Jump to content
Local
AoW

STG+MySQL+Radius-VPN

Recommended Posts

Добрый день

Пробовал ли кто-то создать такую связку STG+MySQL+Radius-VPN и при этом так, что бы через билинг не проходил общий трафик всех абонентов?????? А нарезка скорости и блокировка абонетов происходила на L3 свичах, которые бы брали инфу об абонентах из Radius-a

Share this post


Link to post
Share on other sites

Чтобы через биллинг не проходил трафик абонентов существует NetFlow и сенсоры.

Если нарезка скорости и блокировка происходит на L3-свитчах то непонятно зачем VPN.

На бывшей работе все к тому шло чтобы передать функции NAS'ов свитчам. Только не через RADIUS а прямым управлением по SNMP с помощью специального плагина к Stargazer'у. В этом нет ничего невозможного.

А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

Share this post


Link to post
Share on other sites

Собственно, управление шейпами и примитивный файрвол (без блокировки абонентов) даже был реализован, но не в связке со Stargazer а непосредственным доступом в базу.

Share this post


Link to post
Share on other sites

 

Если нарезка скорости и блокировка происходит на L3-свитчах то непонятно зачем VPN.

 

 

 

 

без VPN, Вы наверно не заметили, там указан -VPN. Тоесть необходимо оставить авторизацию STG

Share this post


Link to post
Share on other sites

 

На бывшей работе все к тому шло чтобы передать функции NAS'ов свитчам. Только не через RADIUS а прямым управлением по SNMP с помощью специального плагина к Stargazer'у. В этом нет ничего невозможного.

 

можно подробнее?

Share this post


Link to post
Share on other sites
А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

802.1x

 

можно подробнее?

https://launchpad.net/~spiderx-web/+archive/gssmd/+files/gssmd_1.0.4~ppa4.orig.tar.gz

Share this post


Link to post
Share on other sites
А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

802.1x

Точно, как я мог забыть, мне ж Слава все уши про него прожужжал :lol:

 

А что это ты корпоративное добро раздаешь? :)

Share this post


Link to post
Share on other sites

 

спасибо

а можно где-то получить хоть какой-то минимальный мануал по установке/настройке/etc. ?=)

С этим непросто. Оно было заточено под внутренние нужды, много чего завязано на архитектуру. Суть в следующем: это дэмон который периодически подтягивает с помощью web API из базы данные о том какие шейпы для каких маков и на каких свитчах нужно установить. В конфиге есть параметр data_url - это ссылка по которой должен приходить построчно (\r, \n или \r\n) текст вида:

<switch_ip> <switch_read_community> <switch_write_community> <switch_uplink_port> <switch_user's_port> <user's_mac> <up_shape> <down_shape> <up_burst> <down_burst>

Дэмон синхронизирует эту информацию со своим внутренним представлением и при необходимости корректирует параметры полисера на свитчах по SNMP. Там, если не ошибаюсь, используются приватные MIB'ы DLink DES-3200-*, так что с другими моделями может и не заработать.

Share this post


Link to post
Share on other sites

А что это ты корпоративное добро раздаешь? :lol:

Все уже давно роздано :) Да и софт классный, аналогов нет, допилить бы, и всякие абилисы и прочие утерлись бы :)

 

а можно где-то получить хоть какой-то минимальный мануал по установке/настройке/etc. ?=)

Там главная сложность — отвязать его от использования базы и привязать к СТГ. Нужен плагин, и тут уже надо просить madf :)

 

А конфигурируется все просто.

up_profile_id = 1 — ID профайла, в котором режется аплоад. Что-то типо такого: create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1

up_profile_id = 1 — ID профайла, в котором режется даунлоад. Что-то типо такого: create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2

Вот эти профайлы нужно создавать руками/скриптами по snmp. Где профайл есть — значит свитч в деле, где нет — никому скорость ограничена не будет.

data_url — это откуда забирается собственно сама информация о том, на каком свитче на каком порту, какому маку на сколько зарезать скорость.

Пример формата:

switch ip,community r,community w,uplink port,downlink port,client mac,upload,download,burst upload,burst download

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×