The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Настройка авторизации 802.1x с EAP. Оптимизация приема NetFlow потоков

20.02.2006 20:15

Опубликована статья "Настройка авторизации 802.1x с EAP", в которой рассмотрена организация доступа абонентов в сеть с использованием авторизации абонентов на портах управляемых коммутаторов методом EAP-MD5 по протоколу RADIUS.

В качестве RADIUS-сервера использовался NetUP RADIUS-сервер. В качестве управляемых коммутаторов были выбраны Cisco Catalyst 2950T с версией ПО 12.1(19)EA1c и коммутатор D-Link DES-3226S. В статье приведен пример конфигурации для Cisco Catalyst 2950T.

Также вышла статья "Повышение производительности биллинговой системы", в которой затронуты некоторые моменты тюнинга FreeBSD и Linux в целях оптимизации приема больших объемов NetFlow пакетов.

  1. Главная ссылка к новости (http://www.netup.ru/articles.p...)
Автор новости: NetUP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/6994-radius
Ключевые слова: radius, catalyst, cisco, switch, netflow, tune
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Сергей (??), 11:46, 21/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и еще одна статейка от производителя АСР про dotX, отя у ланбилинга она немного содержательней, но обе абсолютно бесполезны для развертывания этой технологии в конкретно взятых условиях.
    Летом 2005 я перелопатил все RFC и IEEE стандарты, достал службу поддержки HP в России (а помогли ме все-таки их дилеры Нэта-Новосиб, за что им отдельное большое спасибо), но все же настроил.
    Стоит предупредить всех желающих использовать эту технологию (особенно на проводных соединениях!!!), что суппликант от микрософт - полная какашка, так что не скупитесь и покупайте продукты от производителей ваших железок.
    Еще ньюанс: cisco и hp от одного RADIUS могут не работать (эти железяки по-разному атрибут с указанием влана для подключения воспринимают).
    А вообще, радует, что все же появляются публикации на эту тему.
     
     
  • 2.4, sauron (ok), 17:06, 21/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Еще ньюанс: cisco и hp от одного RADIUS могут не работать (эти железяки >по-разному атрибут с указанием влана для подключения воспринимают).
    ньюанс можно обойти используя realm
     

  • 1.2, goodini (?), 12:48, 21/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошие цифры получились по производительности при обработке нетфлоу ... :)
     
  • 1.3, rimon (??), 13:29, 21/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сумел у себя настроить 2950 802.1х с радиусом майкросовта с smart cards. Работает нормально. Для юзеров геморой пин-код вводить а так нормально...
     
  • 1.5, KOCTA (?), 10:28, 22/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статейка действительно так себе. Одно только
    dot1x host-mode multi-host
    чего стоит. Какой тогда смысл в dotx?!

    Саппликант в XP нормально работает после патчей и добавления 2 ключей в реестр. У нас куча разных цисковских свитчей, и все нормально работает. Вот только в 6500 в IOS не работает пока guest-vlan :(

    Сергей, а про какое оборудование HP ты говоришь? Procurve? Принт-сервера в новых принтерах работают отлично.

     
     
  • 2.7, Сергей (??), 13:16, 22/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да я имею ввиду HP ProCurve как аутентификатор.
    Пробовал 2626, 3400cl, железо работает прекрасно, особенно с родным саппликантом. Единственное (но это для всей технологии справедливо) что необходимо обеспечить высокую готовность RADIUS'а, иначе все из сети поотваливаются :)

    Очень интересная информация по поводу саппликанта XP. Можно поподробнее? У меня с ним были такие проблемы:
    1. Не вылазит окошко с приглашением ввести логин/пароль
    2. Не умеет (не сумели заставить) использовать системный логин/пароль (при входе в домен)
    3. После провала аутентификации останавливает свою службу.

     
     
  • 3.8, sauron (ok), 14:47, 22/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Единственное (но это для всей технологии справедливо) что необходимо >обеспечить высокую готовность RADIUS'а, иначе все из сети поотваливаются :)
    Дык именно для этого желательно иметь два RADIUS сервера.

     
  • 3.10, trantor (??), 23:00, 22/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    1. Для этого есть опция настройки
    2. Вариант противоположный первому. Работает точно.
    3. Не замечали.

    P.S. Имейте ввиду что для нормальной работы Windows c родным supplicant в домене нужен именно IAS.

     

  • 1.6, ksp (?), 11:15, 22/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажи пожалуйста, что за ключи в реестр? Как раз собираемся разворачивать у себя 802.1х
     
  • 1.9, Аноним (-), 15:05, 22/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я настроил у себя мд5 на планет свитчах wgsw-2403, freeradius on centos 4.1. и aegisclient & wpa_supplicant. но проблема такая что все остальное почему то не идет через етот свитч.
    хотелось бы настроить например тлс или через смарткарды.
     
  • 1.12, Аноним (-), 10:06, 23/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и еше проблема с планетовским свитчом.
    нельзя авторизировать на порту два и больше мак-адреса. к несчастью у меня иногда подключены простые свитчи.
     
  • 1.13, SurfEr (?), 17:34, 25/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще одна статейка с завуалированной рекламой. Касательно самого билинга NetUP еще та поделка, даром что сертифицированная. Погуляли у них на форуме - сплошные вопли о багах, реакции в ответ никакой. Не поверили, поставили, попробовали и убедились, что это редкостное говнище.
     
     
  • 2.14, zloy_admin (??), 08:59, 02/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Полностью поддерживаю.
    После нет апа поставил IPSoft Billing рульная штука доволен работой!!!!
    В качестве базы используеться СайБэйс сейчас более 12 тыс записей ни каких проблем.
    Привет ребятам из Оренбурга ;-)))
     

  • 1.15, sidsoft (ok), 12:43, 10/10/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как настроить свитч Procurve 2626 чтобы он отсылал статистику NetFlow на сервер висящем на IP 10.10.10.3 (UTM5)??? Сам свитч имеет IP 10.10.10.2...

    Пожалуйста скажите, кто знает команды свитча по настройке данного SUBJ.

     
  • 1.16, Lion (??), 16:49, 15/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    100% -поддерживаю первый пост Сергея, ВЛАН в проводных сетях ЕТО БРЕД.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру