сейчас реализовано на acl разрешенные маки грузятся в свич время от времени при разных операциях с биллингом, но некрасиво это
есть так же acl который дает всем доступ к DHCP серверу в зависимости от баланса выдается ип ну и дальше если ип правильный все работает если нет то на страцу денег нет

есть желание реализовать эту схему без заливки acl в свич чтобы маки брались из радиуса радиус сам выдаст мак если денег хватет и он есть в базе

желательно пример для DGS-3627G

Это какая-то извращённая схема. Клиенту нельзя назначить произвольный MAC адрес.
На основании данных с радиус сервера можно помещать клиента в тот или иной вилан: нет денег - в гостевой вилан с доступом к страничке биллинга, есть деньги - в вилан с интернетом.

имелось ввиду проверит мак клиента в радиусе если он даст добро то пропустит если нет то нет
сейчас реализовано на acl запрещено всем кроме тех маков что есть в acl

дело в том что дальше на районах стоят тупые свичи поэтому vlan отпадают

Уважаемый, Korvin.

Можно узнать ваше мнение по следующему вопросу....
Берем предлагаемый вами метод авторизации...
есть 2 абонента подключенных к неуправляемому свитчу - Петя и Вася...
Взял Петя посмотрел MAC адрес Васи банальной командой arp и решил что этот MAC адрес ему очень нравится,
т.к. у Васи интернет всегда оплачен.

Дальнейшее развитие событий?

Вот тут рассматривается такая схема: http://www.dlink.ru/ru/faq/62/955.html

а кто сказал что авторизации дальше нет дальше vpn опять же с привязкой мак ип
был один Петя который маки тырил вот теперь 2 года у Пети есть ну это если уж особо злостные попадаются

Korvin, забудьте такое слово как MAC-адрес. Весь мир авторизует людей на порту свича, а не по маку.
Путь, который вы выбрали - неправильный в корне.

terrible
может у него свитчи des-30xx без поддержки opt82
как тогда быть??!

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Выкидывать эти свичи и покупать то, что дружит с опт 82, и не выносить мозги суппорту длинка, своей техподдержке и себе.

2 terrible
и что-же позвольте спросить такого "выносного для мозга" человек спросил

вы примерно представьте себе работу схемы, которую предложил автор, и всё поймёте. Так-же почитайте ответы Максима, он всё доходчиво расписал.

раньше у меня и оптики не было , а сейчас 10Г есть между районами и городами
вопрос не в том как правильно, а в том что можем
районы разгружаем по чуть , нет пока что у нас в каждом доме управляемого железа, а отключать людей надо
схема что есть работает, а если сделать так чтобы можно было из базы сличать маки было бы вообще замечательно

по поводу резких выражений в мой адрес попрошу умерить свой пыл я никому мозг не выносил и если вы так устали от работы, то может в отпуск пора

не хотите или не можете помочь так и скажите или просто промолчите
хотя как по мне если такая функция была бы много операторов у кого нет много денег на старт умный свитч в дом сказали бы огромное спасибо рублем
Если честно я не пойму сложностей еще 10 лет назад на orinoco по радио спокойно можно было авторизовать только по маку и использовали и рады были

по сути мое дело насколько я готов поступиться чем-то в безопасности и поддержке в угоду себестоимости сети на начальном этапе и потом

Всех с наступающим если у кого есть светлая мысль как это реализовать может не на длинке пишите городов еще много на освоении

когда сеть была построена на таких свитчах и работает год два три и больше глупо на ветер выкидывать деньги и везде менять оборудование доступа. (и старые свитчи тоже..)
и еще это не дешевое удовольствие заменить пару сотен свитчей (если не тысяч)

а вы почитайте что хочет человек
ему надо что при минусовом балансе давались левые ип его всегда перенаправляло но фиктивную страничку с большой надписью ДЕНЕГ НЕТ - ИНЕТА ТОЖЕ НЕТ
а дальше у него есть еше VPN c проверкой правильно мак адреса
(делать сеть с нуля как надо это одно а работать с уже существующей это другое)

Korvin
если везде стоят управляемые свитчи то предложение:
1. DHCP. Где есть возможность выдавать ип адрес по порту, где нет выдавать ип адрес по маку.
2. сесть и написать скрипта который бы шуршал по билингу и переводил порты абонентов с отрицательным балансом в какой то левый vlan, где работает другой DHCP (выдает адреса по пулу) + работает DNS который все запросы пересылает на один информационный сайт который говорит а нет у тя денег
для реализации второго пункта придется очень долго дополнять биллинг портами в который включены абоненты (если нет этой инфы), моделями свитчей (если отличаются синтаксис команд или SNMP)
шуршать по билингу и переключать vlan на портах можно к примеру раз в час.

если есть свитчи не управляемые (и что еще страшнее их много) хз..
надо как то потихоньку их менять менять менять переводить сеть по кусочку на управляемое железо..

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Korvin, Если хотите RADIUS авторизацию маков - тут нужен протокол 802.1х, который поддерживается далеко не всем железом.
По поводу мысли - есть мысль на любой схеме это сделать, но рассказать по аське могу, тут долго очень писать.
mukca, DHCP может и не быть. Как в этом случае?

ася есть конечно давайте поговорим потому как хочется таки красиво сделать пусть ну типа неправильно
номер 8176355

DHCP с поддержкой sql есть и 82 опция работает кстати вопрос надо проверить если он включен то может и ацл не надо просто те порты которые есть будут ли другое пропускать
мы просто позже его включили чем 82 так что может еще и проще все окажется