UTM5 + dhcp как реализовать?
UTM5 + dhcp как реализовать?
Добрый день уважаемые гуру и не только
Решил не искать и задать вопрос по новой.
Собственно интересует, как заставить UTM5 с его стандартным Radius'ом заставить обновлять dhcp-сервер (isc-dhcp ver.3) динамически, скажем добавили у абонента MAC-адрес, и не ручками прописываем его в isc-dhcp а он дергается с утм и пишется с ip и маком в isc.
Подскажите как сделать, или лучше помогите костылями пожалуйста. Устал руками писать...
utm5.2.1-006, FreeBSD 7.0, radius (от netup), isc-dhcp ver.3 (на другой машине).
Решил не искать и задать вопрос по новой.
Собственно интересует, как заставить UTM5 с его стандартным Radius'ом заставить обновлять dhcp-сервер (isc-dhcp ver.3) динамически, скажем добавили у абонента MAC-адрес, и не ручками прописываем его в isc-dhcp а он дергается с утм и пишется с ip и маком в isc.
Подскажите как сделать, или лучше помогите костылями пожалуйста. Устал руками писать...
utm5.2.1-006, FreeBSD 7.0, radius (от netup), isc-dhcp ver.3 (на другой машине).
использовать freeradius в кач-ве dhcp сервера, маки и айпишники брать прямо в базе утм
вариант с isc-dhcp : а) не добавлять маки через стандартный интерфейс админитсратора, а написать свой интерфейс и в нем обновлять конфиг isc-dhcp при изменении адресов
б) через rfw ... к сложалению не нашел события связанного с изменением айпи-групп, в котормо можно было получить данные айпи-группы. Может быть нетап сделает это , тогда можно будет по этому событию править dhcp
вариант с isc-dhcp : а) не добавлять маки через стандартный интерфейс админитсратора, а написать свой интерфейс и в нем обновлять конфиг isc-dhcp при изменении адресов
б) через rfw ... к сложалению не нашел события связанного с изменением айпи-групп, в котормо можно было получить данные айпи-группы. Может быть нетап сделает это , тогда можно будет по этому событию править dhcp
не совсем . текущий радиус трогать не надо.TiRider писал(а):Ну то есть просто ставим фрирадиус, ставим утм, убираем из загрузки стандартный радиус и подтыкаем фри. затем, как там с dhcp разрулить? Что-то прописывать нужно, так понимаю, чтобы он слушал и обновлял динамически связку ip+mac на dhcp.
фрирадиус умеет работать как dhcp-сервер. то есть isc-dhcpd меняем на фрирадиус. Но там придется немного попрограммировать самим
Т.е. генерить конфиг и делать привязку по мак - это надёжно. Видимо основной аргумент что не каждый пользователь сможет поменять мак .prx писал(а):Я бы на вашем месте лучше раз в 5 минут дергал из билинга связки IP-MAC и генерил бы dhcpd.conf - ну и если файл изменился - перезапускал бы DHCP - самое надежное решение.
А всякие костыли типа freeradius в качестве DHCP - это явно не очень стабильная схема.
Даже если использовать для isc релей с 82-ой опцией и при этом генерировать конфиг с привязкой к порту коммутатора - вариант будет хорошо работать только на относительно небольшом числе пользователей.
Существуют и такие схемы подключения, где ни один пользователь не может работать, поменяв мак.Arti писал(а):Т.е. генерить конфиг и делать привязку по мак - это надёжно. Видимо основной аргумент что не каждый пользователь сможет поменять мак .prx писал(а):Я бы на вашем месте лучше раз в 5 минут дергал из билинга связки IP-MAC и генерил бы dhcpd.conf - ну и если файл изменился - перезапускал бы DHCP - самое надежное решение.
А всякие костыли типа freeradius в качестве DHCP - это явно не очень стабильная схема.
По теме, если правок в день не особо много, лучше всего генерить из базы конфиг, который потом инклудится в dhcpd.conf, и перезагрузка dhcpd по необходимости в кроне.
Это какие такие схемы?
Если жесткая привязка к порту MAC, то это нужно конфигурировать и свич и DHCP - что неудобно. И неважно как Вы будете подключать пользователей supervlan-vlan-на-пользователя или vlan на подсеть.
Если скажем зажать через port_security - то тут тоже не гибкое решение. Т.к. скажем если запомнить навсегда - придется "передёргивать" порт при легальной смене MAC, если зажать по небольшому Timeout - смысла особого нет, хотя конешно можно "трапатся", но тогда нужно тогда делать дополнительную обвязку для обработки подобных событий.
Если жесткая привязка к порту MAC, то это нужно конфигурировать и свич и DHCP - что неудобно. И неважно как Вы будете подключать пользователей supervlan-vlan-на-пользователя или vlan на подсеть.
Если скажем зажать через port_security - то тут тоже не гибкое решение. Т.к. скажем если запомнить навсегда - придется "передёргивать" порт при легальной смене MAC, если зажать по небольшому Timeout - смысла особого нет, хотя конешно можно "трапатся", но тогда нужно тогда делать дополнительную обвязку для обработки подобных событий.
Прочел все высказывания за и против. Сейчас вообще в ступоре, что делать
Если у кого есть оптимальное решение-подскажите.
Расскажу реализацию в своей сети. В качестве терминатора vpn-сессий стоит 7206NPE-G2. Собственно как сделано. Набросал пару скриптов для фряхи и для циски. Циска передает по протоколу tftp на сервер таблицу ип и мак-адресов вида:
172.1x.xx.xx aaaa.bbbb.cccc
Все знают, что в циске мак разделяется точками а в isc двоеточиями.
Так вот. Циска передает на сервер эти данные, каждые 10 минут проверяется смена мака + ипа. И отправляется в базу данных утм.
Данный способ меня устраивает и работает. Просто в утм я указываю мак адрес по виду циски aaaa.bbbb.cccc, а в dhcp приходится это двоеточиями разделять. Крайне мне это поднадоело, руками дело перезапускать.
Так вот собственно. Поделитесь скриптами, чтобы когда в утм поменяешь мак адрес, он передавался на dhcp сервер и автоматически обновлял конфигу и перезапускал isc. Костылинг конечно сила, но времени нет программировать.
За ответы очень благодарен!
Если у кого есть оптимальное решение-подскажите.
Расскажу реализацию в своей сети. В качестве терминатора vpn-сессий стоит 7206NPE-G2. Собственно как сделано. Набросал пару скриптов для фряхи и для циски. Циска передает по протоколу tftp на сервер таблицу ип и мак-адресов вида:
172.1x.xx.xx aaaa.bbbb.cccc
Все знают, что в циске мак разделяется точками а в isc двоеточиями.
Так вот. Циска передает на сервер эти данные, каждые 10 минут проверяется смена мака + ипа. И отправляется в базу данных утм.
Данный способ меня устраивает и работает. Просто в утм я указываю мак адрес по виду циски aaaa.bbbb.cccc, а в dhcp приходится это двоеточиями разделять. Крайне мне это поднадоело, руками дело перезапускать.
Так вот собственно. Поделитесь скриптами, чтобы когда в утм поменяешь мак адрес, он передавался на dhcp сервер и автоматически обновлял конфигу и перезапускал isc. Костылинг конечно сила, но времени нет программировать.
За ответы очень благодарен!