BiTel

Прошу прощения, если не туда...

Имеется - городская сеть с выходом в Инет. В центре Catalyst 2960 Switch + Catalyst 3560 Switch (в паре). Оба позволяют авторизоваться с использованием RADIUS сервера. Но управлять ими не получится. Да и NetFlow они гнать не умеют...

Оплачивается абонетская плата за пользование сетью и трафик с Интернета. Есть безлимитные тарифы с ограничением скорости. Пока что пользовались Трафик Инспектором - не вытягивает к-во клиентов, да и не надежно... Винда-ссс.

Заинтересовался БГБ - привлекла независимость от платформы и большие возможности "поработать напильником".

Планируется: настроить авторизацию на цысках (RADIUS), в роли шлюза в Инет - FreeBSD или Linux (NAT, источник NetFlow, управляемый файревол, ограничение скорости и т.д.).
Т.е. схема [клиент]<>[цыска]<>[шлюз]<>[Internet].
У всех клиентов фиксированные IP из 192.168.0.0/16. Цыска с радиусом должны при авторизации проверять этот IP. Соответственно, после авторизации клиент считается активным и его трафик обсчитывается по данным NetFlow со шлюза.

Вопрос глобального перехода на PPPoE (и подобного) не рассматривается.

А теперь вопросы.
1. В документации написано "Модуль DialUp предназначен для подсчета времени и трафика клиентов, работающих по выделенным телефонным линиям чибо через VPN туннели".
Получится использовать Модуль DialUp с BGRadiusDialup для авторизации на моих цысках? Проверка логин-пароль-IP.
2. Получится ли управлять шлюзом и считать трафик встроенным коллектором NetFlow? Интересует управление скоростью, блокировка и т.д.
3. Ну и последний вопрос.
Достаточно ли мне модулей
DialUp + BGRadiusDialup - авторизация на цысках,
NPAY - абонентская плата,
Встроенный коллектор NetFlow - подсчет трафика,
TrayInfo - просто удобно пользователям
для организации моей схемы?

С уважением. Может гуру ответят?

Не совсем понял как вы хотите авторизировать пользователей по Radius (VPN?) и зачем вам вообще авторизация при статике....

Авторизовать по протоколу 802.1х.
А для чего...
Клиент - это (в большинстве) домашний ПК. Дали мы клиенту Васе IP 192.168.5.5. Работает. Вечером выключил ПК и лег спать. А вместо него, этот IP себе поставил Петя. И качает гигобайты...

Т.е. авторизовать по одному IP нельзя.

так вам кроме ip надо авторизацию по логину/паролю ?

если у вас cisco, то вы можете попробовать модуль IPN + использовать шлюз BGRadiusIPN. если использовать dialup + radius, то там netflow-коллектор совмешен с самим радиусом .. в IPN он отдельный .. при использовании dialup авторизация идет только по логину/паролю, а ip выдается клиенту в accept-пакете .. а авториазция по портук у вас возможна ? т.е петя сидят на 10 порту и там ему выдают его ip .. вася сидит на другом порту .. или вообще оба в разных vlan

Да, обязательно. Большое желание еще и по MAC, но это будет некорректно - клиент оборудование может поменять.

Да, Cisco, но коммутаторы (без VPN, PPPoE и NetFlow). Есть доступ в сеть по 802.1х, с обращением к стороннему Radius (в данный момент не используется).

Про BGRadiusIPN, если можно, чуть подробнее. Нигде в документации такого не нашол, и на сайте в "скачать" нету. Ни на 5.4, ни на 4.6 версии. Вроде - это как раз то что надо...

Вот это меня и сбивает... Dialup + Radius - это логин-пароль, выдача IP. Но на сколько понимаю, вместо выдачи можно и просто проверять с какого IP идет запрос авторизации, сравнивать с заданным и принимать решение разрешать или нет. Может даже своими скриптами.

На одном порту циски от 20 до 150 клиентов. Отдавать порт цыски целиком клиенту - шибко дорого...
Сеть разбита Вланами на подсети класса C с маской 24


Вся проблема как раз в том, что
IPN -

ДиалАп -



Т.е. по нашим условиям как раз диалап вроде подходит - авторизация с использованием Radius (Cisco), сбор данных - NetFlow (шлюз на Linux или FreeBSD).

Если бы IPN дополнительно позволяла делать авторизацию по логину-паролю (как раз BGRadiusIPN который нигде не могу найти)...
И опять-же, а где эти логин-пароль вводить?

В общем, мозги враскорячку.

PS. Прошу прощения, в документации есть упоминание про BGRadiusIPN.
Но "Установите и настройте BGRadiusIPN" - не понятно...
Это отдельный модуль? Где его взять попробовать?

PPS.
Все нашел, пробую... Похоже - как раз что "доктор прописал".
Хотя пример использования BGRadiusIPN в документации сделан для PPPoE, но думаю, даже он без проблем пойдет для авторизации по 802.1х.

Попутно, про документацию. Очень не хватает конкретных рабочих примеров. С описанием по шагам как реализовать (с нуля). Теория - это хорошо, но делать по аналогии проще.