pkozik Опубликовано 3 февраля, 2016 (изменено) · Жалоба Этсамое... не нужно смешивать мух и котлеты. 802.1x никакого отношения к авторизации по макам не имеет. Совсем. p.s. Вообще я ищу способ назначить vlan при помощи radius, который при этом будет полностью прозрачен для клиента. Это можно сделать в D-Link при помощи MAC-based Access Control? Не проверял, но поразмышляем: МАС-адреса клиента на радиусе станет виден? Да. Радиусу есть какая-то разница в строке символов, которая прилетела с коммутатора? Чем МАС-адрес отличается от "VasyaPupkin"? Радиусу без разницы абсолютно. И администратору, в общем-то тоже нет разницы, что в качестве имени в БД использовать. На радиусе по МАС-адресу в аккаунте мы можем выдать в атрибутах номер VLAN? Да. Коммутатор через 802.1х MAC-based Access Control сможет присвоить порту нужный VLAN? Да. Пробуйте. Единственное ограничение, которое тут явно всплывает - порт в 802.1х необходимо будет настроить как MAC-based, чтобы аутентификацию проходил каждый клиент (по своему уникальному МАС). Если клиентов на порту несколько, то порт при первой же аутентификации будет перемещён в назначенный влан. Как себя поведут в этой ситуации другие клиенты, можно только предполагать. Поэтому 1 порт - 1 клиент. Изменено 3 февраля, 2016 пользователем pkozik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 3 февраля, 2016 (изменено) · Жалоба И да, лучше прикрутить полноценный 802.1х. Маршуртизаторы D-link умеют 802.1х (в ряде моделей, типа dir-620, 825 и т.д.), современные ОС тоже умеют "из коробки". Либо запускать скриптовое управление через SNMP, определяя каким-либо способом клиента, и помещая его в нужный vlan командой. Изменено 3 февраля, 2016 пользователем pkozik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 февраля, 2016 · Жалоба И да, лучше прикрутить полноценный 802.1х. Для энтерпрайза подходит, для провайдинга нет. Оно в винде-то работает "спорно", а уж на всяких поделках тем более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 3 февраля, 2016 · Жалоба Смелое утверждение. Есть практика применения или только мысли? Гуглим, например, "мгтс 802.1x". Используется по факту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 февраля, 2016 · Жалоба Смелое утверждение. Есть практика применения или только мысли? Гуглим, например, "мгтс 802.1x". Используется по факту. Есть практика использования в энтерпрайзе - гемор еще тот, если нужно авторизовывать не хост, а юзверя. МГТС что, на проводном подключении использует 802.1x ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 4 февраля, 2016 · Жалоба Вы не верите своим глазам, читая ТЗ на устройство и инструкции пользователям? Таки да, используют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 февраля, 2016 · Жалоба Вы не верите своим глазам, читая ТЗ на устройство и инструкции пользователям? Таки да, используют. Интересно, на сколько это удобно абонентам и все-ли современные мыльницы умеют 802.1x. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 февраля, 2016 · Жалоба Вы не верите своим глазам, читая ТЗ на устройство и инструкции пользователям? Таки да, используют. Интересно, на сколько это удобно абонентам и все-ли современные мыльницы умеют 802.1x. мыльницы - это что? свитчи на стороне ISP или SOHO-роутеры на стороне кастомера? И то и то зачастую не умеет 802.1x, особенно SOHO-роутеры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 4 февраля, 2016 · Жалоба Абстрактное устройство может и не иметь. Но, при необходимости, 802.1х имеется в маршрутниках. А при правильно построенной сети - и в коммутаторах. Если есть чётко сформированные требования на этапе строительства/модернизации, сеть строится в соответствии с требованиями. Которые и гласят про обязательное наличие 802.1х для реализации выбранной модели предоставления услуг в применяемом оборудовании. Если же пытаться натянуть на уже имеющееся оборудование новые требования, да, будет очень сложно. Но мы же с вами не пойдём по такому пути? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 февраля, 2016 · Жалоба мыльницы - это что? Речь про абстрактное взятое с полки в магазине за 1 т.р. абонентское устройство. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 февраля, 2016 · Жалоба Ну вот например всеми горячо любимый/нелюбимый микротик имеет саппликанта на езенерте? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 4 февраля, 2016 (изменено) · Жалоба Если есть список рекомендованных устройств, абстрактно взятое по списку устройство будет иметь 802.1х саппликант. Вы ищите проблему в доказательство, я показываю, что если надо, то она будет купирована на стадии разработки ТЗ. Вы утверждали, что 802.1х не для ИСП, я показал обратное. Свершившийся факт, с которым бесполезно спорить. Смысл продолжать? Я к микротику не отношусь вообще никак. Пару раз видел, и похвалить/поругать не могу. Изменено 4 февраля, 2016 пользователем pkozik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 февраля, 2016 · Жалоба Вы ищите проблему в доказательство, я показываю, что если надо, то она будет купирована на стадии разработки ТЗ. Я просто интересуюсь каков опыт применения и на сколько он успешен. Никого обидеть не хочу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 4 февраля, 2016 · Жалоба Тема с 802.1х для ИСП появилась лет этак 8 назад. Раз в тендере 2015 года требование сохранилось, очевидно, что модель работы вполне устраивает МГТС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 февраля, 2016 · Жалоба свитчи на стороне ISP или SOHO-роутеры на стороне кастомера? И то и то зачастую не умеет 802.1x, особенно SOHO-роутеры Оно есть в некоторых роутерах, притом часто в прошивках с надписью: для такого то провайдера. Ну вот например всеми горячо любимый/нелюбимый микротик имеет саппликанта на езенерте? Не вижу причин не уметь. Суппликант на мыльнице это просто мелкая приложуха собранная и запущенная, там делов на неделю с добавлением в вебморду и тестированием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m4a12345 Опубликовано 4 февраля, 2016 · Жалоба Немного не в тему, но хотелось бы задать вопрос: dhcp snopping нормально уживается со статичными привязками? В логах много флуда про конфликт динамической привязки со статической. На данный момент имеем ipmb со статическими привязками, а хотелось бы чтоб абонент мог сам мак поменять себе... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pkozik Опубликовано 5 февраля, 2016 (изменено) · Жалоба Если это разные связки адресов, с чего бы им конфликтовать? А так - нужны логи, конфиг, show address_binding ip_mac all, show address_binding blocked all, show address_binding dhcp_snoop binding_entry И это всё - в новой теме. Изменено 5 февраля, 2016 пользователем pkozik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 8 февраля, 2016 · Жалоба Есть у кого how to для настройки 802.1x вместе с MSCHAPv2 на FreeRADIUS? Кучу нагугленных примеров пересмотрел, но пока работает только EAP-MD5, но такого варианта уже нет в Win7 и выше (в XP) есть. А с MSCHAPv2 клиенты не могут договориться - начинается обмен зашифрованными данными, потом клиент не понимает что от него хотят и сессия по таймауту прерывается, затем все по кругу. Пробовал по разному, общая идея тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 февраля, 2016 · Жалоба Есть у кого how to для настройки 802.1x вместе с MSCHAPv2 на FreeRADIUS? Кучу нагугленных примеров пересмотрел, но пока работает только EAP-MD5, но такого варианта уже нет в Win7 и выше (в XP) есть. А с MSCHAPv2 клиенты не могут договориться - начинается обмен зашифрованными данными, потом клиент не понимает что от него хотят и сессия по таймауту прерывается, затем все по кругу. Пробовал по разному, общая идея тут. У меня в энтерпрайзе к фрирадиусу прикручен скрипт на перловке. На этапе authiorize он выдает радиусу $RAD_CHECK{'Cleartext-Password'}=$password; Этот пароль и использует модуль MSCHAP для проверки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...