forum.opennet.ru - "Авторизация и статистика тафика пользователей" (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Авторизация и статистика тафика пользователей"

Форум Маршрутизаторы CISCO и др. оборудование. (Учет трафика и статистика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Авторизация и статистика тафика пользователей"	+/–
Сообщение от Dmitriy2d (ok) on 20-Дек-14, 05:38
Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему: Есть АД Winserv2008 с количеством пользователей чуть больше 10000. Количество пользователей будет расти каждый год примерно на 3,5 к. Есть сеть с 2-3 тыс рабочих станций. Вин-компы, маки, линуксы. Клиентские машины не в домене. Необходимо, чтобы пользователи при подключении к сети, до того как начали ей пользоваться, вводили доменные логин и пароль. Также необходим статистический отчет об обращении этих пользователей к стороннему l2tp серверу. Как быть? Чем осуществить? Помогите, куда копать? Сеть роутится силами Cisco 3570G. Клиенты подключены в Dlink DES3550, Dlink DES3200-52. Заранее благодарен за помощь и понимание!
Ответить \| Правка \| Cообщить модератору

Оглавление

Авторизация и статистика тафика пользователей, Diesel315, 13:17 , 20-Дек-14, (1)

Авторизация и статистика тафика пользователей, Dmitriy2d, 15:19 , 20-Дек-14, (2)

Авторизация и статистика тафика пользователей, ShyLion, 21:25 , 20-Дек-14, (3)

Авторизация и статистика тафика пользователей, Dmitriy2d, 06:12 , 21-Дек-14, (4)

Авторизация и статистика тафика пользователей, ShyLion, 08:55 , 21-Дек-14, (5)

Авторизация и статистика тафика пользователей, Dmitriy2d, 09:21 , 21-Дек-14, (6)

Авторизация и статистика тафика пользователей, Dmitriy2d, 09:23 , 21-Дек-14, (7)

Авторизация и статистика тафика пользователей, Dmitriy2d, 09:25 , 21-Дек-14, (8)

Авторизация и статистика тафика пользователей, ShyLion, 07:14 , 22-Дек-14, (9)

Авторизация и статистика тафика пользователей, eek, 08:02 , 22-Дек-14, (10)

Авторизация и статистика тафика пользователей, Dmitriy2d, 08:50 , 22-Дек-14, (11)

Авторизация и статистика тафика пользователей, eek, 09:11 , 22-Дек-14, (12)

Авторизация и статистика тафика пользователей, Dmitriy2d, 09:48 , 22-Дек-14, (13)

Авторизация и статистика тафика пользователей, eek, 10:09 , 22-Дек-14, (14)

Авторизация и статистика тафика пользователей, DeerFriend, 11:30 , 22-Дек-14, (15)

Авторизация и статистика тафика пользователей, Dmitriy2d, 08:31 , 23-Дек-14, (18)

Авторизация и статистика тафика пользователей, DeerFriend, 11:15 , 23-Дек-14, (20)

Авторизация и статистика тафика пользователей, ShyLion, 13:39 , 22-Дек-14, (16)

Авторизация и статистика тафика пользователей, Dmitriy2d, 08:30 , 23-Дек-14, (17)

Авторизация и статистика тафика пользователей, ShyLion, 09:16 , 23-Дек-14, (19)

Сообщения по теме [Сортировка по времени | RSS]

1. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Diesel315 (ok) on 20-Дек-14, 13:17

> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:
Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль" это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка на уровне access.
Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих пользователей к стороннему l2tp серверу"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 20-Дек-14, 15:19

>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:
> Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль"
> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
> на уровне access.
> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
> пользователей к стороннему l2tp серверу"?
есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо знать и считать, какие из клиентов обращаются к л2тп серверу.
В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу. А сеткой пусть пользуются свободно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Авторизация и статистика тафика пользователей" +/–

Сообщение от ShyLion (??) on 20-Дек-14, 21:25

>>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:
>> Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль"
>> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
>> на уровне access.
>> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
>> пользователей к стороннему l2tp серверу"?
> есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо
> знать и считать, какие из клиентов обращаются к л2тп серверу.
> В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу.
> А сеткой пусть пользуются свободно.
L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а если нужны логины, тогда нужно DPI система.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 21-Дек-14, 06:12

>[оверквотинг удален]
>>> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
>>> на уровне access.
>>> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
>>> пользователей к стороннему l2tp серверу"?
>> есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо
>> знать и считать, какие из клиентов обращаются к л2тп серверу.
>> В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу.
>> А сеткой пусть пользуются свободно.
> L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а
> если нужны логины, тогда нужно DPI система.
DPI синхронизировать с доменом и анализировать траффик на уровне пакетов? А Радиус не спасет отца русской демократии?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Авторизация и статистика тафика пользователей" +/–

Сообщение от ShyLion (??) on 21-Дек-14, 08:55

нет. просто не ясно, есть ли доступ к l2tp серверу и его радиусу и доменные ли там учетки вообще.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:21

> нет. просто не ясно, есть ли доступ к l2tp серверу и его
> радиусу и доменные ли там учетки вообще.
Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников. Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников подключаются к брассу и сколько их.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:23

>> нет. просто не ясно, есть ли доступ к l2tp серверу и его
>> радиусу и доменные ли там учетки вообще.
> Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников.
> Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются
> к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников
> подключаются к брассу и сколько их.
к Л2ТП серверу доступ есть и он определяется фаерволом Циски. там другие учетки, которые выдает провайдер. это

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:25

Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ софт чтобы  можно было определить правила доступа через указанные доменные учетки?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Авторизация и статистика тафика пользователей" +/–

Сообщение от ShyLion (ok) on 22-Дек-14, 07:14

> Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ
> софт чтобы  можно было определить правила доступа через указанные доменные
> учетки?
Т.е. L2TP сервер от вас не зависит и учетки для доступа в интернет там отдельные и с доменом не связаны?
Такого софта с наскоку не найдешь. Особенно, если L2TP поверх IPSec.
Ограничивать можно только доступ пользователей к серверу L2TP, либо раскидывая их с помощью 802.1x в разные виланы, либо с использованием авторизации по MAC, либо статические IP и списки доступа на роутере ну и еще есть несколько извращенных методов сопоставить пользователя и его IP.
Но это все хрень полная в целом. Что за прикол такой с интернетом, что каждый пользователь подключается отдельно??? Это в организации такое? Или пользователи - отдельные юрлица (правда с чего бы тогда их контролировать)? Чую что вы там изначально к вопросу подошли не с той стороны.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Авторизация и статистика тафика пользователей" +/–

Сообщение от eek (ok) on 22-Дек-14, 08:02

Коллега то что вы описываете это плохой дизайн. Определитесь, что у вас.
1) Корпоративная сеть
2) Провайдерская сеть
3) Кампус (Общага).
Больше всего то, что вы описываете, похоже на общагу где нет централизованного управления, общего бюджета и четкого понимания что должно работать, а что нет. Или жуткий колхоз.
Чуть больше 10.000 пользователей это при 10 мегабитном тарифе сколько в ЧНН (а при 50) ? Трафик себе представляете?
Задача: нужно знать кто ходит.
Зачем знать кто ходит если вы собственный биллинг не делаете?
А если биллинг ваш, зачем вам давать доступ к серверу провайдера?
Что будете делать с безопасностью?
Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его?
Первый же крик, "Я деньги заплатил - а оно не работает" + звонок в связь надзор, незданый объект связи и будете приседать и делать ку ближайшие пару лет.
Список можно продолжить.

По существу:
Определитесь с функционалом,  что первично, что вторично, чей бюджет, чья ответственность, детали технического решения это самая простая часть проектов такого рода.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 22-Дек-14, 08:50

>[оверквотинг удален]
> А если биллинг ваш, зачем вам давать доступ к серверу провайдера?
> Что будете делать с безопасностью?
> Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его?
> Первый же крик, "Я деньги заплатил - а оно не работает" +
> звонок в связь надзор, незданый объект связи и будете приседать и
> делать ку ближайшие пару лет.
> Список можно продолжить.
> По существу:
> Определитесь с функционалом,  что первично, что вторично, чей бюджет, чья ответственность,
> детали технического решения это самая простая часть проектов такого рода.
Ладно, по существу. Есть университет, в котором роутится вся сеть. Есть домен контроллер, в котором присутствуют учетки на всех сотрудников и студентов за последние два года (плюс каждый год число учеток будет возрастать на 4000). Есть общежития, которые подключены к университету и соответственно мы маршрутизируем их сеть и даем крайне маленький канал интернета (15 МБ на 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер. Студенты могут заключать договор с Интернет-провайдером и через нашу сеть подключаться к l2tp брасу, соответственно, таким образом ходить в Интернет. По договору Университета и Провайдера, провайдер за каждого подключенного студента нам должен платить указанный тариф. В итоге, пришла оплата от провайдера на 2500 р за год. т.е. Обманывают. говорят, что к ним никто не подключается. в итоге, нужно посчитать, сколько студентов подключаются к этому брасу через сеть общежития. Желательна персонализация, так что проделать надо все через доменные учетки.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Авторизация и статистика тафика пользователей" +/–

Сообщение от eek (ok) on 22-Дек-14, 09:11

> Ладно, по существу. Есть университет, в котором роутится вся сеть.
:)
> 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер.
> Провайдера, провайдер за каждого подключенного студента
> нам должен платить указанный тариф.
> В итоге, пришла оплата от провайдера на 2500 р за год.
Возьмите тарифную сетку провайдера.  Откройте свою систему статистики и посмотрите траффик на порту в сторону провайдера. Путем не сложной математики получите примерные реальные цифры. Для начала. После этого можно думать есть ли смысл что-то делать по этому поводу.
> т.е. Обманывают. говорят, что к ним никто не подключается.
Если вы заранее не предусмотрели средств контроля, получаете то, что получаете.
> нужно посчитать, сколько студентов подключаются
> к этому брасу через сеть общежития.
Как посчитать плюс-минус километр я уже вам написал выше.
Если хотите знать точное число сессий снимайте информацию по flow с железки которая отдает траффик в сторону провайдера (netflow/sflow или какое там у вас стоит железо) и считайте. Если железка флоу не умеет, делайте зеркалирование траффика и считайте каким-нибудь линукс тазиком.
> Желательна персонализация, так что проделать надо все через доменные учетки.
Персонализация сама по себе в отрыве от всего остально не делается. Все решения на рынке заточены под два случая: Провайдер и Корпоративная сеть, под кампусы обычно городят какие-то костыли потому как если у кампуса есть деньги они делают корпоративную модель (реже провайдерскую), а если денег нет никому не интересное этим заниматься.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 22-Дек-14, 09:48

>[оверквотинг удален]
> Если хотите знать точное число сессий снимайте информацию по flow с железки
> которая отдает траффик в сторону провайдера (netflow/sflow или какое там у
> вас стоит железо) и считайте. Если железка флоу не умеет, делайте
> зеркалирование траффика и считайте каким-нибудь линукс тазиком.
>> Желательна персонализация, так что проделать надо все через доменные учетки.
> Персонализация сама по себе в отрыве от всего остально не делается. Все
> решения на рынке заточены под два случая: Провайдер и Корпоративная сеть,
> под кампусы обычно городят какие-то костыли потому как если у кампуса
> есть деньги они делают корпоративную модель (реже провайдерскую), а если денег
> нет никому не интересное этим заниматься.
По трафику - статистика есть. Пока никаких конкретных данных по пользователям-сессиям нет - это всего лишь разговоры. будет персонализация - можно будет говорить конкретней.
По поводу зеркалирования, это мысль. можно вытаскивать л2тп запросы и складывать их в отчет. Ну либо заказывать DPI.В любом случае, спасибо, теперь есть куда копать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Авторизация и статистика тафика пользователей" +/–

Сообщение от eek (ok) on 22-Дек-14, 10:09

> По трафику - статистика есть.
> Пока никаких конкретных данных по пользователям-сессиям нет
> - это всего лишь разговоры.
Либо я не могу до вас донести мысль, либо вы меня понять не можете.
Персонализация сама по себе не является решением, это инструмент. В вашем случае это инструмент для решения проблемы которой нет. (Решение как отмониторить количество сессий и траффик малой кровью я дал выше).
Если провайдер мы решаем вопрос как денег заработать и обеспечить достаточный уровень услуги.
Если корпорат мы решаем проблему  как сделать так, чтобы пользователи работали на работе и по возможности не перезаражали все и вся вирусами (упрощенно).
В вашем случае вы пытаетесь решить как бы так развести на бабло провайдера них3ра при этом не делая.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Авторизация и статистика тафика пользователей" +/–

Сообщение от DeerFriend on 22-Дек-14, 11:30

А самое смешное, что в договоре не указано, что юзеров будут считать в кампусе. А это значит, что даже при наличии мониторинга подключений, предъявить провайдеру будет нечего (никакой суд ваши логи не примет).

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 23-Дек-14, 08:31

> А самое смешное, что в договоре не указано, что юзеров будут считать
> в кампусе. А это значит, что даже при наличии мониторинга подключений,
> предъявить провайдеру будет нечего (никакой суд ваши логи не примет).
Удивлен. Вы читали этот договор? Предъявлять что-либо провайдеру - дело юристов.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Авторизация и статистика тафика пользователей" +/–

Сообщение от DeerFriend on 23-Дек-14, 11:15

Что-то мне подсказывает, что юристы провайдера имели гораздо больше опыта на момент оформления договора. И не оставили вам возможность контролировать их биллинг.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

16. "Авторизация и статистика тафика пользователей" +/–

Сообщение от ShyLion (ok) on 22-Дек-14, 13:39

>>[оверквотинг удален]
Общажные компы в домене???
Шняга-шняжная, жизнь общажная...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Авторизация и статистика тафика пользователей" +/–

Сообщение от Dmitriy2d (ok) on 23-Дек-14, 08:30

>>>[оверквотинг удален]
> Общажные компы в домене???
> Шняга-шняжная, жизнь общажная...
Общажные компы не в домене. юзеры прои помощи скрипта интегрируются в домен из postgresql базы студентов.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Авторизация и статистика тафика пользователей" +/–

Сообщение от ShyLion (ok) on 23-Дек-14, 09:16

Короче.
Пускать в сеть по доменным учеткам - это либо 802.1x, EAP-PEAP самое простое, но радиус будет на винде, со всеми вытекающими. Т.е. работать будет, но удобство так себе.
С EAP-TLS можно заморочиться, но там своих приколов хватает тоже. Наигрались с WiFi с этим и через год послал я этот EAP-TLS подальше.
Другой вариант - captive portal. Т.е. в локалке чуваки живут в пределах своего сегмента, если дальше надо, то на вебстранчке авторизация. Минус в необходимости веб-сессии.
Насчет интернета - купите у провайдера траффик а пользователей терминируйте сами.
Начать можно и с бесплатного mpd. Будут объемы и деньги, перейдете на ASR.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Авторизация и статистика тафика пользователей"	+/–
Сообщение от Diesel315 (ok) on 20-Дек-14, 13:17
> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему: Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль" это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка на уровне access. Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих пользователей к стороннему l2tp серверу"?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 20-Дек-14, 15:19
	>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему: > Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль" > это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка > на уровне access. > Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих > пользователей к стороннему l2tp серверу"? есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо знать и считать, какие из клиентов обращаются к л2тп серверу. В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу. А сеткой пусть пользуются свободно.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от ShyLion (??) on 20-Дек-14, 21:25
	>>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему: >> Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль" >> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка >> на уровне access. >> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих >> пользователей к стороннему l2tp серверу"? > есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо > знать и считать, какие из клиентов обращаются к л2тп серверу. > В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу. > А сеткой пусть пользуются свободно. L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а если нужны логины, тогда нужно DPI система.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 21-Дек-14, 06:12
	>[оверквотинг удален] >>> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка >>> на уровне access. >>> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих >>> пользователей к стороннему l2tp серверу"? >> есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо >> знать и считать, какие из клиентов обращаются к л2тп серверу. >> В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу. >> А сеткой пусть пользуются свободно. > L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а > если нужны логины, тогда нужно DPI система. DPI синхронизировать с доменом и анализировать траффик на уровне пакетов? А Радиус не спасет отца русской демократии?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от ShyLion (??) on 21-Дек-14, 08:55
	нет. просто не ясно, есть ли доступ к l2tp серверу и его радиусу и доменные ли там учетки вообще.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:21
	> нет. просто не ясно, есть ли доступ к l2tp серверу и его > радиусу и доменные ли там учетки вообще. Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников. Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников подключаются к брассу и сколько их.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:23
	>> нет. просто не ясно, есть ли доступ к l2tp серверу и его >> радиусу и доменные ли там учетки вообще. > Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников. > Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются > к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников > подключаются к брассу и сколько их. к Л2ТП серверу доступ есть и он определяется фаерволом Циски. там другие учетки, которые выдает провайдер. это
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 21-Дек-14, 09:25
	Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ софт чтобы можно было определить правила доступа через указанные доменные учетки?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от ShyLion (ok) on 22-Дек-14, 07:14
	> Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ > софт чтобы можно было определить правила доступа через указанные доменные > учетки? Т.е. L2TP сервер от вас не зависит и учетки для доступа в интернет там отдельные и с доменом не связаны? Такого софта с наскоку не найдешь. Особенно, если L2TP поверх IPSec. Ограничивать можно только доступ пользователей к серверу L2TP, либо раскидывая их с помощью 802.1x в разные виланы, либо с использованием авторизации по MAC, либо статические IP и списки доступа на роутере ну и еще есть несколько извращенных методов сопоставить пользователя и его IP. Но это все хрень полная в целом. Что за прикол такой с интернетом, что каждый пользователь подключается отдельно??? Это в организации такое? Или пользователи - отдельные юрлица (правда с чего бы тогда их контролировать)? Чую что вы там изначально к вопросу подошли не с той стороны.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

10. "Авторизация и статистика тафика пользователей"	+/–
Сообщение от eek (ok) on 22-Дек-14, 08:02
Коллега то что вы описываете это плохой дизайн. Определитесь, что у вас. 1) Корпоративная сеть 2) Провайдерская сеть 3) Кампус (Общага). Больше всего то, что вы описываете, похоже на общагу где нет централизованного управления, общего бюджета и четкого понимания что должно работать, а что нет. Или жуткий колхоз. Чуть больше 10.000 пользователей это при 10 мегабитном тарифе сколько в ЧНН (а при 50) ? Трафик себе представляете? Задача: нужно знать кто ходит. Зачем знать кто ходит если вы собственный биллинг не делаете? А если биллинг ваш, зачем вам давать доступ к серверу провайдера? Что будете делать с безопасностью? Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его? Первый же крик, "Я деньги заплатил - а оно не работает" + звонок в связь надзор, незданый объект связи и будете приседать и делать ку ближайшие пару лет. Список можно продолжить. По существу: Определитесь с функционалом, что первично, что вторично, чей бюджет, чья ответственность, детали технического решения это самая простая часть проектов такого рода.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 22-Дек-14, 08:50
	>[оверквотинг удален] > А если биллинг ваш, зачем вам давать доступ к серверу провайдера? > Что будете делать с безопасностью? > Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его? > Первый же крик, "Я деньги заплатил - а оно не работает" + > звонок в связь надзор, незданый объект связи и будете приседать и > делать ку ближайшие пару лет. > Список можно продолжить. > По существу: > Определитесь с функционалом, что первично, что вторично, чей бюджет, чья ответственность, > детали технического решения это самая простая часть проектов такого рода. Ладно, по существу. Есть университет, в котором роутится вся сеть. Есть домен контроллер, в котором присутствуют учетки на всех сотрудников и студентов за последние два года (плюс каждый год число учеток будет возрастать на 4000). Есть общежития, которые подключены к университету и соответственно мы маршрутизируем их сеть и даем крайне маленький канал интернета (15 МБ на 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер. Студенты могут заключать договор с Интернет-провайдером и через нашу сеть подключаться к l2tp брасу, соответственно, таким образом ходить в Интернет. По договору Университета и Провайдера, провайдер за каждого подключенного студента нам должен платить указанный тариф. В итоге, пришла оплата от провайдера на 2500 р за год. т.е. Обманывают. говорят, что к ним никто не подключается. в итоге, нужно посчитать, сколько студентов подключаются к этому брасу через сеть общежития. Желательна персонализация, так что проделать надо все через доменные учетки.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от eek (ok) on 22-Дек-14, 09:11
	> Ладно, по существу. Есть университет, в котором роутится вся сеть. :) > 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер. > Провайдера, провайдер за каждого подключенного студента > нам должен платить указанный тариф. > В итоге, пришла оплата от провайдера на 2500 р за год. Возьмите тарифную сетку провайдера. Откройте свою систему статистики и посмотрите траффик на порту в сторону провайдера. Путем не сложной математики получите примерные реальные цифры. Для начала. После этого можно думать есть ли смысл что-то делать по этому поводу. > т.е. Обманывают. говорят, что к ним никто не подключается. Если вы заранее не предусмотрели средств контроля, получаете то, что получаете. > нужно посчитать, сколько студентов подключаются > к этому брасу через сеть общежития. Как посчитать плюс-минус километр я уже вам написал выше. Если хотите знать точное число сессий снимайте информацию по flow с железки которая отдает траффик в сторону провайдера (netflow/sflow или какое там у вас стоит железо) и считайте. Если железка флоу не умеет, делайте зеркалирование траффика и считайте каким-нибудь линукс тазиком. > Желательна персонализация, так что проделать надо все через доменные учетки. Персонализация сама по себе в отрыве от всего остально не делается. Все решения на рынке заточены под два случая: Провайдер и Корпоративная сеть, под кампусы обычно городят какие-то костыли потому как если у кампуса есть деньги они делают корпоративную модель (реже провайдерскую), а если денег нет никому не интересное этим заниматься.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 22-Дек-14, 09:48
	>[оверквотинг удален] > Если хотите знать точное число сессий снимайте информацию по flow с железки > которая отдает траффик в сторону провайдера (netflow/sflow или какое там у > вас стоит железо) и считайте. Если железка флоу не умеет, делайте > зеркалирование траффика и считайте каким-нибудь линукс тазиком. >> Желательна персонализация, так что проделать надо все через доменные учетки. > Персонализация сама по себе в отрыве от всего остально не делается. Все > решения на рынке заточены под два случая: Провайдер и Корпоративная сеть, > под кампусы обычно городят какие-то костыли потому как если у кампуса > есть деньги они делают корпоративную модель (реже провайдерскую), а если денег > нет никому не интересное этим заниматься. По трафику - статистика есть. Пока никаких конкретных данных по пользователям-сессиям нет - это всего лишь разговоры. будет персонализация - можно будет говорить конкретней. По поводу зеркалирования, это мысль. можно вытаскивать л2тп запросы и складывать их в отчет. Ну либо заказывать DPI.В любом случае, спасибо, теперь есть куда копать.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от eek (ok) on 22-Дек-14, 10:09
	> По трафику - статистика есть. > Пока никаких конкретных данных по пользователям-сессиям нет > - это всего лишь разговоры. Либо я не могу до вас донести мысль, либо вы меня понять не можете. Персонализация сама по себе не является решением, это инструмент. В вашем случае это инструмент для решения проблемы которой нет. (Решение как отмониторить количество сессий и траффик малой кровью я дал выше). Если провайдер мы решаем вопрос как денег заработать и обеспечить достаточный уровень услуги. Если корпорат мы решаем проблему как сделать так, чтобы пользователи работали на работе и по возможности не перезаражали все и вся вирусами (упрощенно). В вашем случае вы пытаетесь решить как бы так развести на бабло провайдера них3ра при этом не делая.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от DeerFriend on 22-Дек-14, 11:30
	А самое смешное, что в договоре не указано, что юзеров будут считать в кампусе. А это значит, что даже при наличии мониторинга подключений, предъявить провайдеру будет нечего (никакой суд ваши логи не примет).
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	18. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 23-Дек-14, 08:31
	> А самое смешное, что в договоре не указано, что юзеров будут считать > в кампусе. А это значит, что даже при наличии мониторинга подключений, > предъявить провайдеру будет нечего (никакой суд ваши логи не примет). Удивлен. Вы читали этот договор? Предъявлять что-либо провайдеру - дело юристов.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	20. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от DeerFriend on 23-Дек-14, 11:15
	Что-то мне подсказывает, что юристы провайдера имели гораздо больше опыта на момент оформления договора. И не оставили вам возможность контролировать их биллинг.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	16. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от ShyLion (ok) on 22-Дек-14, 13:39
	>>[оверквотинг удален] Общажные компы в домене??? Шняга-шняжная, жизнь общажная...
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	17. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от Dmitriy2d (ok) on 23-Дек-14, 08:30
	>>>[оверквотинг удален] > Общажные компы в домене??? > Шняга-шняжная, жизнь общажная... Общажные компы не в домене. юзеры прои помощи скрипта интегрируются в домен из postgresql базы студентов.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	19. "Авторизация и статистика тафика пользователей"	+/–
	Сообщение от ShyLion (ok) on 23-Дек-14, 09:16
	Короче. Пускать в сеть по доменным учеткам - это либо 802.1x, EAP-PEAP самое простое, но радиус будет на винде, со всеми вытекающими. Т.е. работать будет, но удобство так себе. С EAP-TLS можно заморочиться, но там своих приколов хватает тоже. Наигрались с WiFi с этим и через год послал я этот EAP-TLS подальше. Другой вариант - captive portal. Т.е. в локалке чуваки живут в пределах своего сегмента, если дальше надо, то на вебстранчке авторизация. Минус в необходимости веб-сессии. Насчет интернета - купите у провайдера траффик а пользователей терминируйте сами. Начать можно и с бесплатного mpd. Будут объемы и деньги, перейдете на ASR.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору