请教高手 上网认证系统 解决方案

Snoopy

最初由 defly 发表
我有个建议！
前面讨论的问题都是基于在网络的主干中间加一个设备
另一个思路就是----旁路监听——在主干链路上加一台千兆交换机 通过端口镜像镜像到其他的端口（监听端口），然后在这个端口挂这个设备。所有的访问首先纪录，非法的访问（MAC地质和IP不匹配的）由监控服务器回复主机不可到达消息。

不知道可行不可行，请老大赐教

接下来的问题是：
如果访问来自一个路由网络，或者一个NAT网络，需要知道源访问节点的MAC和IP地址。

再次表示感谢。

这个得叫smile来谈了 ,,,

emylekao

20000个结点，找个公司来做啊。自己搞，没有必要。

smile787

应该不够Cisco PIX Firewall 520一台报价去到15万。。。。。呵呵

自己做系统和软件开发可能行。。。。。

dancingpig

什么平台？kerbros啊

defly

20000个节点的网络，包含6509的主干网络都已经建好，防火墙Cisco pix 525也在运行中。
我们需要的只是那台网络监控服务器。

找寻 smile

defly

贴图贴图贴图

smile787

明白你的意思了，主干已经建设好，只是检测。。

1、IP地址与MAC地址绑定；如果想上网的计算机没有在认证系统中登记或者IP地址与MAC地址不符，则不允许访问除自己VLAN以外的所有网络甚至不能连接网洛上的任何计算机。

这个IPTABLES可以完成。

2、各计算机的上网纪录；能够记录下网络内的每台计算机访问其他计算机或者网站的开始时间、数据量，最好有结束时间、操作类型等。
这个iptables +tc+扫描可以完成

最好包括：
1、各计算机的实时流量监测。
2、实时强制某台计算机或某个网段断开网络。

这个断开不太好做，因为客户机都接入交换机绑定MAC到可以考虑！

这样的方案不知道你是自己做还是想要用别的公司提供的软件？

defly

现在据我考察还没有现成的设备 类似的产品有，比如计费系统
可能需要找一家合作公司
另外，我的6509好像不支持MAC IP地址帮定

现在，我有点觉得好像方案月来月不可行
1、对于使用三层交换的Vlan过来的包，它的 MAC全是那个VLAN的三层交换机的地址
2、如果有的节点通过透明代理（NAT网络），怎么分离出原始MAV地址和IP
3、从旁路的监控服务器发送的地址不可到达信息真的能够起到禁止对方访问的目的吗
4、对于实时强制某台计算机或某个网段断开网络，我可以认为它是非法的访问，利用3的办法

在次谢谢smile兄！

defly

还的顶起来！