Возможно ли всех пользователей, подключающихся через асинхронные порты, на Cisco 2620 разделить на несколько групп, и каждой из групп разрешить доступ лишь к определённым ресурсам на интерфейсе fastethernet. Если это возможно, то с использованием локальной базы и без использования RADIUS и TACACS(если выхода нет, то можно и через их). Мне нужен хотя-бы принцип, как это сделать.
Привет,наверно, возможностей несколько - я бы обдумал следующее:
1. При связывании абонента система опознает его принадлежность к одной из заданных групп, согласно которой выделяет ему IP адрес из определенной подсети.
2. Отдельные подсети для разных групп абонентов имеют разные права в локальной сети. Самый простой способ - фильтры на базе acccess lists, расположенные на Fast Ethernet-е.
Пункт 1 легче всего организовать именно через RADIUS или TACACS+. Теоретически возможно прописать всех абонентов прямо на Cisco, но если их будет много, то потом управление ими (типа, заменить пароль и все такое) будет довольно хлопотно. К тому же, и RADIUS, и TACACS+ помогут вывести статистику для каждого пользователя и облегчат решение проблем (типа, "система отказывает абоненту доступ - в чем причина?"). Определить групповую принадлежность абонента можно либо прописав каждого в отдельности в конфиге RADIUS или TACACS+, либо при помощи т.наз. hints - опознавание абонента по первой букве его username. Это работает на RADIUS, насчет TACACS+ - не уверен.
WWell,
WWell,
>Привет,
>
>наверно, возможностей несколько - я бы обдумал следующее:
>
>1. При связывании абонента система опознает его принадлежность к одной из заданных
>групп, согласно которой выделяет ему IP адрес из определенной подсети.
>
>2. Отдельные подсети для разных групп абонентов имеют разные права в локальной
>сети. Самый простой способ - фильтры на базе acccess lists, расположенные
>на Fast Ethernet-е.
>
>Пункт 1 легче всего организовать именно через RADIUS или TACACS+. Теоретически возможно
>прописать всех абонентов прямо на Cisco, но если их будет много,
>то потом управление ими (типа, заменить пароль и все такое) будет
>довольно хлопотно. К тому же, и RADIUS, и TACACS+ помогут вывести
>статистику для каждого пользователя и облегчат решение проблем (типа, "система отказывает
>абоненту доступ - в чем причина?"). Определить групповую принадлежность абонента можно
>либо прописав каждого в отдельности в конфиге RADIUS или TACACS+, либо
>при помощи т.наз. hints - опознавание абонента по первой букве его
>username. Это работает на RADIUS, насчет TACACS+ - не уверен.
>
>WWell,А можно ли это сделать без установки RADIUS или TACACS, с использованием только возможностей маршрутизатора, только так, чтобы пользователь одной группы не мог получить права другой .
А во втором методе, если я правильно понял, каждому пользователю назначается свой IP-адрес, по которому с помощью ACCESS-LISTов определяются его права доступа. А если этот пользователь пропишет себе IP другой группы, то он ведь и получит права той группы, которой принадлежит прописанный IP. Или от этого можно как-нибудь избавиться?
>А можно ли это сделать без установки RADIUS или TACACS, с использованием
>только возможностей маршрутизатора, только так, чтобы пользователь одной группы не мог
>получить права другой .Да, можнопрописать всех user-ов на самой Кошке. Хлопотно, но можно.
>А если этот пользователь пропишет себе IP другой группы, то он
>ведь и получит права той группы, которой принадлежит прописанный IP. Или
>от этого можно как-нибудь избавиться?Если это user на dialup связи, он не может изменить свой IP адрес из-за того, что Кошка ведет учет какой IP адрес на какой терминальной линии находится.
WWell,