GFORGX Опубликовано 16 января, 2011 · Жалоба Сабж. Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком. На доступе используем DES-3528, соответственно, первого там нет вообще, а внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам. Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs. Не нравится именно костыльность, не в первой, конечно, но интересует - использует ли кто-либо такое? Или есть варианты покрасивее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 января, 2011 · Жалоба в 3528 есть JWAC это и есть авторизация абонента с помощью web средствами самого свича, причём база может быть локальная, а может быть от радиуса(как и рейтлимит и влан) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 16 января, 2011 · Жалоба в 3528 есть JWAC Это нечто с расшифровкой "японский веб-контроль доступа"? При чтении фич разве что поржали всем офисом, не обратив внимания, хорошо, спасибо, посмотрю получше, что это и с чем его едят. Не думаю, правда, что оно имеет что-то общее с guest VLAN, а это было бы нужно, ввиду PPPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 января, 2011 · Жалоба + Управление доступом на основе Web (WAC): - Управление доступом на основе порта - Управление доступом на основе хоста - Identity-driven Policy (VLAN, ACL6, QoS) Assignment - Authentication Database Failover Всё что хотите в первом посте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 16 января, 2011 · Жалоба + Управление доступом на основе Web (WAC): - Управление доступом на основе порта - Управление доступом на основе хоста - Identity-driven Policy (VLAN, ACL6, QoS) Assignment - Authentication Database Failover Всё что хотите в первом посте. Спасибо ещё раз, в таком случае, завтра потестирую на столе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 января, 2011 · Жалоба перечитал ещё раз что вы хотите :) думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA. в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 16 января, 2011 · Жалоба перечитал ещё раз что вы хотите :)думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA. в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики. А я между тем почитал опции WAC в DES-3528 CLI Manual :) Да, действительно, сложно будет объяснить хомячку, что нужно сначала попытаться зайти куда-нибудь через браузер, а только потом включать PPPoE. И плюс ко всему редиректа на кастомную страничку я там не увидел, а давать хомячку видеть страничку веб-сервера коммутатора не хочется. Об этом думалось, но это опять же излишнее усложнение - к тому же, PPPoE у нас только для Интернета, параллельно существует чистая IP-сеть для файлообмена и прочего абонентского трафика на wire speed. Соответственно, хотелось бы резать должников глобальнее - не хочется тянуть всё это в ядро и в разные места - ACL-и на L3 и тысячи -j REDIRECT на NAS-ах... Собственно, наверное, придётся вот так, несмотря на нелюбовь к костылям: Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs. Тогда вот такое вполне возможно: Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком. Остаётся лишь придумать, как узнавать коммутатор, к которому подключен хомячок из биллингового скрипта, либо сторонняя табличка в БД, либо дописывать напрямую к биллингу - пока что нереально, ибо UTM5, но в планах переход на NetAMS, так что там будет проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 17 января, 2011 · Жалоба внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 17 января, 2011 · Жалоба внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы. Чтобы компьютеру хомячка ненужно было быть саппликантом, объяснить простому хомячку, что есть 802.1X и зачем он ему нужен, - это весьма сложно. Хотя, я могу ошибаться и с 802.1X почти не знаком, но после беглого чтения статьи на Xgu про сабж показалось, что некоторые коммутаторы умеют выполнять роль саппликанта за подключенное к порту устройство, т. е., пользователю 802.1X как бы и не заметно. Мог неправильно понять, читал тоже не выспавшись :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 17 января, 2011 · Жалоба Это автоматическая авторизация называется, но оно совершенно бесполезно в твоём случае, ибо фактически представляет из себя выключение авторизации на порту. Зачем тогда .1X в "вечно заклиненном" состоянии? Считай, что нет его - и всё. Коммутаторы бывают саппликантами, но в очень хитрых энтерпрайзных сценариях, которые мне кажутся чуть наркоманскими =) Поэтому и удивился твоему желанию ЭТО вытащить в обычную жизнь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 19 января, 2011 · Жалоба У нас сделано просто - есть пул clients, есть пул nomoney Один честные внешние адреса, вторые 192.168.. На насе тупо стоит редирект всех 192.168 на биллинг, где 404 страничка выкидывает "Дайте денег" То есть все авторизуются, но видят только заглушку и ссылку на биллинг. Еще на НАСе сделан нат на сервер РБК Мани, чтобы клиент мог оплатить карточкой или еще как. Биллинг также доступен и без авторизации pppoe, по локалке. Еще сейчас поставим linux ISG и будет полный набор различных средств для выхода в инет - isg, pppoe, pptp, l2tp, opt82 На любой вкус и цвет и все с одной базой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...