[Денис Креминский]

Уважаемые коллеги!

 

Предположим, что имеем 100baseTX сеть внутри жилого дома. Скажем, стоит там пусть даже catalyst на, допустим, 24 порта. Включенный одним портом в какой-нибудь волоконный или беспроводной аплинк. (Как вариант: включенный в небольшой домовой маршрутизатор.)

 

В сети существуют безлимитные тарифные планы. В доме есть один пользователь, который по этому неограниченному плану работает. Кроме него в доме еще с десяток пользователей, у них у всех тарифные планы другие.

 

Технически дано: каждый абонент каким-то образом получает айпи-адрес. Допустим, динамически через dhcp. Далее думаю про три возможных варианта:

 

1. Адрес выдается из 192.168./172.16./10., в Интернет абонент пускается через proxy. Допустим, прокси с логином/паролем для целей биллинга.

 

2. Адрес выдается из 192.168./172.16./10., в Интернет абонент пускается через vpn, которые пользователь создает до некоего сервера в аппаратной провайдера, получая поверх vpn полноценный ip-адрес. Закрепленный за абонентом для целей биллинга.

 

3. Адрес сразу выдается полноценный, анонсируемый и маршрутизируемый в Интернете. По какому-то там признаку закрепляясь за абонентом для целей биллинга. Хотя ума не приложу как это сделать правильно, но пусть у кого-то будет.

 

Внимание, вопрос!

 

Что и как может помешать абоненту в нашем доме, подключенному по безлимитному тарифному плану, пропускать через себя трафик всех заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный для одного пользователя" в убыток оператору?

 

Заранее спасибо за деление опытом.

[Roman Ivanov]

> Что и как может помешать абоненту в нашем доме, подключенному по

> безлимитному тарифному плану, пропускать через себя трафик всех

> заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный

> для одного пользователя" в убыток оператору?

Только закрытие его в "особый" VLAN.

Все остальное обходится - более или менее просто.

 

В случа catalyst можно конечно прописать правило с MAC рутера - другие MAC будут недоступны. Но криво это. Правильно - для unlim - другой VLAN.

[Денис Креминский]

> Что и как может помешать абоненту в нашем доме, подключенному по

> безлимитному тарифному плану, пропускать через себя трафик всех

> заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный

> для одного пользователя" в убыток оператору?

Только закрытие его в "особый" VLAN.

Все остальное обходится - более или менее просто.

 

В случа catalyst можно конечно прописать правило с MAC рутера - другие MAC будут недоступны. Но криво это. Правильно - для unlim - другой VLAN.

 

Ну, vlan -- это вроде понятно. А если каталист включен в маршрутизатор, как и абоненты соседнего дома с аналогичной структурой сети, то как тогда запретить пользователю пропускать через себя трафик из, скажем, соседнего дома? Не каталистом же единым. Я правильно понимаю суть предложенного решения?

[Денис Креминский]

> Что и как может помешать абоненту в нашем доме, подключенному по

> безлимитному тарифному плану, пропускать через себя трафик всех

> заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный

> для одного пользователя" в убыток оператору?

Только закрытие его в "особый" VLAN.

Все остальное обходится - более или менее просто.

 

В случа catalyst можно конечно прописать правило с MAC рутера - другие MAC будут недоступны. Но криво это. Правильно - для unlim - другой VLAN.

 

Ну, vlan -- это вроде понятно. А если каталист включен в маршрутизатор, как и абоненты соседнего дома с аналогичной структурой сети, то как тогда запретить пользователю пропускать через себя трафик из, скажем, соседнего дома? Не каталистом же единым. Я правильно понимаю суть предложенного решения?

 

"А, собственно, фильтром по ip на маршрутизаторе и закрывать." -- подумал я :)

 

Спасибо.

[ky]

если есть возможность от одного юзера передать каким-то образом трафик к другому юзеру, тогда можно будет всего-лишь во что-то завернуть (инкапсулировать) и-нет трафик и передать ... т.е. во время выхода юзера в и-нет нужно отрубать ему локалку, иначе ничего не сможет помешать, а как это сделать я не знаю, и все выше описанное это, понятно, теория

 

другой вариант - обьявить локальную сеть "сетью доступа в и-нет и к ресурсам оператора" и зарубить межюзерский трафик

[Nag]

Ну, vlan -- это вроде понятно. А если каталист включен в маршрутизатор, как и абоненты соседнего дома с аналогичной структурой сети, то как тогда запретить пользователю пропускать через себя трафик из, скажем, соседнего дома? Не каталистом же единым. Я правильно понимаю суть предложенного решения?

 

Я бы убил того китайского (или не знаю какого) маркетолога, который назвал одинаково портовые виланы и тегированные. Портовые - это не виланы, а бред, извращение, работающее только в сети из одного коммутатора.

А на тегированном вилан если пользователь в отдельном вилане - тут нет разницы с другого дома, или с луны. Он в ОТДЕЛЬНОЙ ВИРТУАЛЬНОЙ СЕТИ, которая терминируется ТОЛЬКО через 3-й уровень (т.е. рутером) и ТОЛЬКО там где это нужно оператору.

 

Да, тегированные виланые есть не только на каталистах. ;-)

[Roman Ivanov]

если есть возможность от одного юзера передать каким-то образом трафик к другому юзеру, тогда можно будет всего-лишь во что-то завернуть (инкапсулировать) и-нет трафик и передать ... т.е. во время выхода юзера в и-нет нужно отрубать ему локалку, иначе ничего не сможет помешать, а как это сделать я не знаю, и все выше описанное это, понятно, теория

 

Сам понял что сказал?

[Денис Креминский]

Да, тегированные виланые есть не только на каталистах. ;-)

 

Спасибо :)

 

Еще вопрос. Что-нибудь дешевле, чем USD600 за 802.1q на 24 порта для решения такой проблемы бывает?

[Andrew40]

Денис Креминский, перед тем, как что то делать, подумайте на досуге, а что будет, когда в доме появится альтернативная сеть, подключенная через 1-го анлимитчика.

Понятно, что проложить кабели только по дому - это не проблема, это вопрос, причем элементарный. Посмотрите на число обычных/спутниковых антенн на крышах некоторых домов...

[Денис Креминский]

Денис Креминский, перед тем, как что то делать, подумайте на досуге, а что будет, когда в доме появится альтернативная сеть, подключенная через 1-го анлимитчика.

Понятно, что проложить кабели только по дому - это не проблема, это вопрос, причем элементарный. Посмотрите на число обычных/спутниковых антенн на крышах некоторых домов...

 

спасибо за совет :) но это, пардон, оффтоп.

можно еще думать о прицельных попаданиях метеоритов в аппаратную :)

[Nag]

Еще вопрос. Что-нибудь дешевле, чем USD600 за 802.1q на 24 порта для решения такой проблемы бывает?

 

 

Э... Да вы это чего удумали?

Сейчас новые китайцы идут от 200-от баксов за 24 порта с 802.1q

А от 300-400-от уже приличные Телесины, Длинки и прочая...

Дороже 600 - это уже только сиска да люцент с нортелем...

[Денис Креминский]

 

Еще вопрос. Что-нибудь дешевле, чем USD600 за 802.1q на 24 порта для решения такой проблемы бывает?

 

 

Э... Да вы это чего удумали?

Сейчас новые китайцы идут от 200-от баксов за 24 порта с 802.1q

А от 300-400-от уже приличные Телесины, Длинки и прочая...

Дороже 600 - это уже только сиска да люцент с нортелем...

 

осознал :) спасибо!

[Black Monk]

интересная тема :)

 

похоже, что тут вообще не один свич не поможет :)

 

можно конечно порты tcp все позакрывать, кроме тех которые обычно юзают, но и тогда он может просто порт изменить на той же прокси и вперед.

 

Зачем делать заведомо не выгодные тарифы на unlim? Получется лучше, чем платить за инет, собраться 4-5 юзерам и скинуться на unlim :)

 

Можно сделать сеть через vpn, но ведь коммутация-то где-то все равно будет, как-то юзеры должны общаться между собой, если все юзеры видят только сервак, то нахрен такая сеть? Да и отрубание локалки во время выхода в Инет, тоже бредовая идея.

 

Может просто сказать сказать, что нельзя раздавать/передовать/отдавать/... инет иначе будет наказание. А потом сканером проверять порты.

[hcube]

А еще проще - ввести анлимные ТП малой скорости за меньшие деньги.

[Andrew40]

Денис Креминский,

спасибо за совет :) но это, пардон, оффтоп.

можно еще думать о прицельных попаданиях метеоритов в аппаратную :)

Это совсем не оффтоп, прочтите Ваше же название темы. Это именно по теме, только не с технической, а с экономической стороны.

Просто вводя анлимы Вы очень во многих случаях сами закладываете базу для воровства. И Вы это прекрасно видите, иначе и не открывали бы эту тему тем сообщениям.

[Денис Креминский]

Денис Креминский,

спасибо за совет :) но это, пардон, оффтоп.

можно еще думать о прицельных попаданиях метеоритов в аппаратную :)

Это совсем не оффтоп, прочтите Ваше же название темы. Это именно по теме, только не с технической, а с экономической стороны.

Просто вводя анлимы Вы очень во многих случаях сами закладываете базу для воровства. И Вы это прекрасно видите, иначе и не открывали бы эту тему тем сообщениям.

 

анлимы станут требованием времени, ибо мы не придумываем велосипед, а следуем тенденциям, которые не у нас зарождаются.

технология будет следовать за рынком, а не наоборот. поэтому и топик. технический.

[Andrew40]

анлимы станут требованием времени, ибо мы не придумываем велосипед, а следуем тенденциям, которые не у нас зарождаются.

технология будет следовать за рынком, а не наоборот. поэтому и топик. технический.

Вы совершенно правы!

Тогда Вы сначала решите организационно-экономические проблемы (скоростью, числом TCP сессий, отсутствием локала, ...), а потом думайте, как реализовать это решение технически. Иначе не понятно, что собственно надо, что бы не воровали на анлимах.

[Денис Креминский]

анлимы станут требованием времени, ибо мы не придумываем велосипед, а следуем тенденциям, которые не у нас зарождаются.

технология будет следовать за рынком, а не наоборот. поэтому и топик. технический.

Вы совершенно правы!

Тогда Вы сначала решите организационно-экономические проблемы (скоростью, числом TCP сессий, отсутствием локала, ...), а потом думайте, как реализовать это решение технически. Иначе не понятно, что собственно надо, что бы не воровали на анлимах.

 

нутк мы решаем :) но не здесь же!

[AlexPan]

Мы вот решили просто unlim не вводить... Я не понимаю в чем тут требование времени! Вы наверное не раз видели ситуацию, когда из забугорья скачиваешь файл, то полоса зауживается до 50-60 KB/c. Если скачивать в несколько потоков, то будет значительно быстрее. Вот они издержки буржуйского анлима. Есть канальная коммутация, есть пакетная. Можно торговать каналами, можно торговать пакетами, т.е. трафиком. Стрим торгует инлимом не от хорошей жизни, а от плохой. И пускай себе торгует! Зачем с ним конкурировать? Они не в состоянии дать качество, я это утверждаю на основе своего сервера статистики, и надо этим пользоваться!!!

[Денис Креминский]

Мы вот решили просто unlim не вводить... Я не понимаю в чем тут требование времени! Вы наверное не раз видели ситуацию, когда из забугорья скачиваешь файл, то полоса зауживается до 50-60 KB/c. Если скачивать в несколько потоков, то будет значительно быстрее. Вот они издержки буржуйского анлима. Есть канальная коммутация, есть пакетная. Можно торговать каналами, можно торговать пакетами, т.е. трафиком. Стрим торгует инлимом не от хорошей жизни, а от плохой. И пускай себе торгует! Зачем с ним конкурировать? Они не в состоянии дать качество, я это утверждаю на основе своего сервера статистики, и надо этим пользоваться!!!

 

Возражу только одним аргументом: определенная (и неслабая по объему) категория клиентов хочет заплатить некоторую сумму за доступ к Сети и, что называется, "не париться". Есть спрос -- будет предложение. Технология принципиально позволяет.

 

Отсюда и веяния времени. Или рынка, если угодно.

[Black Monk]

По поводу unlima:

1. Либо его не делать вовсе либо делать, чтоб он был выгоден провайдеру в любом раскладе, т.е. хотя бы при 80% загрузке канала юзером.

2. Ставить всех юзеров в общий ряд, т.е. подключать к сети только тех кому нужен unlim (перепродаж не будет внутри сети).

3. Делить юзеров в сети, на тех кому нужен Инет и кому не нужен. Если кому-то не нужен Инет, то на свиче просто запрещать протоколы ftp,http,... чтоб из инета не смог качать посредством winproxy. Вопрос только зачем юзеру вообще тогда сеть получается нужна :) можно конечно все локальные серваки перевести с 21 и 80 портов на какие-то другие.

 

Больше тут не придумаешь.

 

4. Кстати на свиче можно прописать локальные адреса - permit, остальное - deny. И тогда юзер не сможет даже сделать запрос на proxy, так как его пакет ы просто не дойдут до прокси.

Вообще хорошее решение и можете сами проверить.

 

По поводу того что одному юзеру продавать по 1р за мегабайт, а второму по 5р за мегабайт всегда будут перепродажи! И тут уже не чего не поделаешь. Всем хочется подешевле.

[Roman Ivanov]

> 1. Либо его не делать вовсе либо делать, чтоб он был выгоден

> провайдеру в любом раскладе, т.е. хотя бы при 80% загрузке канала

> юзером.

Стандартный % в странах с анлимом 15-25%

[UglyAdmin]

> 1. Либо его не делать вовсе либо делать, чтоб он был выгоден  

> провайдеру в любом раскладе, т.е. хотя бы при 80% загрузке канала  

> юзером.

Стандартный % в странах с анлимом 15-25%

Чтобы выйти на стандартный процент, придётся с полгода посидеть на 100%, потому что халявщики кинутся качать абсолютно всё, что под руку подвернётся.

Это они через 3-5 месяцев поймут, что инет большой, а винты маленькие, и что весь инет к себе не закачаешь.

[Roman Ivanov]

> 1. Либо его не делать вовсе либо делать, чтоб он был выгоден  

> провайдеру в любом раскладе, т.е. хотя бы при 80% загрузке канала  

> юзером.

Стандартный % в странах с анлимом 15-25%

Чтобы выйти на стандартный процент, придётся с полгода посидеть на 100%, потому что халявщики кинутся качать абсолютно всё, что под руку подвернётся.

Это они через 3-5 месяцев поймут, что инет большой, а винты маленькие, и что весь инет к себе не закачаешь.

 

Не в этом дело. Скоро напишу опус для НАГа. У нас государство сделало использование интернета ВЫГОДНЫМ для большой прослойки населения.

Результат - интернетом покрыто от 40 до 80% квартир.

Золотой клиент это как раз пожилые люди. Им анлим - самое то.

[Nag]

UglyAdmin,

Чтобы выйти на стандартный процент, придётся с полгода посидеть на 100%, потому что халявщики кинутся качать абсолютно всё, что под руку подвернётся.  

 

И первый удар на себя принял Стрим. ;-)