forum.bitel.ru :: Просмотр темы - Авторизация по порту коммутатора без DHCP

Задача - настроить авторизацию статического клиента по порту коммутатора. Т.е. DHCP нет, клиент настраивает выданный ему адрес на своей стороне самостоятельно. Собственно вопрос - это возможно? Если да, то где можно поискать описание. Пока все, что я находил, относиться к опции 82 DHCP.

# Вендор атрибута, где хранится MAC-адрес
#radius.macAddress.vendor=9
# Код атрибута, где хранится MAC-адрес
#radius.macAddress.type=1
# Префикс атрибута (если есть), где хранится MAC-адрес. Например, для cisco avpair
#radius.macAddress.prefix=client-mac-address

Автор:	aneye [ 07 окт 2016, 16:14 ]
Заголовок сообщения:	Авторизация по порту коммутатора без DHCP
Всем привет. Настраиваем связку BGBilling 6.0 (Inet) - Cisco ISG (ASR-1001-X) - разношерстные коммутаторы (для тестов - Cisco C3750). Задача - настроить авторизацию статического клиента по порту коммутатора. Т.е. DHCP нет, клиент настраивает выданный ему адрес на своей стороне самостоятельно. Собственно вопрос - это возможно? Если да, то где можно поискать описание. Пока все, что я находил, относиться к опции 82 DHCP. И второй вопрос - если это невозможно, есть ли возможность аутентифицировать клиента не только по IP, но и по МАКу, причем желательно так, что бы МАК не надо было вбивать руками, а система запоминала тот МАК, что пришел в Access-Request от NAS? Буду очень признателен за ссылки на страницы в документации, ну и возможно, какие то еще статьи. Или ваш личный опыт.

Автор:	Dog [ 09 окт 2016, 22:53 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Цитата: Задача - настроить авторизацию статического клиента по порту коммутатора. Т.е. DHCP нет, клиент настраивает выданный ему адрес на своей стороне самостоятельно. Собственно вопрос - это возможно? Если да, то где можно поискать описание. Пока все, что я находил, относиться к опции 82 DHCP. а кто расскажет биллингу с какого порта коммутатора пришел\авторизуется клиент? есть возможность например сервис активатором писать на коммутаторах ACL, накладывать их на интерфейс и собственно, чтобы не прописал клиент - единственно верным будет только то что указанно в биллинге.

Автор:	aneye [ 10 окт 2016, 10:24 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Да, спасибо, я немного покопавшись понял, что спросил некоторую глупость. Вот кстати, читал примеры и как раз наткнулся на сервис-активаторы, которые пишут команды на коммутаторах. А как они "преодолевают" пароль enable в случае устройств Cisco? Т.е. пароль на вход предположим в настройке устройства в BGBilling можно прописать, а как со вторым уровнем защиты?

Автор:	Phricker [ 10 окт 2016, 11:56 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
тут

Автор:	aneye [ 10 окт 2016, 12:49 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
За ссылку спасибо. Остался второй вопрос - об аутентификации абонента не только по IP, но и по МАКу. В документации, в разделе: 13.3.1. Процессор ru.bitel.bgbilling.modules.inet.radius.InetRadiusProcessor, есть описание: # Вендор атрибута, где хранится MAC-адрес #radius.macAddress.vendor=9 # Код атрибута, где хранится MAC-адрес #radius.macAddress.type=1 # Префикс атрибута (если есть), где хранится MAC-адрес. Например, для cisco avpair #radius.macAddress.prefix=client-mac-address= и # Нужно ли автоматически проставлять в сервис MAC-адрес, если его еще нет. # Можно указать в конфигурации модуля, конфигурации устройства, конфигурации типа сервиса. # 0 - не привязывать, 1 - привязывать, если поле сервиса пустое, 2 - перетирать новым значением, 3 - добавлять # (в последних двух случаях отказа в авторизации по MAC-адресу не будет) serv.macAddress.auto=1 Первое, что мне не до конца ясно - где я указываю, что работает именно это процессор? В типе устройств, в поле "обработчик процессора прокола" у меня такого нет. В типе сервиса у меня указаны логин+пароль, МАС-адрес и устройство, поле МАК-адреса сервиса в договоре - пустое, в конфигурации типа сервиса: radius.macAddress.vendor=9 radius.macAddress.type=31 radius.macAddress.prefix=Calling-Station-Id= serv.macAddress.auto=1 В запросе МАК есть, так же я вижу его по монитору в активной сессии, туда он заноситься. Однако, как я понял, вышеуказанные строчки должны заносить МАК в сервис договора, в поле МАК-адрес. Однако, этого не происходит. Подскажите пожалуйста, может быть, где то синтаксис нарушен, или галочку не поставил?

forum.bitel.ru http://forum.bitel.ru/

Авторизация по порту коммутатора без DHCP http://forum.bitel.ru/viewtopic.php?f=44&t=11995	Страница 1 из 1

Автор:	Amir [ 10 окт 2016, 20:21 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Параметры Код: radius.macAddress.vendor=9 radius.macAddress.type=31 radius.macAddress.prefix=Calling-Station-Id= могут быть прописаны только в конфиге устройства (или типа устройства). В конфиге типа сервиса они не сработают.

Автор:	aneye [ 11 окт 2016, 11:08 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Интересное уточнение только про конфиг устройства. Спасибо. Однако, по какой-то причине, заработало только при вендор-коде -1 (хотя устройства - Cisco и их вендор-код - 9) и без последней строки (radius.macAddress.prefix=Calling-Station-Id=).

Автор:	barguzin2 [ 11 окт 2016, 12:06 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
понятно, по какой. Атрибут 31 не вендорный

Автор:	aneye [ 11 окт 2016, 13:26 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Согласен. Однако, в документации написано точно так, как указал Amir, и оно - не работает.

Автор:	barguzin2 [ 11 окт 2016, 15:18 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Не так, а вот так, извлекается из вендорного cisco-avpair Цитата: # Вендор атрибута, где хранится MAC-адрес #radius.macAddress.vendor=9 # Код атрибута, где хранится MAC-адрес #radius.macAddress.type=1 # Префикс атрибута (если есть), где хранится MAC-адрес. Например, для cisco avpair #radius.macAddress.prefix=client-mac-address

Автор:	aneye [ 11 окт 2016, 16:26 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Ясно, будем знать.

Автор:	Amir [ 12 окт 2016, 17:34 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
Поправили доку.

Автор:	snark [ 18 янв 2017, 21:53 ]
Заголовок сообщения:	Re: Авторизация по порту коммутатора без DHCP
aneye писал(а): Задача - настроить авторизацию статического клиента по порту коммутатора. Т.е. DHCP нет, клиент настраивает выданный ему адрес на своей стороне самостоятельно. Собственно вопрос - это возможно? Вполне. Делаете схему VLAN-per-User, т.е. влан на пользователя и авторизуете абонента по влану (порт свича == влан).

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/