. Может быть всё же можно сделать так как я хочу ?

s.lobanov

s.lobanov

Posted
Posted

>После авторизации указанного числа маков порт начинает пропускать только их (port security).

>2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

Даже если с помощью port-security разрешён всего 1 mac?

 

wtyd

wtyd

Posted
  • Author
Posted
>После авторизации указанного числа маков порт начинает пропускать только их (port security).

>2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков.

Даже если с помощью port-security разрешён всего 1 mac?

Это взаимоисключающие фичи, вместе не работают, но делают одно и то же. Т.е. при успешной авторизации мак добавляется на порт и с него разрешается трафик - как в порт секурити. Но вот если число маков авторизовалось, то новые маки генерят запросы к радиусу, хотя в конфиге свича указано всё типа хватит уже.

wtyd

wtyd

Posted
  • Author
Posted
не знал про такую функцию. А в длинках такого нет?

Чё толку с неё ? Она не работает как експектед :-). У меня даже с guest-vlan ничего не получается.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.