Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:Есть АД Winserv2008 с количеством пользователей чуть больше 10000. Количество пользователей будет расти каждый год примерно на 3,5 к. Есть сеть с 2-3 тыс рабочих станций. Вин-компы, маки, линуксы. Клиентские машины не в домене. Необходимо, чтобы пользователи при подключении к сети, до того как начали ей пользоваться, вводили доменные логин и пароль. Также необходим статистический отчет об обращении этих пользователей к стороннему l2tp серверу. Как быть? Чем осуществить? Помогите, куда копать? Сеть роутится силами Cisco 3570G. Клиенты подключены в Dlink DES3550, Dlink DES3200-52. Заранее благодарен за помощь и понимание!
> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль" это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка на уровне access.
Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих пользователей к стороннему l2tp серверу"?
>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:
> Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль"
> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
> на уровне access.
> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
> пользователей к стороннему l2tp серверу"?есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо знать и считать, какие из клиентов обращаются к л2тп серверу.
В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу. А сеткой пусть пользуются свободно.
>>> Всем доброго времени суток! Друзья и коллеги, помогите, пожалуйста решить следующую проблему:
>> Насчет "до того как начали ей пользоваться, вводили доменные логин и пароль"
>> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
>> на уровне access.
>> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
>> пользователей к стороннему l2tp серверу"?
> есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо
> знать и считать, какие из клиентов обращаются к л2тп серверу.
> В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу.
> А сеткой пусть пользуются свободно.L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а если нужны логины, тогда нужно DPI система.
>[оверквотинг удален]
>>> это вам надо изучать 802.1х. Тема большая и сложная, необходима поддержка
>>> на уровне access.
>>> Что вы имеете ввиду под "Также необходим статистический отчет об обращении этих
>>> пользователей к стороннему l2tp серверу"?
>> есть брасс ТТК. л2тп сервер, благодаря которому клиенты ходят в интернет. необходимо
>> знать и считать, какие из клиентов обращаются к л2тп серверу.
>> В принципе вопрос решится, если мониторить клиентов, которые идут к л2тп серверу.
>> А сеткой пусть пользуются свободно.
> L2TP сервер чужой чтоли? На уровне IP можно траффик Netflow снимать, а
> если нужны логины, тогда нужно DPI система.DPI синхронизировать с доменом и анализировать траффик на уровне пакетов? А Радиус не спасет отца русской демократии?
нет. просто не ясно, есть ли доступ к l2tp серверу и его радиусу и доменные ли там учетки вообще.
> нет. просто не ясно, есть ли доступ к l2tp серверу и его
> радиусу и доменные ли там учетки вообще.Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников. Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников подключаются к брассу и сколько их.
>> нет. просто не ясно, есть ли доступ к l2tp серверу и его
>> радиусу и доменные ли там учетки вообще.
> Картина такая. массив учеток находится у нас в домене. Это учетки сотрудников.
> Мы предоставляем интернет провайдеру транзит оборудования, через который сотудники подключаются
> к брасу провайдера. Необходимо, чтобы мы знали, какие из наших сотудников
> подключаются к брассу и сколько их.к Л2ТП серверу доступ есть и он определяется фаерволом Циски. там другие учетки, которые выдает провайдер. это
Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ софт чтобы можно было определить правила доступа через указанные доменные учетки?
> Так, а если роутить это сетку, допустим, юниксом или линуксом? может ЕСТЬ
> софт чтобы можно было определить правила доступа через указанные доменные
> учетки?Т.е. L2TP сервер от вас не зависит и учетки для доступа в интернет там отдельные и с доменом не связаны?
Такого софта с наскоку не найдешь. Особенно, если L2TP поверх IPSec.
Ограничивать можно только доступ пользователей к серверу L2TP, либо раскидывая их с помощью 802.1x в разные виланы, либо с использованием авторизации по MAC, либо статические IP и списки доступа на роутере ну и еще есть несколько извращенных методов сопоставить пользователя и его IP.Но это все хрень полная в целом. Что за прикол такой с интернетом, что каждый пользователь подключается отдельно??? Это в организации такое? Или пользователи - отдельные юрлица (правда с чего бы тогда их контролировать)? Чую что вы там изначально к вопросу подошли не с той стороны.
Коллега то что вы описываете это плохой дизайн. Определитесь, что у вас.
1) Корпоративная сеть
2) Провайдерская сеть
3) Кампус (Общага).Больше всего то, что вы описываете, похоже на общагу где нет централизованного управления, общего бюджета и четкого понимания что должно работать, а что нет. Или жуткий колхоз.
Чуть больше 10.000 пользователей это при 10 мегабитном тарифе сколько в ЧНН (а при 50) ? Трафик себе представляете?
Задача: нужно знать кто ходит.
Зачем знать кто ходит если вы собственный биллинг не делаете?
А если биллинг ваш, зачем вам давать доступ к серверу провайдера?
Что будете делать с безопасностью?
Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его?Первый же крик, "Я деньги заплатил - а оно не работает" + звонок в связь надзор, незданый объект связи и будете приседать и делать ку ближайшие пару лет.
Список можно продолжить.
По существу:
Определитесь с функционалом, что первично, что вторично, чей бюджет, чья ответственность, детали технического решения это самая простая часть проектов такого рода.
>[оверквотинг удален]
> А если биллинг ваш, зачем вам давать доступ к серверу провайдера?
> Что будете делать с безопасностью?
> Как провайдер будет обеспечивать бесперебойность оказания услуги если есть ему не его?
> Первый же крик, "Я деньги заплатил - а оно не работает" +
> звонок в связь надзор, незданый объект связи и будете приседать и
> делать ку ближайшие пару лет.
> Список можно продолжить.
> По существу:
> Определитесь с функционалом, что первично, что вторично, чей бюджет, чья ответственность,
> детали технического решения это самая простая часть проектов такого рода.Ладно, по существу. Есть университет, в котором роутится вся сеть. Есть домен контроллер, в котором присутствуют учетки на всех сотрудников и студентов за последние два года (плюс каждый год число учеток будет возрастать на 4000). Есть общежития, которые подключены к университету и соответственно мы маршрутизируем их сеть и даем крайне маленький канал интернета (15 МБ на 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер. Студенты могут заключать договор с Интернет-провайдером и через нашу сеть подключаться к l2tp брасу, соответственно, таким образом ходить в Интернет. По договору Университета и Провайдера, провайдер за каждого подключенного студента нам должен платить указанный тариф. В итоге, пришла оплата от провайдера на 2500 р за год. т.е. Обманывают. говорят, что к ним никто не подключается. в итоге, нужно посчитать, сколько студентов подключаются к этому брасу через сеть общежития. Желательна персонализация, так что проделать надо все через доменные учетки.
> Ладно, по существу. Есть университет, в котором роутится вся сеть.:)
> 9 общежитий). Есть l2tp сервер, которые предоставляет Интернет провайдер.
> Провайдера, провайдер за каждого подключенного студента
> нам должен платить указанный тариф.
> В итоге, пришла оплата от провайдера на 2500 р за год.Возьмите тарифную сетку провайдера. Откройте свою систему статистики и посмотрите траффик на порту в сторону провайдера. Путем не сложной математики получите примерные реальные цифры. Для начала. После этого можно думать есть ли смысл что-то делать по этому поводу.
> т.е. Обманывают. говорят, что к ним никто не подключается.
Если вы заранее не предусмотрели средств контроля, получаете то, что получаете.
> нужно посчитать, сколько студентов подключаются
> к этому брасу через сеть общежития.Как посчитать плюс-минус километр я уже вам написал выше.
Если хотите знать точное число сессий снимайте информацию по flow с железки которая отдает траффик в сторону провайдера (netflow/sflow или какое там у вас стоит железо) и считайте. Если железка флоу не умеет, делайте зеркалирование траффика и считайте каким-нибудь линукс тазиком.
> Желательна персонализация, так что проделать надо все через доменные учетки.
Персонализация сама по себе в отрыве от всего остально не делается. Все решения на рынке заточены под два случая: Провайдер и Корпоративная сеть, под кампусы обычно городят какие-то костыли потому как если у кампуса есть деньги они делают корпоративную модель (реже провайдерскую), а если денег нет никому не интересное этим заниматься.
>[оверквотинг удален]
> Если хотите знать точное число сессий снимайте информацию по flow с железки
> которая отдает траффик в сторону провайдера (netflow/sflow или какое там у
> вас стоит железо) и считайте. Если железка флоу не умеет, делайте
> зеркалирование траффика и считайте каким-нибудь линукс тазиком.
>> Желательна персонализация, так что проделать надо все через доменные учетки.
> Персонализация сама по себе в отрыве от всего остально не делается. Все
> решения на рынке заточены под два случая: Провайдер и Корпоративная сеть,
> под кампусы обычно городят какие-то костыли потому как если у кампуса
> есть деньги они делают корпоративную модель (реже провайдерскую), а если денег
> нет никому не интересное этим заниматься.По трафику - статистика есть. Пока никаких конкретных данных по пользователям-сессиям нет - это всего лишь разговоры. будет персонализация - можно будет говорить конкретней.
По поводу зеркалирования, это мысль. можно вытаскивать л2тп запросы и складывать их в отчет. Ну либо заказывать DPI.В любом случае, спасибо, теперь есть куда копать.
> По трафику - статистика есть.
> Пока никаких конкретных данных по пользователям-сессиям нет
> - это всего лишь разговоры.Либо я не могу до вас донести мысль, либо вы меня понять не можете.
Персонализация сама по себе не является решением, это инструмент. В вашем случае это инструмент для решения проблемы которой нет. (Решение как отмониторить количество сессий и траффик малой кровью я дал выше).
Если провайдер мы решаем вопрос как денег заработать и обеспечить достаточный уровень услуги.
Если корпорат мы решаем проблему как сделать так, чтобы пользователи работали на работе и по возможности не перезаражали все и вся вирусами (упрощенно).
В вашем случае вы пытаетесь решить как бы так развести на бабло провайдера них3ра при этом не делая.
А самое смешное, что в договоре не указано, что юзеров будут считать в кампусе. А это значит, что даже при наличии мониторинга подключений, предъявить провайдеру будет нечего (никакой суд ваши логи не примет).
> А самое смешное, что в договоре не указано, что юзеров будут считать
> в кампусе. А это значит, что даже при наличии мониторинга подключений,
> предъявить провайдеру будет нечего (никакой суд ваши логи не примет).Удивлен. Вы читали этот договор? Предъявлять что-либо провайдеру - дело юристов.
Что-то мне подсказывает, что юристы провайдера имели гораздо больше опыта на момент оформления договора. И не оставили вам возможность контролировать их биллинг.
>>[оверквотинг удален]Общажные компы в домене???
Шняга-шняжная, жизнь общажная...
>>>[оверквотинг удален]
> Общажные компы в домене???
> Шняга-шняжная, жизнь общажная...Общажные компы не в домене. юзеры прои помощи скрипта интегрируются в домен из postgresql базы студентов.
Короче.
Пускать в сеть по доменным учеткам - это либо 802.1x, EAP-PEAP самое простое, но радиус будет на винде, со всеми вытекающими. Т.е. работать будет, но удобство так себе.
С EAP-TLS можно заморочиться, но там своих приколов хватает тоже. Наигрались с WiFi с этим и через год послал я этот EAP-TLS подальше.Другой вариант - captive portal. Т.е. в локалке чуваки живут в пределах своего сегмента, если дальше надо, то на вебстранчке авторизация. Минус в необходимости веб-сессии.
Насчет интернета - купите у провайдера траффик а пользователей терминируйте сами.
Начать можно и с бесплатного mpd. Будут объемы и деньги, перейдете на ASR.