Биллинговая система Nodeny

В общем нужен модуль который бы вел статистику когда  с какого логина под каким маком проходила авторизация.
Общение на эту тему в этой теме. http://forum.nodeny.com.ua/index.php?topic=216.30
но до конца так и не домучали.
Я MySQL вообще не знаю, потому прошу помощи.

Сам просил, сам и отвечаю..
Модуль такой уже разработан.
Что умеет:
Ведет статистику в виде:
Левые mac  (маки которые не привязаны к абонам) выделяет красным.
Есть возможность mac добавлять в доп данные в поле mac адреса двумя кликами мыши.
Стоимость 100 грн.
Видео можно посмотреть  http://crown.vik-telecom.net/video/auth_log.ogv (http://crown.vik-telecom.net/video/auth_log.ogv)

Блин поправить не успел.
Ведет статистику в виде: [21.09.2010 01:52:30] Авторизация maks -> 00:40:45:25:c5:41

это ты его написал?
если нет, то может тогда авторское описание стоит выложить и контакты.
если да, то почему не фри? )

Писали мне, по моему ТЗ.
Авторские права я не ущемляю, с ним все обговорено.
Чего не фри?
А того что нужна поддержка модуля, может кому что допилить или выйдет новая версия Nodeny
Цена меньше чем я платил.

Обновил ссылку на видео, качать тут  (http://upload.com.ua/get/901944542/auth_log.ogv)

понятно, это для радуса делали?

я бы не отказался от такой готовой вещи, если с арп кэша роутера будет брать (фря)

Делали для радиуса, по поводу твоей задачи узнаю у разработчика.

Так для в ПППоЕ НЕТ АРПов. Или тебе для локальных?
Да и АРП-кеш очищается переодично.
Какой смысл?
Ну вообщем поясни, что именно нужно.

почитай топик
радус передает в station-id мак адрес
арп-кэш не очищается, если идет обмен данными, с fdb свича геморно брать

А все, я тебя понял. Ты хочешь, что бы сравнение на соответствие проводилось так:
MAC полученый от радиуса ищится в арп кеше?
Если да -- то это конечно же возможно.
Но применимо только если биллинг не разнесен на сетеллиты.

я буду уходить от радиуса
арп кэш будет важен для одной сети, в которой будет всего 1 роутер основной, второй по VRF, но в целом получится 1 роутер, который будет видеть маки только по арп кэшу (производительный роутер)

Так напиши ТОЛКОМ что интересует. Я уже "нипАнимаю"

офтоп немного, т.к. не юзается ppp
суть такая
есть фря 7.3, на нее транком зарулены несколько десятков/сотен вланов, по которым работают юзеры с теми ip, которые есть в БД биллинга.
что хочу:
нет мака?
есть доступ только на сервер биллинга, где он может в личном кабинете поменять на свой мак
есть мак - есть форардинг дальше этого роутера доступа.

сейчас все крутится с опычной привязкой к arp кэшу через nomake
есть мак - привязывается, нет мака - не работает ничего

не хочу свичи задействовать, т.к. работники в данной сети не совсем грамотные, чтобы их настраивать и следить за ними.

http://forum.nodeny.com.ua/index.php?topic=265.0
вот оно

Как я понимаю, тебе не нужно делать "есть мак - привязывается, нет мака - не работает ничего"
Тебе нужно лишь, что б клиент мог привязать МАК с которого он зашел в статистику к своей учетке?

допустим опционально так.
включение нового абонента, перед выходом техников, девочка завела юзела через биллинг, дала логин и пароль + ip (т.к дхцп не будет работать без мака (нет opt82)), те пришли, подключили, ввели руками Ip, зашли в кабинет, ввели свой мак -> сохранить -> полетел инет, включился дхцп, сменился мак - доступ только в свой кабинет снова.
как-то так вот вроде логично.
поправьте, если epic fail
хочу полность отдать сетку во власть работников

дхцп может выдавать из пула ип адресов специальные адреса, которые перенаправлять на страничку "введите свой мак в систему"

верно, но где-то когда шел домой встретил логическую ошибку....
надо подумать на свежую голову, бо с хомяками ухо нужно держать востро!
провайдеров проще включать  8)

привязка через arp чревата тем, что необходимо забивать всю сеть маками аля 00:00:00:00:00:00, в противном случае роутер будет взаимодействовать с хостом, в зависимости от настроек файрвола, в конечном итоге, что-то можно намутить...

как вы относитесь к такому кощунству, как ipfw2 mac
т.е. чтобы nofire брал из бд ip + mac
если мак неизвестен, то доступ только на клиентскую статистику, где он сможет поменять мак

а ipfw не умеет мак адреса в таблицы складывать красиво, как айпишники :(
да и зачем такое?
вот смотри логику: диапазон клиентских ип 10.10.0.0/24, в этом диапазоне выдает дхцп ип по мак адресу, если мак адреса нет в бд, то он выдается динамически ип из диапазона 10.20.0.0/24 - из этого диапазона разрешен доступ тока на клиентскую статистику, где есть кнопочка "сменить мак адрес" - он меняет мак адрес, и ему выдается адрес из правильного диапазона

сегодня думал насчет этого, да так и не вспомнил что не так )
ну да ладно, сделаю так, посмотрю как юзеры отнесутся.
спасибо

А у нас есть один пров у которого тоже есть ИП + мак только на Старгейзере.
Абонов думаю у этого прова будет около 10к

Так там если ты вкл в левым ИП, то тя редиректит на страничку где система автоматом определяет мак, и просит ввести логин и пас.
Ввел, оно привязало, обновил ИП ( он и так выдается на 10 мин).. И у тя уже родной ИП.

В доп.данных по умолчанию в ноудени уже есть строка "мак адрес"

Кто нибудь подскажет? она там просто так есть или в новой версии ноудени уже модуль привязки мака есть в коробке?

привязка мака к чему?

к базе  ;D

Было время хотел чтобы маки привязывались к портам свичей, но изза зоопарка не стал заморачиваться

Зря, батенька, зря... это такой секс как оказалось ))) во всяком случае по snmp - бабы потом нафиг не нужны )))

сейчас скил левел немного повысил.
на php через snmpset делал фенечки и прикольчики, но как-то костыльно без интеграции в биллинг

при использовании смнп нужно учитівать мибі свичей.

я не это имел ввиду )
просто во многих свичах маки в очень интересном виде доступны - буквально в виде мибов (которых мы не знаем и которые хотим узнать) - вот тут секс и начинается.

я дергал все мибы и отслеживал изменения значений.
но тут административная проблема с техниками.
тыкают куда попало в порты, потому разработка смарт сети встала

тут как раз просто решаемо

чуть сложнее с цисками надо получать по вланах - но тоже не очень сложно.

хм на счет монтажников - так им давать конкретный порт и все дела-то

а если дергать с цисок по rsh типо sh mac int fa0/2 и грепать? костыльно правда..
но проще чем так:
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a00801c9199.shtml

да с монтажниками беда....

все таки  по смнп проще с циски получть мак апи порт или мак порт чем по rsh
а с монтажниками - орг методы да и все дела - я выдал наряд с портом путь попробуют не туда включить - или переставить порт  сразу минус получат - уже прывыкли.

Я не говорил что нерешаемо. Решение есть ) но секс налицо. Не сказал бы что все так легко  и просто.

я пылу с жару у меня не получилось дернуть маки с порта по снмп )
крое того он мак адрес отдает таким образом 00 00 00 00 00 00, не 00:00 или 00-00 или 000000000000

покаж запрос и ответ

дергаю для примера такой миб 1.3.6.1.2.1.17.4.3.1.1

SNMPv2-SMI::mib-2.17.4.3.1.1.0.4.77.242.2.64 = Hex-STRING: 00 04 4D F2 02 40
отдает такое

для того, чтобы смотреть на вланах, к коммунити добавляете @vid
например @550 и миб .1.3.6.1.2.1.17.4.3.1.1

SNMPv2-SMI::mib-2.17.4.3.1.1.0.1.48.183.252.144 = Hex-STRING: 00 01 30 B7 FC 90
SNMPv2-SMI::mib-2.17.4.3.1.1.0.4.56.241.74.65 = Hex-STRING: 00 04 38 F1 4A 41
SNMPv2-SMI::mib-2.17.4.3.1.1.0.4.56.252.75.32 = Hex-STRING: 00 04 38 FC 4B 20
SNMPv2-SMI::mib-2.17.4.3.1.1.0.4.56.252.75.33 = Hex-STRING: 00 04 38 FC 4B 21
SNMPv2-SMI::mib-2.17.4.3.1.1.0.4.77.242.2.64 = Hex-STRING: 00 04 4D F2 02 40
SNMPv2-SMI::mib-2.17.4.3.1.1.0.7.233.10.164.121 = Hex-STRING: 00 07 E9 0A A4 79
SNMPv2-SMI::mib-2.17.4.3.1.1.0.7.233.10.202.138 = Hex-STRING: 00 07 E9 0A CA 8A
SNMPv2-SMI::mib-2.17.4.3.1.1.0.9.151.63.37.97 = Hex-STRING: 00 09 97 3F 25 61
SNMPv2-SMI::mib-2.17.4.3.1.1.0.11.95.49.250.193 = Hex-STRING: 00 0B 5F 31 FA C1

для циски
списко вланов
snmpwalk -On -OQ -v2c -c $com $ipsw .1.3.6.1.4.1.9.9.46.1.3.1.1.2|

snmpwalk -On -OQ -v2c -c $com@$vlan $ipsw .1.3.6.1.2.1.17.4.3.1.1|

ну и дальше в том духе

получает на раз польностью всю апр таблицу


на скоруюю руку и не полностью
но вроде для прмера ясно

а еще маленький нюанс - версия смнп играет роль и лучше миб передавать в явном виде а не вструктуре

А я где-то про вланы что-то писал?
Вот задача стояла получения мака в порту.... И здесь было весело. Скажу сразу, что мы эту проблему решили с матючком  вприпрыжку.

на опеннете видел народ через expect подключались телнетом и грепили маки в интерфейсе

Это не фэншуйно. Особенно когда разговор идет об snmp.

Абсолютно согласен с предыдущим оратором.
Экспект тоже юзаем, но для настройки.... бо ручками уже геморрно стало это делать для всех свичей одновременно ))

да понятно, это экстракостыльное решение.

ну не знаю
для циски (всегото один влан и используется только так відрал)
с отслаьніх намного проще

да и зоопарк свичей не помеха просто в таблице доп поле oid
там указівает какие мибы
дальше дело техники

Так и не понял, как вы решили задачу узнавания какой мак находится в данном (известном нам) порту.
т.е. SNMPv2-SMI::mib-2.17.4.3.1.1.0.1.48.183.252.144 = Hex-STRING: 00 01 30 B7 FC 90
аж никак нам не помогает. Слить данную ветку и распарсить ее как бы да.... но где здесь известный номер порта?
Скажу больше... сам данный миб нам неизвестен заранее т.к. создается динамически в момент появления 00 01 30 B7 FC 90

какой свич? модель?
тут очеть все просто и интересно - этот миб имеет две переных.надо использовать совместно два миба .
дай модель свича а я покажу на примере

разберем для примера
код (сори что не в теге но там будет нагляднее)

#определения какой мак на каком порту используем массивы и дергаем всю таблицу - по аналогии можно и конкретный порт

open(SNMP,"/usr/local/bin/snmpwalk -On -OQ -v1 -c $comm $ipsw .1.3.6.1.2.1.17.4.3.1.1 |")
    or die "Can't run snmpwalk";
   while (<SNMP>)
       {
           chomp;
           s@.1.3.6.1.2.1.17.4.3.1.1@@;
                   #приводим к нормальному виду
           my ($oid, $macc) = split /=\s*/;
           $_=$macc;
           s@"@@g; s@\s*$@@; s@ @:@g;#"
       s@(.)@\l\1@g;
                       #тут будет масив вида мак - оид
      $macc_table{$_}=$oid;
       }
    close(SNMP);
open(SNMP,"/usr/local/bin/snmpwalk -On -OQ -v1 -c $comm $ipsw .1.3.6.1.2.1.17.4.3.1.2 |")
    or die "Can't run snmpwalk";
   while (<SNMP>)
       {
      chomp;
      s@.1.3.6.1.2.1.17.4.3.1.2@@;
      my ($oid, $portt) = split /=/;
      $ports_table{$oid}=$portt;
                       #а тут будет масив вида порт - оид
       }
    close(SNMP);
#и самое просто так как два масива буду иметь  одинаковые оиды что стоит построить мак - порт
используя фор или цыкл - все зависит от того что нужно
просто есть пару ньюансов
1.есть свичи у которых порты нумеруются не 1 2 3  а 1001 1002 1003 (или 2001 2002 2003) это у трикома и стекируемых
2.у некоторых можно получить арп только из одного влана ранее я показал как.
3.если производить какие либо дейсвия со свичами то нужно для уверенности найти по смнп аплинк и запретить скрипту любые действия с этим портом.
ну то что маки  в разных форматах - так это вооще просто ~tr  и превести в одному формату

забыл дописать - некоторые свичи выдают ощибки стобы этого избежать сипользуем -Сс в запросе

На самом деле все проще )
запрос ветки 1.3.6.1.2.1.17.7.1.2.2.1.2 вернет что-то типа:
SNMPv2-SMI::mib-2.17.7.1.2.2.1.2.220.0.17.59.10.80.211 = INTEGER: 10
где 220 - это номер влана, 0.17.59.10.80.211 - мак адрес в десятичной форме а INTEGER: 10 как раз и есть номер порта
ВСЕ)

хм ну да порто он вернул а мак?
поэтому то и берется два запроса для свичей которые отдают так апр
в некоторых мак явно указан с портом
в некоторых запростов больше так как надо выбрать к важдом влане.
но все действительно просто. что я и с самого начала говорил. а некоторые по секс

читайте внимательнее что написано ) все там вернуло одним запросом и влан и порт и МАС

повторю еще раз не совсеми свичами - а при потытке дернуть всю таблицу в некоторых отваливается снмп ( если не использовать опций)

но насамом деле все довольно просто
кое кому организовал так авторизацию - на свичах л2 но без опции 82.