Co polecacie do autoryzacji uzytkownikow w sieci?

[sethiel]

Mam taki problem siec sie rozrasta i szukam metod by ograniczyc dolaczanie nisnanych komputerow do sieci

siec ma kilka vlan'ow, czesc vlan'ow widzi sie wzajemnie czesc nie,
glownie przewodowa, moze 2% bezprzewodowo

moge to zrobic przez dhcp+mac,
ale nmap + troche wiedzy o dzialaniu dhcp'a = chwila pracy i komputer w sieci juz jest

moge to zrobic przez switch
znalezienie mac'a i jak wyzej = chwila pracy i komputer w sieci juz jest

jest tez ieee 802.1x ale niestety moja wiedza jak to sie je jest zerowa, - nawet nie wiem czy do tego trzeba specjalna sieciowke czy tez kazda nawet wbudowana w plyte to obsluzy (jesli polecacie 802.1x to bardzo prosze o jakies dobre linki do tego abym mogl sobie z konfigiem na serwerze debian'a poradzic i notke czy cos szczegolnego na klientach XP wymagane lub na zarzadzalnych switch'ach)

a moze jest jeszcze cos innego prostego uzytecznego co polecacie?

[Bogon]

Witam.
Polecam pppoe. Latwo sie implementuje i nie do zlamania. Tylko jak userzy zaczna grzebac, albo maja sami sobie zainstalowac to tragedia... ;( Pozdrawiam

[sethiel]

do tego pppoe to takie naiwne pytania,
- czy predkosc tam bedzie modemowa czy tez pelnym laczem (1 Gb?)
- czy polaczenie moze sie odbywac bez ingerencji uzytkownika (tzn uzytkownik nie wie ze jest autoryzowany, jedynie ten ktory podlacza 'lewy' komputer nie moze nawiazac polaczenia bo nie dostaje ip'ka)

[Bogon]

Co do predkosci to uzytkownik dostaje pelne lacze, lub tyle ile mu sie przydzieli (qos). Laczenie odbywa sie niestety zawsze z wiedza uzytkownika, tak jak przy laczeniu np. z neostrada. Mozna za to bez problemu wprowadzic usluge "internet na  godziny" czy cos takiego.

[sethiel]

jeszcze takie kolejne pytanie, czy komputer jest autoryzowany i dostaje ip i tyle,
czy tez caly ruch bedzie przekierowany przez serwer ppp?, bo tak poczytalem o tym i nie do konca wiem,
zas jesli ma kilka vlanow, dwa vpn'y i setke kompow do obsluzenia to moze byc nie halo

[Bogon]

Troche to skomplikowane do wytlumaczenia. Moze tak: ruch ppp jest kapsulkowany w protokole ethernet. Nie potrzeba juz protokolu IP w ethernet tylko w ppp. Vlany dzialaja jak dzialaly, VPN dzialaja jak dzialaly. PPP moze pracowac rownolegle z tym co jest, wiec mozesz sobie testowac na kilku userach bez obawy, ze cala siec sie spitoli. Po autoryzacji uzytkownika na serwerze tworzy sie urzadzenie ppp*, wiec po zalogowaniu x uzytkownikow masz w ifconfig x urzadzen ppp(0..x-1). Zaleca sie wylaczyc kompresje ppp, zeby odciazyc procesor.  Przepraszam, ze tak chaotycznie.
Acha, przypomniala mi sie jeszcze jedna sprawa. Nie pamietam jak to bylo, ale koncowka serwerowa tez dostaje wlasnego ipa. Nie pamietam, czy moze byc 1 ip dla wszystkich klientow, czy dla kazdego klienta musi byc osobny ip na serwerze. I ip klienta nie musi byc w tej samej podsieci co ip serwera, bo to jest polaczenie p2p, koncowka serwera moze miec adres np 10.1.0.1  a klienta  213.144.53.32 i to bedzie dzialac.  I jeszcze maly szkic.        

karta zewnetrzna--serwer--karta wewnetrzna------------------komputer klienta
internet-------------routing--eth0->ppp0(koncowka serwera)--ppp(koncowka klienta)-> ethernet klienta