请教高手 上网认证系统 解决方案

defly

您好，我是一名网络管理员，包括一个简单的网站，还要负责2000个节点的上网管理。

    我们考虑到我们应该在上网认证方面有一个较好的管理，因而领导责成我开始考察这方面的产品，所以想麻烦您根据我们的具体情况作一个实用的方案。下面我谈谈我们的情况：

    附件为整个城域网的网络拓扑简图

    我们整个网络是一个以太局域网，共50个Vlan，现在网络内共有计算机2万台，平常有一万台机器上网，中心交换机是Cisco6509，防火墙为Cisco pix 525；6509只是作为路由使用，在网通的传输网中有一个网通的汇聚交换机，汇聚交换机同6509之间通过一根千兆光缆连接，其它约50个部门也接到网通的汇聚交换机，网通公司的光缆传输网没有做任何设置，只提供了一个网络数据的透传功能，所有的网络设置全部在Cisco6509中。

    现在想在中心交换机（Cisco6509）处安装一个第三方的上网认证系统，功能必须包括：
    1、IP地址与MAC地址绑定；如果想上网的计算机没有在认证系统中登记或者IP地址与MAC地址不符，则不允许访问除自己VLAN以外的所有网络甚至不能连接网洛上的任何计算机。
    2、各计算机的上网纪录；能够记录下网络内的每台计算机访问其他计算机或者网站的开始时间、数据量，最好有结束时间、操作类型等。
    最好包括：
    1、各计算机的实时流量监测。
    2、实时强制某台计算机或某个网段断开网络。
   

                                      龙在渊

                                      defly@tom.com
                                           2004年9月7日

defly

是20000个节点

Snoopy

1、IP地址与MAC地址绑定；如果想上网的计算机没有在认证系统中登记或者IP地址与MAC地址不符，则不允许访问除自己VLAN以外的所有网络甚至不能连接网洛上的任何计算机。

iptables


    2、各计算机的上网纪录；能够记录下网络内的每台计算机访问其他计算机或者网站的开始时间、数据量，最好有结束时间、操作类型等。

squid结合部分软件,具体没搞过


    1、各计算机的实时流量监测。
iptraf

    2、实时强制某台计算机或某个网段断开网络。
iptables

defly

请问如果每个包都要检测，效率会怎么样？

换言之－－我需要什么样的服务器来满足这么多的访问量？

老兄帮助分析一下！

smile787

放6个INTER千兆的网卡绑定网卡，双至强2g以上，8g内存，千兆交换机叠堆交换。。。。

硬件就差不多可以支持200000。。。。

Snoopy

最初由 defly 发表
请问如果每个包都要检测，效率会怎么样？

换言之－－我需要什么样的服务器来满足这么多的访问量？

老兄帮助分析一下！

没有硬件方面配合,肯定不行,随时会当掉

defly

自己顶一下

Snoopy

最初由 defly 发表
自己顶一下

不知道你顶什么,那样的规模,为何不买点档次的硬件来结合 ?

defly

我有个建议！
前面讨论的问题都是基于在网络的主干中间加一个设备
另一个思路就是----旁路监听——在主干链路上加一台千兆交换机 通过端口镜像镜像到其他的端口（监听端口），然后在这个端口挂这个设备。所有的访问首先纪录，非法的访问（MAC地质和IP不匹配的）由监控服务器回复主机不可到达消息。

不知道可行不可行，请老大赐教

接下来的问题是：
如果访问来自一个路由网络，或者一个NAT网络，需要知道源访问节点的MAC和IP地址。

再次表示感谢。

defly

顶