Jump to content
Калькуляторы

Dynamic VLANs Assignment Кроме VMPS и 802.1X

Сабж.

 

Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком.

 

На доступе используем DES-3528, соответственно, первого там нет вообще, а внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.

 

Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs.

 

Не нравится именно костыльность, не в первой, конечно, но интересует - использует ли кто-либо такое? Или есть варианты покрасивее?

Share this post


Link to post
Share on other sites

в 3528 есть JWAC

это и есть авторизация абонента с помощью web средствами самого свича, причём база может быть локальная, а может быть от радиуса(как и рейтлимит и влан)

Share this post


Link to post
Share on other sites

в 3528 есть JWAC

Это нечто с расшифровкой "японский веб-контроль доступа"? При чтении фич разве что поржали всем офисом, не обратив внимания, хорошо, спасибо, посмотрю получше, что это и с чем его едят. Не думаю, правда, что оно имеет что-то общее с guest VLAN, а это было бы нужно, ввиду PPPoE.

Share this post


Link to post
Share on other sites

 

+ Управление доступом на основе Web (WAC):

- Управление доступом на основе порта

- Управление доступом на основе хоста

- Identity-driven Policy (VLAN, ACL6, QoS) Assignment

- Authentication Database Failover

 

Всё что хотите в первом посте.

Share this post


Link to post
Share on other sites
+ Управление доступом на основе Web (WAC):

- Управление доступом на основе порта

- Управление доступом на основе хоста

- Identity-driven Policy (VLAN, ACL6, QoS) Assignment

- Authentication Database Failover

 

Всё что хотите в первом посте.

Спасибо ещё раз, в таком случае, завтра потестирую на столе.

Share this post


Link to post
Share on other sites

перечитал ещё раз что вы хотите :)

думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA.

в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики.

Share this post


Link to post
Share on other sites
перечитал ещё раз что вы хотите :)

думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA.

в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики.

А я между тем почитал опции WAC в DES-3528 CLI Manual :) Да, действительно, сложно будет объяснить хомячку, что нужно сначала попытаться зайти куда-нибудь через браузер, а только потом включать PPPoE. И плюс ко всему редиректа на кастомную страничку я там не увидел, а давать хомячку видеть страничку веб-сервера коммутатора не хочется.

 

Об этом думалось, но это опять же излишнее усложнение - к тому же, PPPoE у нас только для Интернета, параллельно существует чистая IP-сеть для файлообмена и прочего абонентского трафика на wire speed. Соответственно, хотелось бы резать должников глобальнее - не хочется тянуть всё это в ядро и в разные места - ACL-и на L3 и тысячи -j REDIRECT на NAS-ах...

 

Собственно, наверное, придётся вот так, несмотря на нелюбовь к костылям:

Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs.

Тогда вот такое вполне возможно:

Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком.

Остаётся лишь придумать, как узнавать коммутатор, к которому подключен хомячок из биллингового скрипта, либо сторонняя табличка в БД, либо дописывать напрямую к биллингу - пока что нереально, ибо UTM5, но в планах переход на NetAMS, так что там будет проще.

 

 

Share this post


Link to post
Share on other sites
внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.
Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?

Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы.

Share this post


Link to post
Share on other sites
внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.
Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?

Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы.

Чтобы компьютеру хомячка ненужно было быть саппликантом, объяснить простому хомячку, что есть 802.1X и зачем он ему нужен, - это весьма сложно. Хотя, я могу ошибаться и с 802.1X почти не знаком, но после беглого чтения статьи на Xgu про сабж показалось, что некоторые коммутаторы умеют выполнять роль саппликанта за подключенное к порту устройство, т. е., пользователю 802.1X как бы и не заметно. Мог неправильно понять, читал тоже не выспавшись :)

Share this post


Link to post
Share on other sites

Это автоматическая авторизация называется, но оно совершенно бесполезно в твоём случае, ибо фактически представляет из себя выключение авторизации на порту. Зачем тогда .1X в "вечно заклиненном" состоянии? Считай, что нет его - и всё.

 

Коммутаторы бывают саппликантами, но в очень хитрых энтерпрайзных сценариях, которые мне кажутся чуть наркоманскими =) Поэтому и удивился твоему желанию ЭТО вытащить в обычную жизнь.

Share this post


Link to post
Share on other sites

У нас сделано просто - есть пул clients, есть пул nomoney

Один честные внешние адреса, вторые 192.168..

На насе тупо стоит редирект всех 192.168 на биллинг, где 404 страничка выкидывает "Дайте денег"

То есть все авторизуются, но видят только заглушку и ссылку на биллинг.

Еще на НАСе сделан нат на сервер РБК Мани, чтобы клиент мог оплатить карточкой или еще как.

Биллинг также доступен и без авторизации pppoe, по локалке.

 

Еще сейчас поставим linux ISG и будет полный набор различных средств для выхода в инет - isg, pppoe, pptp, l2tp, opt82

На любой вкус и цвет и все с одной базой.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this