Перейти к содержимому
Калькуляторы

Dynamic VLANs Assignment Кроме VMPS и 802.1X

Сабж.

 

Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком.

 

На доступе используем DES-3528, соответственно, первого там нет вообще, а внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.

 

Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs.

 

Не нравится именно костыльность, не в первой, конечно, но интересует - использует ли кто-либо такое? Или есть варианты покрасивее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в 3528 есть JWAC

это и есть авторизация абонента с помощью web средствами самого свича, причём база может быть локальная, а может быть от радиуса(как и рейтлимит и влан)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в 3528 есть JWAC

Это нечто с расшифровкой "японский веб-контроль доступа"? При чтении фич разве что поржали всем офисом, не обратив внимания, хорошо, спасибо, посмотрю получше, что это и с чем его едят. Не думаю, правда, что оно имеет что-то общее с guest VLAN, а это было бы нужно, ввиду PPPoE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

+ Управление доступом на основе Web (WAC):

- Управление доступом на основе порта

- Управление доступом на основе хоста

- Identity-driven Policy (VLAN, ACL6, QoS) Assignment

- Authentication Database Failover

 

Всё что хотите в первом посте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+ Управление доступом на основе Web (WAC):

- Управление доступом на основе порта

- Управление доступом на основе хоста

- Identity-driven Policy (VLAN, ACL6, QoS) Assignment

- Authentication Database Failover

 

Всё что хотите в первом посте.

Спасибо ещё раз, в таком случае, завтра потестирую на столе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перечитал ещё раз что вы хотите :)

думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA.

в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перечитал ещё раз что вы хотите :)

думаю WAC+PPPoE не подойдёт, это слишком, двойной AAA.

в вашем случае надо авторизовывать всех(не смотря на баланс) с правильным L/P, а если баланс отрицательный заворачивать абонента (вешать VRF или PBR через радиус, *неизвестно что у вас брас для pppoe*) на страничку статистики.

А я между тем почитал опции WAC в DES-3528 CLI Manual :) Да, действительно, сложно будет объяснить хомячку, что нужно сначала попытаться зайти куда-нибудь через браузер, а только потом включать PPPoE. И плюс ко всему редиректа на кастомную страничку я там не увидел, а давать хомячку видеть страничку веб-сервера коммутатора не хочется.

 

Об этом думалось, но это опять же излишнее усложнение - к тому же, PPPoE у нас только для Интернета, параллельно существует чистая IP-сеть для файлообмена и прочего абонентского трафика на wire speed. Соответственно, хотелось бы резать должников глобальнее - не хочется тянуть всё это в ядро и в разные места - ACL-и на L3 и тысячи -j REDIRECT на NAS-ах...

 

Собственно, наверное, придётся вот так, несмотря на нелюбовь к костылям:

Сразу же видится типичный костыльный "админский" метод - из биллинга, вернее, его скрипта обновления статуса, стучаться на коммутатор по ssh или snmp и перемещать порт в нужный VLAN через CLI/MIBs.

Тогда вот такое вполне возможно:

Хочется реализовать так называемое guest VLAN со своим шлюзом по умолчанию, который будет редиректить всё 80/tcp на страничку личного кабинета, и левым PPPoE-сервером, который будет авторизовывать всё, не стучась к Radius-у биллинга, и делать то же самое с HTTP-трафиком.

Остаётся лишь придумать, как узнавать коммутатор, к которому подключен хомячок из биллингового скрипта, либо сторонняя табличка в БД, либо дописывать напрямую к биллингу - пока что нереально, ибо UTM5, но в планах переход на NetAMS, так что там будет проще.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.
Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?

Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

внедрение второго с клиентской авторизацией, ввиду того, что, во-первых, опыта ноль, а, во-вторых, DES-3528, как я понимаю, может быть authenticator, но не может быть supplicant, кажется самоубийством по, думаю, вполне понятным причинам.
Сорри, но можно для непроснувшихся разжевать, зачем коммутатору доступа быть саппликантом?

Не ради спора, а для самообразования. А то я, честно сказать, не понял проблемы.

Чтобы компьютеру хомячка ненужно было быть саппликантом, объяснить простому хомячку, что есть 802.1X и зачем он ему нужен, - это весьма сложно. Хотя, я могу ошибаться и с 802.1X почти не знаком, но после беглого чтения статьи на Xgu про сабж показалось, что некоторые коммутаторы умеют выполнять роль саппликанта за подключенное к порту устройство, т. е., пользователю 802.1X как бы и не заметно. Мог неправильно понять, читал тоже не выспавшись :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это автоматическая авторизация называется, но оно совершенно бесполезно в твоём случае, ибо фактически представляет из себя выключение авторизации на порту. Зачем тогда .1X в "вечно заклиненном" состоянии? Считай, что нет его - и всё.

 

Коммутаторы бывают саппликантами, но в очень хитрых энтерпрайзных сценариях, которые мне кажутся чуть наркоманскими =) Поэтому и удивился твоему желанию ЭТО вытащить в обычную жизнь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас сделано просто - есть пул clients, есть пул nomoney

Один честные внешние адреса, вторые 192.168..

На насе тупо стоит редирект всех 192.168 на биллинг, где 404 страничка выкидывает "Дайте денег"

То есть все авторизуются, но видят только заглушку и ссылку на биллинг.

Еще на НАСе сделан нат на сервер РБК Мани, чтобы клиент мог оплатить карточкой или еще как.

Биллинг также доступен и без авторизации pppoe, по локалке.

 

Еще сейчас поставим linux ISG и будет полный набор различных средств для выхода в инет - isg, pppoe, pptp, l2tp, opt82

На любой вкус и цвет и все с одной базой.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.