Знакомые натолкнули на возможность использования динамически создаваемых/модифицируемых/удаляемых ACL задаваемых в атрибутах Radius пакетов.
Есть DGS-3000 (у них DGS-3200) , есть Linux Radius сервер, есть проводные клиенты. В VSA (Vendor Specific Attributes) можно задавать создание / модификацию (замещение) / удаление ACL профилей и правил после аутентификации клиента. Эти правила удаляются после окончания времени, когда клиент считается на коммутаторе аутентифицированным и успешно не переаутентифицируется снова, например клиент выключился. Достаточно быстро настроили работу такой "связки" на своих DGS-3000, благо помогли знакомые. Но у них и у нас остались вопросы: - по такой схеме - через атрибуты Radius пакета возможно создать permanent ACL правила, которые не будут удаляться после окончания времени, когда клиент считается аутентифицированным на коммутаторе ? - при наличии на порту правила вида src-IP=0.0.0.0/0-Deny - запрещены все пакеты с порта, если на клиенте на этом порту установить IP, который уже есть у другого клиента в сети, например другого компьютера, всплывает ошибка конфликта IP адресов. Но разве это правило блокирует не все исходящие пакеты ? Или пакеты L3 - да, кадры L2 - нет ? Или какая-то другая причина ? Есть возможность через ACL избежать задубления IP ? - как в ACL указать диапазон IP, например 192.168.0.1-192.168.0.9 ? - при добавлении ACL правила dest-IP = IP коммутатора - Deny, доступ к коммутатору будет запрещен или это нужно делать отдельным правилом, каким ? - где ознакомиться с тем, какими ещё функциями коммутатора можно управлять таким образом - посредством атрибутов Radius пакета ?
|