Minotaur 35 Posted 2011-02-06 11:38:47 Share Posted 2011-02-06 11:38:47 Приветствую! Есть Cisco ISG для обслуживания DHCP-подписчиков: все отстроено и работает: клиент авторизируется, получает по DHCP адрес и получает доступ в Интернет. Инициировать сессию в соответствии с конфигурацией может исключительно DHCP-пакет: interface GigabitEthernet0/2.33 encapsulation dot1Q 33 ip dhcp relay information trusted ip unnumbered Loopback0 ip helper-address x.x.x.245 ip directed-broadcast arp timeout 60 service-policy type control DHCP-Subscriber ip subscriber l2-connected initiator dhcp ! policy-map type control DHCP-Subscriber class type control always event session-start 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 service local ! class type control always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # Но есть проблема: особо одаренные клиенты полученный по DHCP адрес прописывают статически. И продолжают нормально работать. Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier. Как с этим бороться? Спасибо. Link to post Share on other sites
spaul 69 Posted 2011-02-06 19:51:48 Share Posted 2011-02-06 19:51:48 dhcp-snooping + port security ip verify source vlan dhcp-snooping port-security Копать в эту сторону. Трафик будет разрешаться только с ip выданого посредством dhcp Link to post Share on other sites
dir1212 9 Posted 2011-02-06 20:01:20 Share Posted 2011-02-06 20:01:20 Приветствую! Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier. Как с этим бороться? Спасибо. Может ISG еще помнит lease для клиента - поэтому и правильный идентификатор. С другой стороны что вам мешает ответить на Access-Request отрицательно из биллинга. Link to post Share on other sites
Digital Telecom IX 6 Posted 2011-02-07 15:38:45 Share Posted 2011-02-07 15:38:45 Приветствую! Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier. Как с этим бороться? Спасибо. Может ISG еще помнит lease для клиента - поэтому и правильный идентификатор. С другой стороны что вам мешает ответить на Access-Request отрицательно из биллинга. Спасибо. Пока поставил просто короткую лизу. В будущем может буду выставлять соответствующий флажок в биллинге и по нему давать отрицательный ответ. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now