В сети стоят 3526. Используем функцию IP-MAC Binding в качестве включения-выключения неплательщиков. На одном порту бывает до 15 клиентов.

Вопрос:

Возможно ли сделать так, что-бы заблокированные пользователи могли увидеть например только сервер статистики? Или они конкретно "за бортом"?

P.S. В центре DGS3627G. По оптике в звезду 3526. На 100 мегабитных потрах - пользователи. Сервер статистики подключен к 3627.

Можно с помощью ACL, но боюсь правил может не хватить. На мой взгляд, лучше чтоб сервер статитсики при заходе юзера на него выдавал ему предупреждение об отключении от сети в ближайшее время из-за неуплаты, а уж потом, если совсем не платит, то команду по SNMP на полное отключение.

Да в том то и дело, что пользователи не заходят в статистику, пока их не отключит. А потом начинают звонить узнавать долг и тд.

Всё-таки, есть ли решение? Если да, то хотелось бы увидеть с примером синтаксиса команд.

А может разработчикам добавить в будущие новые прошивки функцию, чтобы заблокированные по IPMB видели только определённый мак-айпи? Ну или что-то вроде этого.
Имхо очень удобная функция бы была.

Вы можете по средствам ACL блокировать доступ ко всему кроме сервера статистики.

_________________
С уважением,
Бигаров Руслан.

Вы предлагаете контролировать доступ пользователей при помощи ACL в замен IPMB ? Можно увидеть пример синтаксиса команд?


Если чесно говоря, то контролировать доступ при помощи IPMB удобнее, так как веб-интерфейс этой функции на коммутаторе удобнее, чем интерфейс ACL. Сразу видно какие порты включены, какие айпи заблокированы и тд. Правда не видно на каком порту заблокирован юзер. Я ещё год назад просил по возможности сделать эту функцию в веб-интерфейсе, (по snmp же видно). Даже написал письмо в длинк по совету Ивана Дёмина..., но... Это первое...

Второе...
Количество пользователей достаточно большое, и весь процесс включения выключения автоматизирован через скрипты и привязан к биллингу. Вся процедура включения выключения пользователя сводится к переназначению порта.

Баланс положительный = скрипт пишет команду с "правильным" портом (например 5).


Баланс отрицательный = скрипт пишет команду с "неправильным" портом (например 24, пустой порт).


Всё достаточно просто.

Третье...
Зачем использовать команды ACL? Их количество и так ограничено, и можно их применить для других целей. Мне кажется проще ввести функцию записи нескольких связок айпи-мак, и чтобы заблокированнные юзеры могли видеть только эти айпи при блокировании по IPMB.

Я предлагаю вариант совместного использования. Допустим, клиент не праплотил и Вы по средствам ACL запрещаете ему всё кроме хождения на сервер статистики.

_________________
С уважением,
Бигаров Руслан.

Пожалуйста, если не затруднит, приведите рабочий пример. Синтаксис команд и т.п.

For an example:

\\ 192.168.1.1 - IP адрес сервера статистики
\\ port 1 - порт, на котором заблокирован неплатильщик

create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.1 port 1 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1 deny

_________________
С уважением,
Бигаров Руслан.

Насколько я понимаю, в приведённом Вами примере, на порту 1 блокируются все пользователи, и им доступен только 192.168.1.1

А как же быть, если на 1 порту несколько компьютеров?

привязать пользователей к определенному порту и блокировать по маку при помощи ACL... например...

_________________
LiveComm

Не понял практической схемы реализации Вашего предложения.

IP-MAC binding + ACL
т.е. при помощи IP-MAC binding вписываем всех клиентов на порту. Когда надо заблочить создаем ACL, запрещающий ходить куда угодно кроме сервера статистика. Удалять при это юзера из IP-MAC BINDING не нада.

_________________
LiveComm

Я конечно дико извиняюсь, но я не догоняю...

Например, создаю ACL которые дал Bigarov Ruslan:


Прописываю на порт связки IP-MAC Binding: (пример)




Айпи 10.10.1.1, 10.10.1.2, 10.10.1.3, 10.10.1.4 разрешён доступ в сеть. Они находятся на порту 1, и прописаны на "правильный" порт 1.
Айпи 10.10.1.5 запрещён доступ в сеть, он находится на порту 1, но ему прописали "не правильный" (пустой) порт 24.

Вопрос:

ACL правила приведённые выше которые дал Bigarov Ruslan, действуют на все айпи 10.10.1.1-10.10.1.5 ?
Как коммутатор определит, на какой айпи распространяется правило ACL, а на какой нет?

Если Вы утверждаете, что можно совместно использовать IPMB и ACL, то мне нужно сделать так, чтобы правило ACL применялось для заблокированного айпи 10.10.1.5 , и не распространялось на 10.10.1.1 - 10.10.1.4

не. совсем не так. смотрите, у нас есть допустим 5 пользователей на 1 порту. как вы написали


Все они при помощи IP-MAC binding привязаны к первому порту по маку и ip. т.е. если они сменят мак или ip работать у них ничего не будет. это дает нам гарантию, что указанные параметры пользователи сменить сами себе не смогут.

Соответственно:


Далее. создаем правило разреающее клиенту ходить на сервер статистики:



где 192.168.1.1 - IP сервера статистики.

Теперь допустим у клиента 10.10.1.5 кончились деньги.
Блокируем:


все. кроме сервера статистики клиент никуда не попадет.

P.S. номера профайлов над будет какими-нибудь другими выбрать.. там ещё от IPMB будут ведь.

_________________
LiveComm

Спасибо за быстрый ответ. Теперь более менее понятно.

Возник ещё один вопрос. Как в этой схеме сделать чтобы заблокированному был виден только 80 порт (web) сервера статистики. Просто там кроме статистики ещё фтп и прочее есть.