Данный вопрос происходит из того, что авторизация через PPPoE не самый
лучший вариант из-за того, что у клиента возникает паразитный
интерфейс и все идет через тоннель PPPoE до сервера авторизации, что
не есть лучший вариант - при росте клиентов ставить 10Гбит/с карточки
или ставить кучу этих серверов не выход. Или есть какой то другой
вариант (прописывать роутинг руками у клиентов - НЕ ВАРИАНТ - это
крайне НЕПРАВИЛЬНО). Использование авторизатора так же несет несколько
проблем связанных с клиентами - многие не понимают с чего им надо
скачивать какую то программулину.
Как следствие использование авторизации через DHCP вообще избавляет
клиента от знания сетевых настроек.
Для тех кто не в курсе могу добавить что многие коммутаторы позволяют
использовать опцию 82 как авторизацию т.к. при не авторизованном порту
с него принимаются только пакеты DHCP клиента и только если в ответ от
DHCP сервера клиент получает ответ коммутатор открывает этот порт для
любого трафика.
On 15 июн, 13:53, Валентин Настенко <versus...@gmail.com> wrote:
> Насколько я понял проблема только в специфичном конфиге ДХЦП ? так просто
> поправь модуль дхцп для этого и работай
>
Не совсем так. Надо в биллинг вносить дополнительные данные (номер
порта и номер коммутатора, к которому подключен клиент, чтобы на
основании этих данных DHCP-сервер мог выдать ip-адрес.
2009/6/23 Viktor <fresh...@gmail.com>:
Скрипт называется nomake.pl, лежит с папке сателитов, ему подсовывается соответствующий шаблон,
по которому будет сформирован итоговый конфиг:
perl nomake.pl -v dhcp.txt
Опция -v выводит действия на экран (verbose).
Вот пример шаблона:
<file>dhcpd.conft</file>
<reload>/usr/local/etc/rc.d/isc-dhcpd restart</reload>
allow unknown-clients;
option domain-name-servers 10.0.221.1, 192.168.21.250;
...
...
subnet 192.168.23.0 netmask 255.255.255.0 {
max-lease-time 1209600;
default-lease-time 1209600;
range 192.168.23.2 192.168.23.215;
option routers 192.168.23.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.23.255;
option ntp-servers 10.0.221.1;
<filtr net:192.168.23.0/24>
host <lat_login> {
hardware ethernet <mac>;
fixed-address <ip>;
}
</filtr>
<file>dhcpd.conf</file> - имя выходного файла
<reload>/usr/local/etc/rc.d/isc-dhcpd restart</reload> - какая команда
будет запущена, если конфиг изменится. В данном примере рестарт dhcp-
сервера
Далее идут т.н фильтры, заключенные в <filtr ...> ... </filtr>
Для чего они нужны? Допустим у нас есть условия, при которых в конфиг
нужно внести либо тот либо другой фрагмент. В текущем примере, у нас
есть 2 эзернет сегмента 192.168.23.0 и 192.168.24.0, в которых dchp-
сервер будет выдавать различные данные. Поэтому применяется фильтр
<filtr net:192.168.23.0/24>, что указывает в текущем месте формировать
данные клиентов только для тех, кто попадает в сеть 192.168.23.0.
Пока существует один вид фильтра - по попаданию в сеть, у него код
`net`. Иные фильтры пока не придумал ибо пока не нужны. Жду ваших
предложений.
Далее по тексту все <mac>, <ip>, <pass> и т.д заменяются на
соответствующие данные клиента.
Шаблон для мак адреса необходимо завести в вэб админке:
Операции - настройки - дополнительные поля - Создать новое
в форме выбрать шаблон: Технические данные
название: Мак Адрес
алиас: _mac
тип поля: строковое однострочное
поставить галочки убирать пробелы в начале конце и может быть пустым, если может быть пустым
сохраняем и вносим значения клиентам через кнопку дополнительные данные - технические данные поле мак адрес.
Вот пример результирующего конфига:
...
...
общие параметры
...
...
subnet 192.168.23.0 netmask 255.255.255.0 {
max-lease-time 1209600;
default-lease-time 1209600;
range 192.168.23.2 192.168.23.215;
option routers 192.168.23.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.23.255;
option ntp-servers 10.0.221.1;
host paparaci {
hardware ethernet 00:12:34:56:79:981;
fixed-address 192.168.23.7;
}
host XXXXXXXXXXXXXXXXXXXX {
hardware ethernet 00:44:55:66:77:88;
fixed-address 192.168.23.99;
}
host ji {
hardware ethernet 00:44:55:66:77:88;
fixed-address 192.168.24.6;
}
Никто же не заставляет терминировать вланы на серваке, их надо
терминировать на L3 свиче на агрегации.
Ну это само собой подразумевается - использование option 82 + dhcp
snooping
И еще желательно предусмотреть возможность взаимодействия со свичами,
чтобы в случае появления незнакомого мак-адреса клиента перенаправляло
на страничку авторизации и только после авторизации разрешало работу.
Ну да, нужна система мониторинга сети. Только тут возникает
"небольшая" проблема - свичи как бы разные, и синтаксис команд у них
достаточно сильно отличается... :(
2009/7/7 elite <mai...@gmail.com>: