Всем приветы. Хочется узнать следующее - возможен ли подсчет траффика для данной модели подобно изложенному в статье http://www.dlink.ru/technical/faq_traffic_01.php для DSA-3100? (т.е. умеет ли DFL-2500 использовать radius как accounting server?) Какие еще возможны варианты?

DFL может брать пользователей с radius сервера, так же вы можете настроить чтоб он отсылал некоторую статистику по сессии, но DFL не предназначен для подсчета трафика. Ели вам надо считать трафик используйте DSA.

Сергей, тогда такой вопрос - в документе NetDefendOS_220_Firewall_User_Manual_v1.06.pdf пункт 2.3.2 (стр. 39) пишут что используются старт/стоп сообщения у DFL-2500 для radius-accounting сервера, причем в стоп сообщениях поля
• Input Bytes - The number of bytes received by the user. (*)
• Output Bytes - The number of bytes sent by the user. (*)
• Input Packets - The number of packets received by the user. (*)
• Output Packets - The number of packets sent by the user. (*)
• Session Time - The number of seconds this session lasted. (*)
являются user configurable, т.е. для подсчета траффика этого не достаточно? Или у DSA более развернутый протокол подсчета траффика?
Не хотелось бы покупать дополнительное оборудование

Включил логирование правил вы сможете снять некоторую информацию, но не всю, например если пользователь поднимет VPN или другое шифрованое соединение, DFL это корректно не посчитает.

Имеется ввиду следующее - на DSA xxxx пишется, что он может выступать в качестве NAS сервера. На DFL2500 производитель пишет тоже самое. Но у меня нет беспроводного доступа, неужели у DFL и DSA разная реализация NAS основанная на RADIUS-е? И для того чтобы посчитать траффик нужна беспроводная точка доступа?

Причем тут беспроводная точка доступа? Radus используется как источник пользователей для авторизации и как сборщик статистики.

За точку доступа пардон, промахнулся, но в руководстве на DFL-2500 в п2.3 что он может выполнять функцию NAS в связке с radius сервером и функция accounting в нем также присутствует :

2.3. RADIUS Accounting

2.3.1. Overview

Within a network environment containing large numbers of users, it is advantageous to have one or
a cluster of central servers that maintain user account information and are responsible for
authentication and authorization tasks. The central database residing on the dedicated server(s)
contains all user credentials as well as details of connections, significantly reducing administration
complexity. The Remote Authentication Dial-in User Service (RADIUS) is an Authentication,
Authorization and Accounting (AAA) protocol widely used to implement this approach and is used
by NetDefendOS to implement user accounting.
The RADIUS protocol is based on a client/server architecture. The D-Link Firewall acts as the client
of the RADIUS server, creating and sending requests to a dedicated server(s). In RADIUS
terminology the firewall acts as the Network Access Server (NAS). For user authentication, the
RADIUS server receives the requests, verifies the user's information by consulting its database, and
returns either an "ACCEPT" or "REJECT" decision to the requested client. In RFC2866, RADIUS
was extended to handle the delivery of accounting information and this is the standard followed by
NetDefendOS for user accounting. The benefits of having centralized servers are thus extended to
user connection accounting. (For details of the usage of RADIUS for NetDefendOS authentication
see Section 8.2, “Authentication Setup”).

2.3.2. RADIUS Accounting Messages

Statistics, such as number of bytes sent and received, and number of packets sent and received are
updated and stored throughout RADIUS sessions. All statistics are updated for an authenticated user
whenever a connection related to an authenticated user is closed.
When a new client session is started by a user establishing a new connection through the D-Link
Firewall, NetDefendOS sends an AccountingRequest START message to a nominated RADIUS
server, to record the start of the new session. User account information is also delivered to the
RADIUS server. The server will send back an AccountingResponse message to NetDefendOS,
acknowledging that the message has been received.
When a user is no longer authenticated, for example, after the user logs out or the session time
expires, an AccountingRequest STOP message is sent by NetDefendOS containing the relevant
session statistics. The information included in these statistics is user configurable. The contents of
the START and STOP messages are described in detail below: ... и так далее

Он поддерживает, но как я выше сказал вы не сможете учесть весь трафик, к тому же устройство предназначено не для этого. Вы не учтете любой трафик по VPN, в т.ч даже если этот пользователь авторизовался на DFL посредством radius.

Хорошо, Сергей, смысл в том, что клиент уже купил это оборудование (DFL-2500) до реализации проекта, наша организация является партнером D-Link, в итоге в сети имеются коммутаторы DGS-3627, DES-3852, DES-3526 и DFL-2500 как межсетевой экран, заказчик желает вести учет интернет траффика для внутренних пользователей только из LAN и скорее всего интересует суммаррный траффик по каждому пользователю без раскладки по сервисам, возможно ли это осуществить выше перечисленным оборудованием или же всетаки приобретать DSA-3100?

Какое примерно количество хостов у вас?

именно по текщему количеству рабочих мест сейчас сказать трудно, в кольце (ядро) 10G 9шт DGS-3627, 3 шкафа по 2 в стеке, 1 - 3 в стеке, уровень распределения - DES3852 - 8 шт., DES3526 - 13 шт. DES-3550 4 шт., ну и DFL-2500. Сколько пользователей будут использовать интернет мне пока не известно, но думаю что не более 10%

У D-link нет готовых биллинговых решений и вы как партнер должны это знать, если вы хотите считать трафик на DFL, то сделать это будет не легко, вам надо включить логирование правил, настроить сброс статистики на syslog затем вам надо будет всю это информацию чем то обработать, а это будет затруднительно. Так же вы можете использовать DSA-3110 или старше, но и тут тоже есть свои ограничения, вы опять с нее не снимите готовую статистику, вы можете настроить её использовать радиус, тогда по завершении сессии будет оправленная нужная информация на ваш радиус, но как вы будете авторизироваться? Все пользователи не будут поднимать VPN тоннели для пользования интернетом? Если настраивать DSA-3110 или старше в прозрачном режиме, вам опять придется чем то снимать с нее статистику по netflow и чем то её обрабатывать.

Спасибо, Сергей, даже если нет готового решения, меня сейчас интересуют и возможности, т.е. если оборудование позволяет в достаточно полной мере регистрировать события через радиус, syslog которые потом возможно обработать. А авторизация на DFL можно осуществить через веб-агент, который на сколько я понял можно настроить или на локальную базу экрана или же перенаправить авторизацию на радиус сервер. В любом случае желательно найти решение

Можете попробовать подобное решение, только не забудьте включить логирование ВСЕХ правил.

сенкс