Соединение с комутатором.
-
- Сообщения: 14
- Зарегистрирован: Вт сен 02, 2008 3:38 am
Соединение с комутатором.
Настроил Биллинг и freeradius. Имеется коммутатор Zyxel ES-2108. Нужно чтобы на 1-5 портах производилась аутентификация (свич поддерживает 802,11x и Radius) пользователей, на остальные порты вешаются другие такие же коммутаторы. сервера и пр. Задача следующая:
Нужно сделать следующим образом:
1) Создать 2 (может 3)Vlan Гостевой ( в него попадают пользователи у которых закончились деньги. или не зарегистрированные в системе. Они могут войти только на биллинг, кажем чтобы пополнить счет с карточки.
Рабочий -- в него пользователи попадвют если имеются средства на счету и в нем имеют доступ к интернету и скажем локальным FTP серверам, локальным ресурсам и т.д.
2) Как настроить на это дело биллинг и свич? Пробовал несколько вариантов результат один и тот же, компьютер ругается что не может получить из сети сертификат безопасности. Что нужно подкрутить и как именно?
Нужно сделать следующим образом:
1) Создать 2 (может 3)Vlan Гостевой ( в него попадают пользователи у которых закончились деньги. или не зарегистрированные в системе. Они могут войти только на биллинг, кажем чтобы пополнить счет с карточки.
Рабочий -- в него пользователи попадвют если имеются средства на счету и в нем имеют доступ к интернету и скажем локальным FTP серверам, локальным ресурсам и т.д.
2) Как настроить на это дело биллинг и свич? Пробовал несколько вариантов результат один и тот же, компьютер ругается что не может получить из сети сертификат безопасности. Что нужно подкрутить и как именно?
-
- Сообщения: 14
- Зарегистрирован: Вт сен 02, 2008 3:38 am
Не открывая новую тему, вопрос не так о использовании коммутаторов, как о построении схемы сети...
И судя по всему - самому активному отвечающему - ranу
С расчета на то что я новичок в этом - посоветуй каким образом (сеть небольшого провайдера) построить сеть, что бы клиент и "пукнуть" не смог без положительного баланса на счету?
Отличная вещь аутентификации 802.1X на коммутаторе. Только , на сколько я смог реализовать, по результатом оной - порт переключается в конкретную vlan. Следовательно - каждому клиенту - управляемый порт. Значит без масштабной модернизации сети с заменой всех свитчей на L2 не обойтись. (Что собственно и не подходит).
Тут, например, вот http://xgu.ru/wiki/802.1X_RADIUS
Второй вариант - использовать ppoe - подключился - работаешь.
По статистике примерно 40% клиентов сидят в инете - остальные пользуют локальную сеть с ее бесплатными сервисами и вирусняк гоняют. Применение ppoe приведет к обязательной терминации всех клиентов на NASe - что, видимо, приведет к увеличению нагрузки на него.... то биш в два раза примерно.
Есть ли еще какие способы построения сети?
И как, например, у тебя построено? Если конечно задачи соизмеримы с моими.
И судя по всему - самому активному отвечающему - ranу
С расчета на то что я новичок в этом - посоветуй каким образом (сеть небольшого провайдера) построить сеть, что бы клиент и "пукнуть" не смог без положительного баланса на счету?
Отличная вещь аутентификации 802.1X на коммутаторе. Только , на сколько я смог реализовать, по результатом оной - порт переключается в конкретную vlan. Следовательно - каждому клиенту - управляемый порт. Значит без масштабной модернизации сети с заменой всех свитчей на L2 не обойтись. (Что собственно и не подходит).
Тут, например, вот http://xgu.ru/wiki/802.1X_RADIUS
явно не о бюджетных моделях....К порту коммутатора, использующему 802.1X, обычно подключается один компьютер. Если к нему подключено несколько компьютеров, необходимо дать для этого порта команду:
Switch(config-if)# dot1x multi-hosts
Второй вариант - использовать ppoe - подключился - работаешь.
По статистике примерно 40% клиентов сидят в инете - остальные пользуют локальную сеть с ее бесплатными сервисами и вирусняк гоняют. Применение ppoe приведет к обязательной терминации всех клиентов на NASe - что, видимо, приведет к увеличению нагрузки на него.... то биш в два раза примерно.
Есть ли еще какие способы построения сети?
И как, например, у тебя построено? Если конечно задачи соизмеримы с моими.
есть крайне замечательный модуль в абиллс Dhcphosts, с его помощью можно сделать такое (я не буду все рассказывать, потому что в неумелых руках можно натворить столько бед), ну в общем, это уеликом и полностью сможет вам помочь в данном вопросе
дополнение, у меня сейчас в сети linksys L3, и при помощи скрипта эти игрушки отшибают пользователей нарушевших некоторые правила, а так же отшибают целые сегменты сети, если идет какой нибудь флуд, и при помощи этих игрушек можно полностью ограничить жизнь пользователей, установив их только в особо важных местах, да они дороги по сравнению с L2 того же linksys, но они эфективны, данные не так давно помогли мне наайти проблему с излишней нагрузкой одного из сегментов сети, при этом у меня был на тот момент всего 1 свитч.
Можно конечно сослаться на топологию моей сети, что у меня из 1 центра выходят "щупальца", но это довольно эфэктивно, но и обрушение данного типа постройки очень часты (в моей практики пока не разу не было такого, и не дай бог случится)
Можно конечно сослаться на топологию моей сети, что у меня из 1 центра выходят "щупальца", но это довольно эфэктивно, но и обрушение данного типа постройки очень часты (в моей практики пока не разу не было такого, и не дай бог случится)
Да, сеть должна быть фрагментирована. Так легче локализовать неисправность и в случае чегото "штормовидного" - ложится только сегмент. Есть такие коммутаторы L2+ и L3+, которые к своим базовым функциям определенного уровня добавляют функции коммутаторов выше уровня. Так L2+ может фильтровать трафик по некоторым портам/протоколам (например бродкаст и т.п.). Они обязательно должны максимум настроены на "войну" с паразитным трафиком. И чем больше в сети таких штучек - тем легче искать проблему. Тут абсолютно согласен.
За подсказку о Dhcphosts - спасибо, хотя в самом верху описания модуля:
Еще один момент - при его использовании теряется "дружественность отношений с очень плохим пользователем" - Юзер приехал с отпуска - включил комп - а там "ваш айпи уже используется" - это ж он даже на статистику не зайдет. Начнет звонить в техподдержку - а это уже минус. Хочется чтоб юзер всегда знал за что его не пускает....
Так что пока плюс в сторону ppoe и Guest VLAN.... Или я ошибаюсь?
За подсказку о Dhcphosts - спасибо, хотя в самом верху описания модуля:
Но как бы ниже по текстуСистема не учитывает баланс пользователя только дату окончанию акаунта или сервиса и активность пользователя.
то он может или не может проверить баланс пользователя пользователя???Формат записи запрещено
%DEPOSIT% - Депозит. Появляется только при влючённой опции $conf{DHCPHOSTS_DEPOSITCHECK}
Еще один момент - при его использовании теряется "дружественность отношений с очень плохим пользователем" - Юзер приехал с отпуска - включил комп - а там "ваш айпи уже используется" - это ж он даже на статистику не зайдет. Начнет звонить в техподдержку - а это уже минус. Хочется чтоб юзер всегда знал за что его не пускает....
Так что пока плюс в сторону ppoe и Guest VLAN.... Или я ошибаюсь?
подитожим...
1. идеальный вариант - конечно же вся сеть на управляемых коммутаторах одного производителя и лучше одной модели (к чему собсно лично я и стремлюсь). Да - авторизация 1х каждый усер - в своём вилане. Планирую юзать что-то типа этого. Учитывая грозозащиту на каждом порту (кстати весьма недурно сделанную - сам тестил ) - цена очень даже привлекательная... кстати у них есть бескорпусное исполнение ~ на $30 дешевле
2. пока реально юзаю такой вариант. В локалке через ipsentinel банится сеть 0/0 (то бишь усё). В локалке усеры не имеют ип адресов на изернете (ну а если присвоит - попадёт под бан). Авторизация пппое. После авторизации весь трафик (в том числе и локальный) ходит через туннели (через NAS) - а значит управляется файерволом/шейпером NAS. По сути - это программная реализация варианта 1 (пппое туннели - аналоги виланов). Ну недостатки по сравнению с 1 думаю понятны...
1. идеальный вариант - конечно же вся сеть на управляемых коммутаторах одного производителя и лучше одной модели (к чему собсно лично я и стремлюсь). Да - авторизация 1х каждый усер - в своём вилане. Планирую юзать что-то типа этого. Учитывая грозозащиту на каждом порту (кстати весьма недурно сделанную - сам тестил ) - цена очень даже привлекательная... кстати у них есть бескорпусное исполнение ~ на $30 дешевле
2. пока реально юзаю такой вариант. В локалке через ipsentinel банится сеть 0/0 (то бишь усё). В локалке усеры не имеют ип адресов на изернете (ну а если присвоит - попадёт под бан). Авторизация пппое. После авторизации весь трафик (в том числе и локальный) ходит через туннели (через NAS) - а значит управляется файерволом/шейпером NAS. По сути - это программная реализация варианта 1 (пппое туннели - аналоги виланов). Ну недостатки по сравнению с 1 думаю понятны...
Вот, вот
Вот и я перед выбором этого с его недостатками и прелестями....
Если у тебя NAS - комп, Какую нагрузку он испытывает? У меня например - если онлайн 130 человек (правда pptp - (где то читал что он более ресурсоотедателен нежели ppoe) - сервак, можно сказать даже и не напрягается. А только переваливает за 140-150 - загрузка проца моментом увеличивается в 2-2.5 раз.
Я понимаю что может быть секретной информация "о пользователях онлайн"
Вообщем вопрос - какое железо на какое колличество туннелей?
Отдельно ли от NAS сам биллинг или на той же машине?
Я прикупил вот такое:
- мама Intel S3210SH
- два винта 320G Western Digital SATA II, 16 MB, RE(буду зеркалировать)
- память два по 1G ECC Unbuffered
- проц Intel Xeon X3220 QuadCore 2,4 GHz/1066/8MB
- на борту две гигабитные сеттевухи.
И вот думаю мастырить NAS и биллинг - как два в одном - или всетаки биллинг отдельно....
Кстати вот тут http://compozit.com.ua/?mode=products&product_id=104 бомба а не свитчи - вот тока с производства сняли а цена у них была 40$ если они еще и работали - просто фантастика была б.
Кстати там есть http://compozit.com.ua/?mode=products&product_id=114 и пинговалочка с возможностью ребутить чего нить путем разрыва питания, вот тока уже неделю у них купить не могу. все нету да нету...
ЗЫ. Когдато (3 месяца назад), был такой момент, както вообще небыло где свитчей planet и zyxel взять - купили 20 штук Vector 1808P(мыльницы) - деньги на ветер...
Так что Vector 1908 S может тоже не стоит
Только я всетаки думаю оставить dhcp и запретить маршрутизацию между сегментами - все лишь для того чтоб на биллинг доступ был при любом раскладе.от ran
2. пока реально юзаю такой вариант. В локалке через ipsentinel банится сеть 0/0 (то бишь усё). В локалке усеры не имеют ип адресов на изернете (ну а если присвоит - попадёт под бан). Авторизация пппое. После авторизации весь трафик (в том числе и локальный) ходит через туннели (через NAS) - а значит управляется файерволом/шейпером NAS. По сути - это программная реализация варианта 1 (пппое туннели - аналоги виланов). Ну недостатки по сравнению с 1 думаю понятны...
Вот и я перед выбором этого с его недостатками и прелестями....
Если у тебя NAS - комп, Какую нагрузку он испытывает? У меня например - если онлайн 130 человек (правда pptp - (где то читал что он более ресурсоотедателен нежели ppoe) - сервак, можно сказать даже и не напрягается. А только переваливает за 140-150 - загрузка проца моментом увеличивается в 2-2.5 раз.
Я понимаю что может быть секретной информация "о пользователях онлайн"
Вообщем вопрос - какое железо на какое колличество туннелей?
Отдельно ли от NAS сам биллинг или на той же машине?
Я прикупил вот такое:
- мама Intel S3210SH
- два винта 320G Western Digital SATA II, 16 MB, RE(буду зеркалировать)
- память два по 1G ECC Unbuffered
- проц Intel Xeon X3220 QuadCore 2,4 GHz/1066/8MB
- на борту две гигабитные сеттевухи.
И вот думаю мастырить NAS и биллинг - как два в одном - или всетаки биллинг отдельно....
Кстати вот тут http://compozit.com.ua/?mode=products&product_id=104 бомба а не свитчи - вот тока с производства сняли а цена у них была 40$ если они еще и работали - просто фантастика была б.
Кстати там есть http://compozit.com.ua/?mode=products&product_id=114 и пинговалочка с возможностью ребутить чего нить путем разрыва питания, вот тока уже неделю у них купить не могу. все нету да нету...
ЗЫ. Когдато (3 месяца назад), был такой момент, както вообще небыло где свитчей planet и zyxel взять - купили 20 штук Vector 1808P(мыльницы) - деньги на ветер...
Так что Vector 1908 S может тоже не стоит
зря... я думаю не сложно реализовать авторизацию при любом депозите, а полное подключение в сответствии с тп - средствами файервола NASТолько я всетаки думаю оставить dhcp и запретить маршрутизацию между сегментами - все лишь для того чтоб на биллинг доступ был при любом раскладе.
пока не анализировал потому как собиралось на том что было под рукой (надо было быстро, но работает уже года 2 без проблем )Вообщем вопрос - какое железо на какое колличество туннелей?
однозначно разнести... я щас отлаживаю конфигурацию - кластер из 2-х насов с горячим резервированием (на насах только авторизация туннелей, файервол, шейпинг, коллекторы статистики трафика и управление внешними каналами (балансировка нагрузки, резервирование). Всё остальное - кластер серверов в DMZИ вот думаю мастырить NAS и биллинг - как два в одном - или всетаки биллинг отдельно....
такой большой, а в сказки веришь? да и 1х я там не заметил... ну а с вышеупомянутыми векторами я реально работал...цена у них была 40$ если они еще и работали
мыльницы и эта модель - 2 большие разницыТак что Vector 1908 S может тоже не стоит
"Вариант минимум" - сегментация сети на мелкие подсети, + на роутерах (которые можно и насами сделать) - блокировать иП должников скриптами. В итоге должник сможет "пукнуть" только в своей маленькой подсети.
Дешевый вариант вланов - покупаются неуправляемые свичи, и в них ставится еепром, в которой зашиты вланы (либо - для риалтеков 8316В - флэшкой включается RRCP и вланы прописываются скриптами с роутера). Дешево, но гиморно
Дешевый вариант вланов - покупаются неуправляемые свичи, и в них ставится еепром, в которой зашиты вланы (либо - для риалтеков 8316В - флэшкой включается RRCP и вланы прописываются скриптами с роутера). Дешево, но гиморно
а если ещё и своё производство неуправляемых свичей запустить (ну чтоб не покупать)...Дешевый вариант вланов - покупаются неуправляемые свичи, и в них ставится еепром, в которой зашиты вланы (либо - для риалтеков 8316В - флэшкой включается RRCP и вланы прописываются скриптами с роутера). Дешево, но гиморно