kazakru Posted January 26, 2011 Posted January 26, 2011 Итак, имеется сеть, на доступе 3526, биллинг ТИ. все впринципе прекрасно работало, пока я не устал мас адреса менять клиентам и не взглянул на option 82. на коммутаторах прописываем один раз и на всегда: create access_profile ip destination_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip destination_ip 10.0.0.1 port 1 permit config access_profile profile_id 10 add access_id 2 ip destination_ip 10.0.0.1 port 2 permit и так далее для всех 24 портов create access_profile ip destination_ip_mask 0.0.0.0 profile_id 20 тут у нас автоматически (скриптом) появляются правила для тех у кого баланс менее нужного и клиент кроме сервера никуда попасть не может. далее: create access_profile ip source_ip_mask 255.255.255.255 profile_id 11 config access_profile profile_id 11 add access_id 1 ip source_ip 10.61.1.1 port 1 permit config access_profile profile_id 11 add access_id 2 ip source_ip 10.61.2.1 port 2 permit и так далее для всех 24 портов create access_profile ip source_ip_mask 0.0.0.0 profile_id 12 config access_profile profile_id 12 add access_id 1 ip source_ip 0.0.0.0 port 1 deny config access_profile profile_id 12 add access_id 2 ip source_ip 0.0.0.0 port 2 deny и так далее для всех 24 портов это у нас запрет использования других ip на портах В dhcp (option 82) строго привязывем к каждому порту ip что в результате: монтажник заводит скриптом нового пользователя, прописывает ему только коммутатор, № порта, тариф и имя и пароль для биллинга. по нажатию ОК, все это заноситься в ТИ и клиент сразу же в работе. При недостатке средств на счету его кроме как на сервер не пускает и пишет что денег нет. При смене компа, он никому ненадоедает и спокойно работает дальше. При сгорании порта или просто смене его достаточно в ТИ только поменять IP и порт коммутатора... Вопрос 1 - это нормально или нет и что можно еще придумать.. для упрощения работы техподдержки? Вопрос 2 - первые правила и сейчас работают, интересуют id 11 и 12 - они будут работать так как я хочу и не будут мешать id 10 и 20 ? Вставить ник Quote
rmika Posted January 26, 2011 Posted January 26, 2011 А как динамический ip-адрес реализован? Вставить ник Quote
mukca Posted January 26, 2011 Posted January 26, 2011 А как динамический ip-адрес реализован? В dhcp (option 82) строго привязывем к каждому порту ip Вставить ник Quote
dmitry_ Posted January 26, 2011 Posted January 26, 2011 да неплохая схема, минус только наверное в настройке абонов (+ наверное может быть несколько IP на порту), когда меняется порт, нужно чистить правила со старого и добавлять на новый Вставить ник Quote
kazakru Posted January 27, 2011 Author Posted January 27, 2011 (edited) зачем что то чистить? меняется порт=меняем в ТИ номер порта и ip политика - 1 порт= 1 ip, я лучше еще кабель проведу или лишний коммутатор поставлю, нежели мутить несколько клиентов на порт.. Edited January 27, 2011 by kazakru Вставить ник Quote
darkagent Posted January 27, 2011 Posted January 27, 2011 можно избавиться от ненужных кусков ACL, если ковырять в сторону ip source guard и dhcp snooping. тем более что это есть в 3526. направление для изучения http://forum.dlink.ru/viewtopic.php?t=56549 Вставить ник Quote
kazakru Posted January 27, 2011 Author Posted January 27, 2011 dhcp snooping в 3526 нельзя одновременно dhcp relay Вставить ник Quote
darkagent Posted January 27, 2011 Posted January 27, 2011 у вас какая прошивка влита? Вставить ник Quote
secandr Posted January 27, 2011 Posted January 27, 2011 У нас так работает и проблем не знаем. dhcp snooping конечно хорошо, но есть куча контуженого железа не умеющего dhcp, да и ряд пиратских сборок XP периодически теряет возможность получать ip по dhcp... Правда кол-во маков на порту мы всёравно ограничиваем на случай если выгарает сетевая клиента или порт. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.