Форум программистов, компьютерный форум, киберфорум
Наши страницы
Huawei
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.50/6: Рейтинг темы: голосов - 6, средняя оценка - 4.50
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 368
#1

Одна база MAC для VLANs based on MAC для всех свитчей

05.05.2015, 22:49. Просмотров 1122. Ответов 9
Метки нет (Все метки)

Здравствуйте.
Почитал в мануалах как настроить на свитче (S5700) VLANs based on MAC. Очень бы хотелось перейти на такое конфигурирование VLANов. Вопрос: можно ли как-то централизованно поддерживать карту разрешённых MAC адресов а не создавать её на каждом свитче? у меня их много ((
PS: Возможно, это важно: у меня свитчи соедененны в топологию звезда, где центральный свитч выполняет ещё и роль маршрутизатора.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
05.05.2015, 22:49
Ответы с готовыми решениями:

Как прошить MAC adress? MAC address are invalid in both CMOS and Flash
Здравствуйте, столкнулся с такой ошибкой: MAC adress are invalid in both CMOS...

Перенос, открытие проекта ruby on rails в реживет developer на другом ПК (с mac os x на mac os x)
Доброго времени суток. Заранее если есть ссылки на решение описанной ниже...

Western Digital 1tb. Ни Mac, ни Винда не видят разделов после манипуляций на Mac
Всем привет. У меня случилась большая неприятность. Решил достать внешний...

системная плата MAC MINI {MAC-F4208EAA} не работает сеть после установки XP
Всем респект кто волокёт в цифровой технологии перейду к делу системная...

[Mac OS][Посылка текста на сервер] Если копируем и вставляем текст из Word98 в IE5.0 for Mac -->
То в тексте записаном скриптом на сервере мы получим замен символов : ',',-,-- ...

9
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
06.05.2015, 10:42 #2
Цитата Сообщение от gurlov Посмотреть сообщение
где центральный свитч выполняет ещё и роль маршрутизатора.
и

Цитата Сообщение от gurlov Посмотреть сообщение
Почитал в мануалах как настроить на свитче (S5700) VLANs based on MAC. Очень бы хотелось перейти на такое конфигурирование VLANов.

Это архитектурный подход через ж***.
0
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 368
06.05.2015, 13:25  [ТС] #3
Цитата Сообщение от MonaxGT Посмотреть сообщение
Это архитектурный подход через ж***
Не много не понял почему. Потому что маршрутизацией должен заниматься роутер? тогда причём здесь VLANs based on MAC? втолкуйте новичку, а то наворочу сейчас в своей сети такого.
PS1: дополню - центральный свитч маршрутизирует только внутренние VLANы. всё остальное передаёт на CISCO ASA 5505
PS2: имею только CISCO ASA и десяток HUAWEI s5700, из этого и исхожу. Добиться чего-то большего от государства в ближайшей перспективе не представляется возможным
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
07.05.2015, 17:46 #4
gurlov, vlans based on mac не "хороший" стиль архитектуры. Я бы скзаал это костыль, но строить сеть и тем более поддерживать с таким зоопарком маков - изнасилование мозга.

s5700( я как понимаю аналог 53хх) хороший л3 свитч, но зачем Вам часть на cisco маршрутизаторовать, а часть на нем? Или стройте l3 начиная с него или тащите все на cisco.
0
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 368
12.05.2015, 09:56  [ТС] #5
Цитата Сообщение от MonaxGT Посмотреть сообщение
но зачем Вам часть на cisco маршрутизаторовать, а часть на нем? Или стройте l3 начиная с него или тащите все на cisco.
Да по сути у меня L3 и сделан на s5700, вот только NAT, форвардинг и VPN он не умеет делать, по этому между s5700 и внешними сетями (интЕрнет и интрАнет) у меня стоит ASA 5505.
Если строить всё через ASA, то всё общение между VLANми (а особенно обращения к серверам) будет проходить через неё (а на ней ещё 3 VPNканала, роль файервола, да и вообще железка 100 мегабитная)
0
Fotohunter
243 / 43 / 5
Регистрация: 13.05.2016
Сообщений: 168
Записей в блоге: 3
13.05.2016, 13:08 #6
Цитата Сообщение от gurlov Посмотреть сообщение
Здравствуйте.
Почитал в мануалах как настроить на свитче (S5700) VLANs based on MAC. Очень бы хотелось перейти на такое конфигурирование VLANов. Вопрос: можно ли как-то централизованно поддерживать карту разрешённых MAC адресов а не создавать её на каждом свитче? у меня их много ((
PS: Возможно, это важно: у меня свитчи соедененны в топологию звезда, где центральный свитч выполняет ещё и роль маршрутизатора.
А поясните задачу?
К примеру у меня настроена МАК-аутентификация для 130 подсетей(VLAN) в моей гос.конторе т.е. некий компьютер с известным мак адресом может быть подключен в ЛЮБОЙ порт(коммутатор) любого кабинета/помещения и получить доступ в свою подсеть. Общая база МАК-адресов хранится на RADIUS-сервере, в моём случае это CAMS(Huawei для своих коммутаторов сделал).
Из возможностей такого метода:
1. гибкость - люди с техникой могут переезжать из помещения в помещение без перенастройки оборудования.
2. единая база - не нужно лезть в отдельные коммутаторы для прописки новых пользовательских устройств
3. по мак-адресу можно найти местоположение пользовательского устройства, время работы в сети, объём переданных данных
4. задание ограничений на работу отдельных пользовательских устройств, к примеру ограничение скорости или времени работы в сети.
5. биллинг - оплата трафика (я не использую но оно есть)
0
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 368
13.05.2016, 16:06  [ТС] #7
Цитата Сообщение от Fotohunter Посмотреть сообщение
А поясните задачу?
Так в принципе хотел сделать именно то, что сделано у вас. Но пока сделал смесь между принудительным назначением vlan на порт и IPbasedVLAN
Какие либо минусы в вашей схеме увидели??
Цитата Сообщение от Fotohunter Посмотреть сообщение
в моём случае это CAMS
Не смог нагуглить, что это такое?
Цитата Сообщение от Fotohunter Посмотреть сообщение
3. по мак-адресу можно найти местоположение пользовательского устройства, время работы в сети, объём переданных данных
4. задание ограничений на работу отдельных пользовательских устройств, к примеру ограничение скорости или времени работы в сети.
5. биллинг - оплата трафика (я не использую но оно есть)
а как это организовали? Qos и маркировкой трафика на свитчах?
0
Fotohunter
243 / 43 / 5
Регистрация: 13.05.2016
Сообщений: 168
Записей в блоге: 3
13.05.2016, 16:21 #8
Собственно я чатично ответил тут Gvrp

CAMS
Не смог нагуглить, что это такое?
Это RADIUS сделанный для хуавея, к сожалению платный и с заморочными лицензиями. Сейчас у них этот сервер немножко иначе называется типа "Центр управления сетями"

Как реализованы те или иные функции точно не скажу - РАДИУС - это база данных в которой есть список мак-адресов/логинов/паролей и значения тех или иных параметров отдаваемых коммутатору по запросу.
Первоначально мне нужно было по МАКУ выдавать VLANID и разрешать доступ в сеть, но покопавшись в настройках заработали другие функции например отображение всех пользовательских устройств находящихся онлайн, ручное отключение устройства админом, добавление "щтрафников" в чёрный список и многое другое...

Попробуйте поискать по запросу RADIUS к примеру FreeRadius или OpenRadius или другие версии подобных серверов, возможно есть отломанные коммерческие или адекватные бесплатные.
0
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 368
13.05.2016, 16:31  [ТС] #9
Цитата Сообщение от Fotohunter Посмотреть сообщение
Это RADIUS сделанный для хуавея, к сожалению платный
жаль платный мне несветит ((( по-изучаю FreeRadius или OpenRadius или другие версии
Цитата Сообщение от Fotohunter Посмотреть сообщение
... но покопавшись в настройках заработали другие функции например ...
Я правильно понимаю принцип: РАДИУС - это база данных со значениями тех или иных параметров, а свитчи периодически опрашивают сервер, и в зависимости от того или иного значения нужного параметра производит:
Цитата Сообщение от Fotohunter Посмотреть сообщение
отображение всех пользовательских устройств находящихся онлайн, ручное отключение устройства админом, добавление "щтрафников" в чёрный список и многое другое...
P.S.: уж простите, с РАДИУСОМ не сталкивался.
0
Fotohunter
243 / 43 / 5
Регистрация: 13.05.2016
Сообщений: 168
Записей в блоге: 3
13.05.2016, 16:47 #10
Принцип RADIUS наглядно:

Клиентское Устройство =[MAK-Addres]=> коммутатор =[имя комутатора, номер порта, мак пользователя представлен в виде логина и он же в виде пароля]=> RADIUS =[разрешение/запрет входа, VLANID, другие параметры]=> комутатор =[открывает порт и назначает VLANID]=> Клиентское Устройство

Нюанс: Коммутатор соединяется с Радиусом используя свой логин и пароль и систему шифрования - тут могут быть сложности с методами шифрования.

Клиентское Устройство =[MAK-Addres]=> DHCP =[ip-адрес]=> Клиентское Устройство

В базовой конфигурации радиуса доступен лишь параметр "разрешить/запретить" т.е. проверка паролей, фирменные сервера хуавея и других производителей делают процесс ведения базы данных и сбора статистики более удобной и наглядной. Я сомневаюсь насчёт значения параметров, хотел прикрутить WiFi-точки доступа и модемный пул к CAMS(RADIUS) и не получилось, зато модемный пул работал с FreeRadius и в то же время ФриРадиус я не смог подключить к комутаторам из за различий в идеологии авторизации...
0
13.05.2016, 16:47
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.05.2016, 16:47

Пропуск по MAC (Интернет -> Firewall -> Rule (If MAC yes goto) - \\)
Дело обстоит так: Есть FreeBSD 10 ядро пересобрал для нат и ipfw интернет...

Mac OS X 10.6 Snow Leopard не совместима со множеством Mac-программ
Mac OS X 10.6 Snow Leopard не совместима со множеством Mac-программ По...

Как записать .iso образ Mac OS X 10.5 на флешку в Mac OS X
Поставил на виртуалку Mac OS X 10.5. Прикрутил к ней флешку. Теперь мне надо...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru