1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт авг 07, 2025 20:05

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
SpiderX
 Заголовок сообщения: DES-3200 MBA
СообщениеДобавлено: Вт янв 24, 2012 20:05 
Не в сети

Зарегистрирован: Чт дек 24, 2009 17:30
Сообщений: 296
Откуда: Днепропетровск
Как-то мало информации про MBA на форуме и в манулах. Из толкового нашел только это и это.

Есть вопрос. MBA Guest VLAN должен помещать клиента во влан и вообще блокировать доступ клиента в сеть, или все же разрешать ему доступ в Guest VLAN? Первое получается на ура, второе пока никак не получается средствами Guest VLAN.
Через FreeRADIUS решил вопрос через
Цитата:
DEFAULT Cleartext-Password := "default"
Tunnel-Medium-Type = 6,
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 4004

но это совсем то.
Прошивка: 152B10
Config:
Цитата:
# VLAN

disable asymmetric_vlan
enable pvid auto_assign
config vlan default delete 1-18
config vlan default advertisement enable
create vlan vlan1006 tag 1006
config vlan vlan1006 add tagged 18
create vlan vlan1033 tag 1033
config vlan vlan1033 add tagged 18
create vlan vlan4004 tag 4004
config vlan vlan4004 add tagged 18
create vlan vlan4005 tag 4005
config vlan vlan4005 add untagged 18
disable qinq
disable gvrp
config qinq ports 1-18 role nni outer_tpid 0x88A8 trust_cvid disable vlan_translation disable
config gvrp 1-17 state disable ingress_checking enable acceptable_frame admit_all pvid 1
config gvrp 18 state disable ingress_checking enable acceptable_frame admit_all pvid 4005

# MBA

enable mac_based_access_control
enable authorization attributes
config mac_based_access_control authorization attributes radius enable
config mac_based_access_control authorization attributes local enable
config mac_based_access_control trap state enable
config mac_based_access_control log state enable
create mac_based_access_control guest_vlan vlan4004
config mac_based_access_control ports 1 state enable
config mac_based_access_control ports 2-18 state disable
config mac_based_access_control ports 1-18 mode host_based
config mac_based_access_control method radius
config mac_based_access_control auth_failover enable
config mac_based_access_control password default
config mac_based_access_control max_users 128
config mac_based_access_control ports 1 aging_time infinite
config mac_based_access_control ports 1 hold_time infinite
config mac_based_access_control ports 1 max_users no_limit
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3200 MBA
СообщениеДобавлено: Ср янв 25, 2012 09:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
При невозможности авторизации клиент должен попадать в Guest Vlan. Клиентский трафик в этом вилане будет нормально ходить.

По приведенным конфигам не совсем понятно в какой порт подключается клиент. В 18-й?
Вернуться наверх
 Профиль  
 
SpiderX
 Заголовок сообщения: Re: DES-3200 MBA
СообщениеДобавлено: Ср янв 25, 2012 11:00 
Не в сети

Зарегистрирован: Чт дек 24, 2009 17:30
Сообщений: 296
Откуда: Днепропетровск
Цитата:
При невозможности авторизации клиент должен попадать в Guest Vlan. Клиентский трафик в этом вилане будет нормально ходить.

Тогда это у меня почему-то не работает.
В FreeRadius создана запись:
Цитата:
64315095FAF8 Cleartext-Password := "default"
Tunnel-Medium-Type = 6,
Tunnel-Type = VLAN,
Tunnel-Private-Group-Id = 4005

Когда (режим Host based) в первом порту появляется mac-адрес 485B3936A273 (для которого записи нет), его добавляет в Guest VLAN, но банальный пинг не проходит, хотя в FDB маки в Guest VLAN'е вижу со стороны клиента и аплинка. Мак со стороны клиента есть не всегда, и когда он есть напротив него есть комментарий BlockedByMBA.
В Port based режиме такая же ситуация.

Клиент вставляется в 1 порт, 18 порт - uplink.


Последний раз редактировалось SpiderX Ср янв 25, 2012 12:37, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3200 MBA
СообщениеДобавлено: Ср янв 25, 2012 11:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Код:
config vlan vlan4004 add unt 1
Вернуться наверх
 Профиль  
 
SpiderX
 Заголовок сообщения: Re: DES-3200 MBA
СообщениеДобавлено: Ср янв 25, 2012 13:26 
Не в сети

Зарегистрирован: Чт дек 24, 2009 17:30
Сообщений: 296
Откуда: Днепропетровск
Цитата:
config vlan vlan4004 add unt 1

Не отразил это в конфиге, и забыл упомянуть, но я делал
Цитата:
config mac_based_access_control guest_vlan ports 1

результат не менялся.

Разобрался.
Проблема у меня была в:
Цитата:
config mac_based_access_control ports 1 aging_time infinite
config mac_based_access_control ports 1 hold_time infinite

Такой конфиг подразумевает, что свитч будет бесконечно спрашивать у радиуса, пока не получит положительный ответ.

Можно более точную информацию об этих таймаутах?
В мануале они вообще никак не описаны.

Я так понимаю, что hold_time это таймаут до следующего запроса у радиуса (по крайней мере по тестам выходит что так).
А вот aging_time — это что такое?

Еще вопрос про Max Users.
Свитч может всего авторизовать до 128 мак адресов (если не использовать No Limit), вне зависимости от их распределения по портам, но не более 128 мак адресов с одного порта (если не использовать No Limit на уровне порта). Верно понимаю?

И еще вопрос про локальную БД свитча.
Сколько всего записей в ней может быть? В том числе с использованием глобальной опции No Limit для параметра Max Users (если это имеет значение).
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200 MBA
СообщениеДобавлено: Ср янв 25, 2012 13:57 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
SpiderX писал(а):
А вот aging_time — это что такое?


Цитата:
aging_time - A time period during which an authenticated host will be kept in an
authenticated state. When the aging time is timed-out, the host will be moved back to an
unauthenticated state.


SpiderX писал(а):
Еще вопрос про Max Users. Свитч может всего авторизовать до 128 мак адресов (если не использовать No Limit), вне зависимости от их распределения по портам, но не более 128 мак адресов с одного порта (если не использовать No Limit на уровне порта). Верно понимаю?

Верно понимаете. Только при авторизации через RADIUS это значение равно 512.

SpiderX писал(а):
И еще вопрос про локальную БД свитча.
Сколько всего записей в ней может быть?

- Maximum 128 MACs per port in local database
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB