Перейти до

STG+MySQL+Radius-VPN


Рекомендованные сообщения

Добрый день

Пробовал ли кто-то создать такую связку STG+MySQL+Radius-VPN и при этом так, что бы через билинг не проходил общий трафик всех абонентов?????? А нарезка скорости и блокировка абонетов происходила на L3 свичах, которые бы брали инфу об абонентах из Radius-a

Ссылка на сообщение
Поделиться на других сайтах

Чтобы через биллинг не проходил трафик абонентов существует NetFlow и сенсоры.

Если нарезка скорости и блокировка происходит на L3-свитчах то непонятно зачем VPN.

На бывшей работе все к тому шло чтобы передать функции NAS'ов свитчам. Только не через RADIUS а прямым управлением по SNMP с помощью специального плагина к Stargazer'у. В этом нет ничего невозможного.

А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

Ссылка на сообщение
Поделиться на других сайтах

Собственно, управление шейпами и примитивный файрвол (без блокировки абонентов) даже был реализован, но не в связке со Stargazer а непосредственным доступом в базу.

Ссылка на сообщение
Поделиться на других сайтах

 

Если нарезка скорости и блокировка происходит на L3-свитчах то непонятно зачем VPN.

 

 

 

 

без VPN, Вы наверно не заметили, там указан -VPN. Тоесть необходимо оставить авторизацию STG

Ссылка на сообщение
Поделиться на других сайтах

 

На бывшей работе все к тому шло чтобы передать функции NAS'ов свитчам. Только не через RADIUS а прямым управлением по SNMP с помощью специального плагина к Stargazer'у. В этом нет ничего невозможного.

 

можно подробнее?

Ссылка на сообщение
Поделиться на других сайтах
А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

802.1x

 

можно подробнее?

https://launchpad.net/~spiderx-web/+archive/gssmd/+files/gssmd_1.0.4~ppa4.orig.tar.gz

Ссылка на сообщение
Поделиться на других сайтах

 

спасибо

а можно где-то получить хоть какой-то минимальный мануал по установке/настройке/etc. ?=)

Ссылка на сообщение
Поделиться на других сайтах
А вот по поводу возможности управления доступом на свитчах через радиус - тут у меня сомнения. Управление административным доступом через RADIUS на многих свитчах есть, а вот клиентский - я про такое не слышал.

802.1x

Точно, как я мог забыть, мне ж Слава все уши про него прожужжал :lol:

 

А что это ты корпоративное добро раздаешь? :)

Ссылка на сообщение
Поделиться на других сайтах

 

спасибо

а можно где-то получить хоть какой-то минимальный мануал по установке/настройке/etc. ?=)

С этим непросто. Оно было заточено под внутренние нужды, много чего завязано на архитектуру. Суть в следующем: это дэмон который периодически подтягивает с помощью web API из базы данные о том какие шейпы для каких маков и на каких свитчах нужно установить. В конфиге есть параметр data_url - это ссылка по которой должен приходить построчно (\r, \n или \r\n) текст вида:

<switch_ip> <switch_read_community> <switch_write_community> <switch_uplink_port> <switch_user's_port> <user's_mac> <up_shape> <down_shape> <up_burst> <down_burst>

Дэмон синхронизирует эту информацию со своим внутренним представлением и при необходимости корректирует параметры полисера на свитчах по SNMP. Там, если не ошибаюсь, используются приватные MIB'ы DLink DES-3200-*, так что с другими моделями может и не заработать.

Ссылка на сообщение
Поделиться на других сайтах

А что это ты корпоративное добро раздаешь? :lol:

Все уже давно роздано :) Да и софт классный, аналогов нет, допилить бы, и всякие абилисы и прочие утерлись бы :)

 

а можно где-то получить хоть какой-то минимальный мануал по установке/настройке/etc. ?=)

Там главная сложность — отвязать его от использования базы и привязать к СТГ. Нужен плагин, и тут уже надо просить madf :)

 

А конфигурируется все просто.

up_profile_id = 1 — ID профайла, в котором режется аплоад. Что-то типо такого: create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1

up_profile_id = 1 — ID профайла, в котором режется даунлоад. Что-то типо такого: create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2

Вот эти профайлы нужно создавать руками/скриптами по snmp. Где профайл есть — значит свитч в деле, где нет — никому скорость ограничена не будет.

data_url — это откуда забирается собственно сама информация о том, на каком свитче на каком порту, какому маку на сколько зарезать скорость.

Пример формата:

switch ip,community r,community w,uplink port,downlink port,client mac,upload,download,burst upload,burst download

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...