DHCP opt.82 + WEB-авторизация

[mlevel 52]

Подскажите как реализуется схема DHCP opt.82 с WEB-авторизацией при смене MAC-адреса?

 

Насколько я понимаю:

1. На DHCP-сервере реальный IP-адрес выдается при match DHCP opt.82 + MAC-адреса.

2. В остальных случаях выдается IP-адрес из другой подсети и делается редирект на

страницу авторизации, где после ввода логина и пароля пользователем на

DHCP-сервере удаляется старая запись match.

3. Далее на BRAS'e ищем MAC-адрес который соответствует IP-адресу с формы WEB-авторизации.

4. В БД ищем какая DHCP opt.82 соответствует етому пользователю.

5. Вносим ету запись на DHCP-сервер, удаляя старую dhcp-lease.

6. Ждем пока пользователь получит новые настройки.

[madf 279]

3. Можно получить из DHCP, зачем на BRAS искать?

[911 140]

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

[Ромка 567]

  On 9/14/2012 at 8:05 AM, 911 said:

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

Тоже интересна данная тема, но первый пункт не вариант если выдаются белые адреса

[madf 279]

  On 9/14/2012 at 8:33 AM, Ромка said:

  On 9/14/2012 at 8:05 AM, 911 said:

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

Тоже интересна данная тема, но первый пункт не вариант если выдаются белые адреса

Почему? Никто не запрещает расписать пул по портам свитчей (пока, конечно, адреса не закончатся ).

[Ромка 567]

  On 9/14/2012 at 8:59 AM, madf said:

  On 9/14/2012 at 8:33 AM, Ромка said:

  On 9/14/2012 at 8:05 AM, 911 said:

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

Тоже интересна данная тема, но первый пункт не вариант если выдаются белые адреса

Почему? Никто не запрещает расписать пул по портам свитчей (пока, конечно, адреса не закончатся ).

Это как? Пул на коммутатор?

Допустим есть сеть /23, 50 коммутаторов... Как делить?

[ser 26]

  On 9/14/2012 at 10:24 AM, Ромка said:

  On 9/14/2012 at 8:59 AM, madf said:

  On 9/14/2012 at 8:33 AM, Ромка said:

  On 9/14/2012 at 8:05 AM, 911 said:

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

Тоже интересна данная тема, но первый пункт не вариант если выдаются белые адреса

Почему? Никто не запрещает расписать пул по портам свитчей (пока, конечно, адреса не закончатся ).

Это как? Пул на коммутатор?

Допустим есть сеть /23, 50 коммутаторов... Как делить?

 

можно и комутатор , можно на группу портов

можно вообще всю сеть отдать всем комутаторам.

pool { range .....

для каждого порта не один IP а диапазон

[madf 279]

  On 9/14/2012 at 10:24 AM, Ромка said:

  On 9/14/2012 at 8:59 AM, madf said:

  On 9/14/2012 at 8:33 AM, Ромка said:

  On 9/14/2012 at 8:05 AM, 911 said:

можно проще сделать:

1. ип выдается всегда одинаковый по опшн82

2. когда брас авторизует по радиусу пользователя, радиус в зависимости от мак адреса юзера или разрешает доступ, или выдает страничку авторизации

Тоже интересна данная тема, но первый пункт не вариант если выдаются белые адреса

Почему? Никто не запрещает расписать пул по портам свитчей (пока, конечно, адреса не закончатся ).

Это как? Пул на коммутатор?

Допустим есть сеть /23, 50 коммутаторов... Как делить?

Я ж написал: "Пока адреса не кончатся". Я про общий случай, а вы частный пример привели. Может у кого-то /16 завалялся, а то и /8! В прошлом году, как я помню, никто особо не заморачивался с адресами, при недостаче покупали еще блок да и все. Сейчас, конечно, "пояса" пришлось "затянуть", и даже Фрегат начал мне адрес менять регулярно (непонятно зачем, правда), по этому в данной ситуации неавторизованным лучше выдавать серые. Так мы в свое время реализовали в GTS.

[Ромка 567]

у кого /8 завалялся, нужно раскуркуливать!

[madf 279]

  On 9/14/2012 at 1:27 PM, Ромка said:

у кого /8 завалялся, нужно раскуркуливать!

Да там то-ли у IBM, то-ли у Microsoft... Есть, в общем, герои.

[~AsmodeuS~ 34]

http://abills.net.ua/wiki/doku.php/abills:docs:modules:dhcphosts:ru#freeradius_dhcp

[mlevel 52]

  On 9/14/2012 at 4:56 AM, madf said:

3. Можно получить из DHCP, зачем на BRAS искать?

Каким образом?

 

  On 9/15/2012 at 11:26 PM, ~AsmodeuS~ said:

http://abills.net.ua...freeradius_dhcp

К сожалению у меня не Abills.

[madf 279]

  On 9/17/2012 at 6:24 AM, mlevel said:

  On 9/14/2012 at 4:56 AM, madf said:

3. Можно получить из DHCP, зачем на BRAS искать?

Каким образом?

...

Протокол OMAPI или grep по dhcpd.leases.

[ser 26]

гдето так

 

#!/usr/bin/perl

 

use Text::DHCPparse;

 

$return = leaseparse('/var/db/dhcpd/dhcpd.leases');

 

foreach (keys %$return) {

($ip, $time, $mac, $name) = unpack("A17 A21 A19 A30", $return->{$_});

# code to handle the '$ip $time $mac & $name' variables

}

или

http://www.omar.org/opensource/reportdhcp/source.html

или .... вариантов море