1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 09:13

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
xmr
СообщениеДобавлено: Пн дек 22, 2008 12:28 
Не в сети

Зарегистрирован: Вт июл 01, 2008 12:51
Сообщений: 24
Добрый день.

Форум читал, много узнал и все же решил написать.

Что имем:

Есть база свитчей (3526), база пользователей (мак ip)

Задача.

"Правильным" пользователям (это у которых есть деньги, правильный ip и мак, порт) дать доступ везде.

Пользователям без денег, но с правильным мак и ip (и портом) дать доступ на статистику, разрешить пытаться подключиться по VPN ну и DNS естественно.

Пользователи из "правильного" диапазона ip но без правильного mac (или порта) при обращении к любому www попадают на страницу авторизации где по логин/паролю создают (автоматом) связку мак-ip в базе.

Пытаюсь найти оптимальное решение данной задачи.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 22, 2008 18:12 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Разделение на подсети у вас будет?
Уже наметили, чем будете создавать/удалять связки IP-MAC ? (snmp/telnet/ssh)
Неправильные пользователи (нет денег) должны будут попадать на VPN сервер, то как они будут подключаться, если они неправильные. Может быть им нужно дать доступ только на сервер статистики?

З.Ы. Заставить пользователя самим делать связки IP-MAC - это жестко, замучают, лучше на диспетчеров это переложить.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 23, 2008 16:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 xmr > Вам нужно рассмотреть 802.1x + Guest VLAN.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
xmr
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 25, 2008 11:40 
Не в сети

Зарегистрирован: Вт июл 01, 2008 12:51
Сообщений: 24
802.1x подразумевает специальную настройку клиента. это не подходит.
Какие операционки это поддерживают, а роутеры?


Вопрос - можно ли на 3525 организовать перенаправление? т.е. человек что бы не набрал (по 80 порту) все равно попал бы на нужную страницу.

Мысль какая.
DHCP все не известным макам выдает ip из определенного диапазона. Получив такой адрес клиент попадает на страницу авторизации и введя login/pass система обновит (создаст) запись о нем. т.е. пропишет мак ip порт.
После этого клиент делает renew (перегружается и т.д.) и получает уже свой адрес.

В свою очередь мы разрешаем некоторые хосты диапазону ip и даем полный доступ людям с положительным балансом.

Вот пока такие мысли :)

P.S.

Доступ до впн при отрицательном балансе нужен что бы пользователь получил 691, а не 800.
Сеть разбита на vlan (vlan=микрорайон, введем dhcp подробим и мельче)
Управление snmp.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт дек 26, 2008 12:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
xmr писал(а):
802.1x подразумевает специальную настройку клиента. это не подходит.
Какие операционки это поддерживают, а роутеры?


Все Microsoft Windows. DI-524UP, DIR-120, DIR-320.

Цитата:
Вопрос - можно ли на 3525 организовать перенаправление? т.е. человек что бы не набрал (по 80 порту) все равно попал бы на нужную страницу.


Это WAC технология.

Цитата:
Мысль какая.
DHCP все не известным макам выдает ip из определенного диапазона. Получив такой адрес клиент попадает на страницу авторизации и введя login/pass система обновит (создаст) запись о нем. т.е. пропишет мак ip порт.
После этого клиент делает renew (перегружается и т.д.) и получает уже свой адрес.

В свою очередь мы разрешаем некоторые хосты диапазону ip и даем полный доступ людям с положительным балансом.

Вот пока такие мысли :)

P.S.

Доступ до впн при отрицательном балансе нужен что бы пользователь получил 691, а не 800.
Сеть разбита на vlan (vlan=микрорайон, введем dhcp подробим и мельче)
Управление snmp.


Смотря как должен выходить клиент потом в Интернет, если клиент потом должен авторизоваться по PPTP или PPPoE - это одно, а если с помощью функционала коммутатора и Radius сервера, то это другое. Пожалуйста, распишите более подробно.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB