Прошу помощи в архитектурных решениях.
Задача следующая: обеспечить авторизацию пользователей, учёт трафика, формирование Accounting-Request (stop/start) для СОРМа в условиях "один_порт-много_клиентов".
В сети различные клиенты - мобильные wifi-устройства, "персональные" компьютеры, компьютерные классы.
Железо - различные управляемые коммутаторы D-link (DWS-3024, DGS-3120, DES-3526, DGS-3627 и др.), Firewall D-link DFL-1660, CentOS и Windows серверы. Оборудования Cisco и MikroTik пока нет.
Проблемы:
1. 802.1.x-аутентификация не подходит для смартфонов, а также, как я понимаю, у коммутаторов при этом имеются аппаратные ограничения на число клиентов на порт.
2. VPN/PPP-соединения неудобны для смартфонов и т.п. Да и не хочется гонять весь локальный трафик через один VPN-шлюз. Также сложно настраивать подключения в компьютерных классах с разными ОС.
3. D-link DFL-1660 при HTTP-аутентификации в Accounting-Request не передаёт Framed-IP-Address клиента, а указывает IP-адрес своего PPP-интерфейса, смотрящего на клиента. Хотя в своём логе адрес клиента отмечает. Может быть, я что-то не так настроил…
4. DGS-3120-24TC - при HTTP-аутентификации не формирует Accounting-Request (stop), в результате чего не получается отловить конец сессии для СОРМа. Возможно, в этих случаях как-то поможет использование механизма контроля сессий через interim_update_interval? Я пока не пробовал…
Использование HotSpot'а решает вышеобозначеннные проблемы, но приходится в браузере постоянно держать открытую вкладку личного кабинета с непрерывным refresh'ем. Это вообще неудобно, а для смартфонов особенно. Да и объяснять гостям эти подробности тяжело.
Кстати, думаю, в функционале системы можно было бы предусмотреть продление сессии по результатам анализа наличия любого трафика клиента, а не только http от личного кабинета.
В результате я не могу придумать нормального решения для настройки системы. Какие решения в таких ситуациях будут подходящими?
Помогите, пожалуйста, определиться с выбором архитектуры
Спасибо за отклик! В личку написать не получается, ибо пишет "Возможность отправки личных сообщений на этих форумах была отключена".maxxsoft писал(а):Для начала вам нужно определится с концентраторами и методом авторизации юзеров, я так понимаю у вас сборная солянка, из за чего вы и теряетесь...., напишите мне в личку разберёмся что вам таки надо.....
Действительно - "солянка". И как раз с NAS'ами и методом авторизации и не могу определиться))). Основная проблема - как формировать Radius-пакеты для СОРМа в условиях этой солянки.
Есть Wi-Fi, есть компьютерные классы, есть относительно персональные компьютеры. Надо всех таких юзеров авторизовать с отправкой Radius-пакетов (accounting) на СОРМ (то есть NAS и Radius должны быть разделены). Ноtspot неудобен открытой вкладкой браузера, а железки никак не подберу, чтобы они отправляли Radius-пакет окончания сессии.maxxsoft писал(а):...разберёмся что вам таки надо.....
А зачем? Выдавайте каждому пользователю свой IPpsv писал(а):А как тогда отлавливать конец сессии?Magnum72 писал(а):Может все на прокси заворачивать, а на ней авторизацию настроить ?
Для СОРМа нужен Accounting-Request (Stop).
Его можно было бы формировать при помощи utm5_radgen, но как от прокси получить само событие конца сессии?
Пользователь может авторизоваться с многих компьютеров, находящихся в разных сегментах сети с множества разных серых диапазонов адресов. При этом хотелось бы в компьютерных классах иметь фиксированные адреса на компьютерах. Кроме того надо будет защититься от подмены адресов. ARP Inspection на коммутаторах использовать? Увы не во всех местах это доступно...Magnum72 писал(а):А зачем? Выдавайте каждому пользователю свой IP
Интересно, на кой СОРМу нужен Accounting-Request (Stop)?psv писал(а): Для СОРМа нужен Accounting-Request (Stop).
В аккаунтинге только объём информации, СОРМу даже FLOW мало, ему нужен весь трафик и ессесно база клиентов, к кому этот трафик относится.
так или иначе нужно понять что ВЫ хотите достичь, потом разобрать текущую схему сети, а уж потом думать....
для начала определитесь, есть/будет ли у вас поимённая БД пользователей, будет ли она участвовать в авторизации повсеместно (локальные, мобильные станции). Либо это будет авторизация по номеру телефона (например с подверждением по СМС)
потом уже надо будет думать об авторизации, удобней всего конечно подходят хотспоты.
Вообще в Вашей задаче много неизвестных и не видно цели...
Dura lex, sed lex ))) Если основываться на http://www.rfcmd.ru/sphider/docs/servic ... ovania.htm и общении с "бойцами невидимого фронта", то надо так:maxxsoft писал(а):Интересно, на кой СОРМу нужен Accounting-Request (Stop)?
После входа абонента в сеть, перед началом работы (т.е. после авторизации) необходимо, чтобы по сегменту локальной сети, в который подключено УС СОРМ, проходил RADIUS пакет, в поле Code которого записан октет со значением 4 (Accounting-Request), в котором должны присутствовать следующие атрибуты:
- Acct-Status-Type (код атрибута 40). Должен иметь значении 1 (Start);
- User name (код атрибута 1);
- Framed-IP-Address (код атрибута 8);
- Acct-Session-Id (код атрибута 44);
- Calling-Station-ID (код атрибута 31). Данный атрибут должен присутствовать в пакете при наличии технической возможности определения номера звонящего абонента после окончания работы абонента.
Необходимо, чтобы по сегменту локальной сети, в который подключен модуль отбора, проходил RADIUS пакет, в поле Code которого записан октет со значением 4 (Accounting-Request), в котором должны присутствовать следующие атрибуты:
- Acct-Status-Type (код атрибута 40). Должен иметь значение 2 (Stop);
- User name (код атрибута 1);
- Framed-IP-Address (код атрибута 8);
- Acct-Terminate-Cause (код атрибута 49);
- Calling-Station-ID (код атрибута 31).
Это понятно. Есть база, есть зеркалирование на СОРМ трафика с внешнего порта.maxxsoft писал(а):... ему нужен весь трафик и ессесно база клиентов, к кому этот трафик относится..
Да - одна единая база данных. Пока, во всяком случае. Без СМСок.maxxsoft писал(а):для начала определитесь, есть/будет ли у вас поимённая БД пользователей, будет ли она участвовать в авторизации повсеместно (локальные, мобильные станции).
Очень согласен, но пользователям придется держать открытую вкладку веб-интерфейса, и извращаться с формированием Stop-пакета. Так?maxxsoft писал(а): потом уже надо будет думать об авторизации, удобней всего конечно подходят хотспоты.
Как же не видно?maxxsoft писал(а): Вообще в Вашей задаче много неизвестных и не видно цели...
1) авторизовать и считать трафик у клиентов (в том числе из компьютерных классов и wifi ) часто не имеющих привязки к конкретному порту коммутатора.
По одной единой базе клиентов.
2) удовлетворить спецслужбы.
Бред....psv писал(а):сли основываться на http://www.rfcmd.ru/sphider/docs/servic ... ovania.htm
А если нет радиуса в сети? и услуга предоставляется безсессионно (на статике), к коим относятся ваши стационарные машины.
да и они будут копать логи вашего/ваших радиусов?
Тут проскальзывала мысль завернуть всё на прокси с авторизацией, нужно при всём этом многообразии решений видимо копать в эту сторону.
сложности конечно с многопользовательскими местами, тут надо подумать, как можно по авторизации менять ип...
а вообще если подумать, сорм же не просит у клиентов энного провайдера состав энной компании за их собственным NATом поимённо и поадресно(IP), для этого существует отдельный регламент разыскных мероприятий....
вобщем мне кажется что вы задачу несколько усложняете....
для продолжения дискуссии нужна структурная схема вашей сети (с топологией и технологией подключения и авторизации), дальше будем думать....
Увы, так с нас требуют....maxxsoft писал(а):Бред....
А если нет радиуса в сети? и услуга предоставляется безсессионно (на статике), к коим относятся ваши стационарные машины.
да и они будут копать логи вашего/ваших радиусов?
Если за каждым ФИО закреплён IP-адрес, то да - можно без Radiusа, как я понимаю. Но поскольку пользователь может работать и с WiFi и c PPTP и с компьютерного класса, то тогда что, каждому по много адресов закреплять?
Прежде всего, придётся в браузерах настраивать прокси (пусть даже через WPAD) что неудобно для смартфонов. Я уж не говорю о Accounting-Request`ах, как с нас требуют....maxxsoft писал(а):Тут проскальзывала мысль завернуть всё на прокси с авторизацией, нужно при всём этом многообразии решений видимо копать в эту сторону.
А как считать, учитывать непроксёвый внешний трафик?
Если только при помощи VPN... Так?maxxsoft писал(а):сложности конечно с многопользовательскими местами, тут надо подумать, как можно по авторизации менять ип...
Но тогда весь локальный внутрисетевой трафик пойдет через один шлюз... Да и ещё возникнет куча проблем с бесдисковыми WIN-станциями в классах.
Если без Radiusа - то просит. При условии фиксированных IP.maxxsoft писал(а):а вообще если подумать, сорм же не просит у клиентов энного провайдера состав энной компании за их собственным NATом поимённо и поадресно(IP), для этого существует отдельный регламент разыскных мероприятий....
Возможно, но я не могу найти аргументы, как выкрутиться.maxxsoft писал(а):вобщем мне кажется что вы задачу несколько усложняете....
Мне говорят: "Есть закон, есть лицензия, значит исполняй требования."
Да структуру можно переделать. Если надо, нарисую, но в общем так:maxxsoft писал(а):для продолжения дискуссии нужна структурная схема вашей сети (с топологией и технологией подключения и авторизации), дальше будем думать....
internet - PC_Шлюз===PC_сервер_доступа - Коммутаторы_с_vlan'ами - ЛокСеть(с классами, wifi, персоналками)
"===" - белые адреса на DGS-3120 . Сюда же подключен СОРМ и WEB-сервера.
Никак не могу понять, как дружат UTM5 и СОРМ.
Неужели никто Radius-пакеты на СОРМ не шлёт?
Ведь если, например, использовать HotSpot, то Radius-пакеты не выходят за пределы localhost c ядром биллинга!
Действительно, в моём случае, вероятно, более подойдет Hotspot.
Но, подскажите, пожалуйста:
при работе через Web-интерфейс страничка в браузере будет автоматически регулярно обновляться, давая тем самым серверу знак, что пользователь все ещё пользуется услугой. При этом осуществляется привязка текущего IP-адреса пользователя к его логину от Hotspota. Но при этом надо держать открытой вкладку браузера с Web-интерфейсом.
1) Правильно ли я понимаю, что утилита utm5_tray (несмотря на регулярное обновление статусной информации) не "даёт серверу знак, что пользователь все ещё пользуется услугой"? Почему так? Ведь, как мне кажется, ничего не стоит ещё и HTTP-запросы на 80 порт слать.
2) Почему в функционале системы не предусмотреть продление hotspot-сессии по результатам анализа наличия любого трафика клиента (в случае динамической привязки IP-адреса), а не только http от личного кабинета?
3) Почему, в конце концов, не сделать простую штатную tray-утилиту для разных ОС (типа "exe-шника"), имитирующую регулярное обновление страницы web-интерфейса?
Но, подскажите, пожалуйста:
при работе через Web-интерфейс страничка в браузере будет автоматически регулярно обновляться, давая тем самым серверу знак, что пользователь все ещё пользуется услугой. При этом осуществляется привязка текущего IP-адреса пользователя к его логину от Hotspota. Но при этом надо держать открытой вкладку браузера с Web-интерфейсом.
1) Правильно ли я понимаю, что утилита utm5_tray (несмотря на регулярное обновление статусной информации) не "даёт серверу знак, что пользователь все ещё пользуется услугой"? Почему так? Ведь, как мне кажется, ничего не стоит ещё и HTTP-запросы на 80 порт слать.
2) Почему в функционале системы не предусмотреть продление hotspot-сессии по результатам анализа наличия любого трафика клиента (в случае динамической привязки IP-адреса), а не только http от личного кабинета?
3) Почему, в конце концов, не сделать простую штатную tray-утилиту для разных ОС (типа "exe-шника"), имитирующую регулярное обновление страницы web-интерфейса?