Jump to content
Калькуляторы

Помогите выбрать и определиться.

Приветствую вас коллеги.

У нас есть билинг ideco а также есть cisco такие как asr 7600 и прочие фкусности.

В данный момент у нас всё работает и всё авторизуется через pppoe.

В общем подумываю над возможностью перейти на схему, чтобы пользователь вообще не очём не думал а знал только куда платить деньги.

Короче говоря отказаться от pppoe и сделать авторизацию например по IP (аля function82).

И вот тут встал вопрос. А как ограничить скорость для пользователей? В данный момент asr терминирует сессии и уже там на них навешивается скорость.

А как сделать что-то похожее если будем выдавать по dhcp белые IP я что-то ума не приложу(чтобы не терять белые IP). Есть конечно вариант перейти на 2 тарифа 10 и 100 мегабит и рубить физически это дело она порту... но а вдруг кому не нужна такая скорость а нужно например 2 мегабита (например юрики).

Вот собственно говоря и хочу спросить у коллег если есть у кого опыт может такого дела? Или мысли какие высказывайтесь я с удовольствием почитаю.

P.S. да выход в интернет хотелось бы осуществлять через asr (чтобы она резала скорости пользователям) а не через ideco(потому что это просто и тогда я бы тут не отписывался).

Спасибо за ваше внимание.

Share this post


Link to post
Share on other sites

DruGoe_DeLo, asr умеет терминировать ipoe сессии и умеет nat, так что проблем быть не должно.

Share this post


Link to post
Share on other sites

DruGoe_DeLo, asr умеет терминировать ipoe сессии и умеет nat, так что проблем быть не должно.

nat это да, но он не нужен.

Кстати а про ipoe я то совсем и забыл...

Share this post


Link to post
Share on other sites

DruGoe_DeLo, так вы же сами написали что не хотите терять белые ip. или это в каком смысле было?

 

В любом случае, без nat-а ещё всё проще.

Share this post


Link to post
Share on other sites

DruGoe_DeLo, так вы же сами написали что не хотите терять белые ip. или это в каком смысле было?

 

В любом случае, без nat-а ещё всё проще.

 

Я имел виду что не надо делать маленькие под сети. чтобы ограничить скорость.

 

В общем я пока одни только грабельки замечаю в этом ipoe. это то что надо авторизововаться по IP (посылать командочки cisco-avpair) и тогда получается что у нас каждый белый ip будет привязываться к пользователю хотя с другой стороны можно опробывать и по маку привязывать. Хммм... в очередной раз убеждаюсь что на этом форуме за пару минут можно "осениться" на интересные мысли. Я пока тему не буду закрывать, буду собирать инфу по этому вопросу и думаю что на след недельки в тесте собиру прототип. В любом случаи, отпишусь и выложу скрипты что и как было сделано в этом плане.

P.S. Но вы дорогие читатели можете также дополнять эту тему своими мыслями, а то глядишь и готовыми решениями :D

Edited by DruGoe_DeLo

Share this post


Link to post
Share on other sites

А почему от PPPoE отказываетесь?

В IPoE сессии все же не настоящие и их отслеживать будет труднее. Могут подвиснуть, когда BRAS решит, что сессия прервалась, а клиент этого не понял.

Share this post


Link to post
Share on other sites

asr умеет терминировать ipoe сессии

Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco?

Share this post


Link to post
Share on other sites

А почему от PPPoE отказываетесь?

В IPoE сессии все же не настоящие и их отслеживать будет труднее. Могут подвиснуть, когда BRAS решит, что сессия прервалась, а клиент этого не понял.

Нет pppoe тоже всем хороша, кстати сессии там тоже подвисают но для этого у нас есть самопальный скриптик который их подчищает. Сваять похожий для ipoe не составит труда.

Ну на нашем обсуждении мы пришли к следующему выводу.

1. Пользователи довольно часто забывают свои пароли.

2. Для клиентов звонки бесплатные, но не для нас :)

3. Использую pppoe мы делаем себя немного привязанными к данной стизе.

4. Часто юрики просят статику. (с одной стороны это удобно и им и нам... хотя нам то вообще должно быть по барабану но мы боримся за наших клиентов)

5. И наверное самое увесистое. Захотели мы кое что внедрить в нашу сеть. аля мего устройство и всем оно нас устраивает и для пользователей сладким получается, а эта зараза работает только по статике, pppoe она не умеет(аналогичные не умеют то что нужно нам, хотя есть pppoe. Разрабы вродебы не против сделать поддержку pppoe, но и не горят особым желанием). И тут задались вопросом мы. И вот поприкидывали подумали, а почему бы и нет. По крайне мере стоит попробовать.

P.S. в ipoe тоже есть свои нюансы. Сменил пользователь комп/сетевушку и вуаля интернета нет. Но думаю что эту штуку можно привязать через функцию 82 чтобы пользователи особо прыткие не подсматривали чужие маки в сети :).

Edited by DruGoe_DeLo

Share this post


Link to post
Share on other sites

Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco?

да там разные варианты есть, есть l2 connected, есть вариант с routed

Share this post


Link to post
Share on other sites

asr умеет терминировать ipoe сессии

Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco?

 

Нет. Используем 1 vlan на дом (нам так просто удобнее) пользователь поднимает сессию asr спрашивает мол "дай мне логин пароль", пользователь "на", asr через radius (в нашем случаи cisco-avpair) спрашивает у билинга мол "логин пароль такой". При совпадении пароля и логина и положительного баланса на счету билинг разрешает поднять cisco сессию с приминением правил на ограничение скорости. И cisco поднимает соединение для пользователя.

Share this post


Link to post
Share on other sites

asr умеет терминировать ipoe сессии

Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco?

 

Нет. Используем 1 vlan на дом (нам так просто удобнее) пользователь поднимает сессию asr спрашивает мол "дай мне логин пароль", пользователь "на", asr через radius (в нашем случаи cisco-avpair) спрашивает у билинга мол "логин пароль такой". При совпадении пароля и логина и положительного баланса на счету билинг разрешает поднять cisco сессию с приминением правил на ограничение скорости. И cisco поднимает соединение для пользователя.

Это вы расписали pppoe. Это и так понятно. Я про ipoe сессии спрашивал.

Share this post


Link to post
Share on other sites

Я про ipoe сессии спрашивал.

В теории, нет разницы между теорией и практикой. На практике разница есть.

 

В теории должно быть примерно также, только вместо логина/пароля передается MAC-адрес и опция 82.

Но на форуме есть немало тем, где сталкиваются с тем, что клиент не освобождает IP-адрес или не получает новый.

Все потому, что IPoE это не настоящая сессия, в ней нет механизмов контроля (которые в PPPoE есть с обеих сторон).

Share this post


Link to post
Share on other sites

Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше.

Хочу понять реализацию IPoE.

Share this post


Link to post
Share on other sites

Я про ipoe сессии спрашивал.

В теории, нет разницы между теорией и практикой. На практике разница есть.

 

В теории должно быть примерно также, только вместо логина/пароля передается MAC-адрес и опция 82.

Но на форуме есть немало тем, где сталкиваются с тем, что клиент не освобождает IP-адрес или не получает новый.

Все потому, что IPoE это не настоящая сессия, в ней нет механизмов контроля (которые в PPPoE есть с обеих сторон).

если криво сделали то и проблемы будут

я с 2007г на ipoe сижу проблем там нет года как три если не больше, софт под аср хорошо вылизали

по поводу не настоящей сессии, емнип там было что-то привязки пары входящего интерфейса и логина, механизмы контроля как таковые идентичные ppoe здесь на мой взгляд

просто не нужны

 

Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше.

Хочу понять реализацию IPoE.

 

ищите на циске доки по cisco ISG и почитайте презентации с ciscoexpo трех-пятилетней давности

Share this post


Link to post
Share on other sites

ищите на циске доки по cisco ISG и почитайте презентации с ciscoexpo трех-пятилетней давности

Это конечно фундаментальный, но слишком уж избыточный подход. Хотелось компактного примера.

Ладно, на хабре есть толковые статьи.

Share this post


Link to post
Share on other sites

У меня тут возник один вопрос.

Условие при использовании ipoe один vlan на пользователя это прямо из разряда "must have" или можно запихать в 1 (один) влан и всех пользователей?

Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше.

Хочу понять реализацию IPoE.

А я то как хочу :). Я немного сам не понимаю механизм до конца. Но думаю разберёмси :). Я буду отписываться понемногу в этой ветке по мере продвижения.

Edited by DruGoe_DeLo

Share this post


Link to post
Share on other sites

Народ. Прошу так сказать подсказки.

Сижу собираю тестовый стенд под всё это ISG и тут что-то мне кажется что cisco 3745 не умеет делать ipoe (хотя pppoe умеет на раз два три).

А эта единственная свободная cisco 7200 в бою и тестировать на ней нет возможности, asr и 7600 тоже боевые, кароче везде всё критично. Полистал сайт cisco пишут про модуль isg или хотябы про прошивку мол типа ветки SRC в общем, я подумал что не подъерживается в прошивки данные команды. Ок залил прошивку

c3745-adventerprisek9-mz.124-15.T14.bin

вроде как одну из последних там оказалось что есть половина нужных команд. А вот таких как class-map type traffic тютю...

В общем подскажите куда покопать или на 3745 это нельзя реализовать? А если можно и у вас допустим есть прошивочка или её название ;)

P.S. в общем как-то так жду ваших ответов

Edited by DruGoe_DeLo

Share this post


Link to post
Share on other sites

Вам надо сделать схему влан на клиента. На каждый влан вешаете DHCP сервера, которые выдают клиенту IP по запросу, тем самым сразу снимаете все привязки к макам. Время аренды адреса 5 минут, если клиент выключил комп, или сессия подвисла, или еще что, то через 5 минут все будет решено. Аналогично и смена устройства у абонента, 5 минут и устройство получает новый адрес.

 

Если циска так не умеет, поставьте перед ней микротик.

Share this post


Link to post
Share on other sites

Я буду отписываться понемногу в этой ветке по мере продвижения.

Буду очень блогадарен.

Share this post


Link to post
Share on other sites

И так как я и обещал отписываюсь о проделанной работе. Чуть ниже я отвечу с цитатами для выяснения всей картины.

В общем было пока решение отставить в сторону ipoe так как всё равно необходимого свободного оборудования нет, а задача состоит из нескольких пунктов. В общем стали крутить опцию82 на ideco версия 3.9.6 (далее просто ideco) (забегу сразу в перед да мы на 3 версии да мы не будем делать ап до 5 потому что в этой нам хотябы, известны все подводные камни переход на более новую от меня не зависит. По этому вопросы на эту тему прошу не задавать. Поехали дальше.)

И так собираем стенд.

Cisco 2950 (конечная пользовательская) и сама ideco.

На cisco делаем следующее

 

sw#(config)ip dhcp snooping vlan 10

sw#(cjyfig)ip dhcp snooping

 

ip dhcp snooping trust ###(вешаем на порт котороый смотрит в сторону нашего dhcp сервера)

 

таким образом мы говорим cisco включить функцию 82

как видно из картинки cisco посылает следующие поля серверу

 

116300.jpg

 

и никакого поля содержащее ip адрес этой cisco.

И так сама ideco не умеет распознавать эти поля. Точнее она их принимает и видит но когда в самой идеке мы вносим новое оборудование ввдоим его ip указываем количество портов. То в скриптах самой идеки создаётся условие, что мол если пользователь в таком влане, на таком порту cisco с таким ip и положительный баланс. Выдать ему IP из пула. Как видите cisco не посылает свой ip поэтому у вас не будет работать эта опция на ideco. Просто потому что вы не пройдёте условие с IP. Обнаружили мы это спустя почти 3 суток и то пока коллега не предложил посмотреть их код чтобы понять, что же мы делаем не так. В данный момент мы делаем небольшую заплаточку. И если вам будет интересно я вам всё расскажу и покажу :)

 

Вам надо сделать схему влан на клиента. На каждый влан вешаете DHCP сервера, которые выдают клиенту IP по запросу, тем самым сразу снимаете все привязки к макам. Время аренды адреса 5 минут, если клиент выключил комп, или сессия подвисла, или еще что, то через 5 минут все будет решено. Аналогично и смена устройства у абонента, 5 минут и устройство получает новый адрес.

 

Если циска так не умеет, поставьте перед ней микротик.

 

К сожалению вариант vlan на пользователя мы отмели сразу при построении сети. Точные причины не могу сказать так как не помню. Микротик в нашу сеть мы не планируем ставить у нас политика. Как можно меньше разных вендоров в нашей сети. У нас в сети было много rubytech и adgecore. К сожалению последние показали себя не с очень хорошей стороны.(никаких личных претензий к этим вендорам не испытываем rybitech показали себя с очень крутой стороны они очень нравятся, но вот цена. AdgeCore имеют не плохой функционал и для небольших сетей очень хорошо подходят, но сдружить их с другим оборудованием бывало очень тяжко, и бывают не редкие зависоны портов что порой просто доставляет. Но повторюсь неприязни или отвращения к ним не испытываем просто приняли такое решение). В данный момент мы полностью стараемся перевести всех абонентов на cisco(по моему даже уже перевели). За ответ и совет спасибо он всегда будет на заметке как один из запасных вариантов. Ну и другим читателям тоже будет интересно.

 

P.S. как что станет известно ещё я обязательно здесь буду отписываться. Желаю удачи.

P.p.S.s кстати с использованием функции 82 нам не обязательно привязываться к мак адресу устройства обонента. Что очень хорошо и гибко в дальнейшем.

Share this post


Link to post
Share on other sites

И так собственно говоря настало время для небольшого отчёта как я и обещал. Прошу прощения что так долго не появлялся. Но пока, то попробуем, пока то пока это, пока тут покопаем, проходит не мало времени. И все же. Насчет IPOE ничего нового пока сказать не могу, потому что нет оборудования где бы это пощупать. Поэтому было принято решение пока оставить этот момент и покопаться во второй половинке вопроса а именно dhcp и опция82. С опцией 82 как я уже чуть выше писал мы разобрались. И мы решили попробовать разные схемы шейпинга точнее одну применяя cisco sce (у нас 2020).

После долгого и утомительного чтения мануалов разглядывания всяких схем, вроде как поняли что нам нужен SM (subscriber manager) сервер (точнее база данных). Ок обратился я в helpdesk, спасибо большое ребятам поделились ссылками. Скачал, нарыл в интернете мануал вот ТУТ. В принципе сложностей не возникло. С помощью BB console к немы подцепились. И... О БОЖЕ НЕТ! это просто тупо ещё одна бд :( которая управляет пользователями (в терминологии sce подписчиками) и с помощью !!!скриптов!!! они управляют подписчиками. То есть о централизации нашего биллинга можно уже позабыть, потому что надо контролировать всё в 2 окошках вместо одного. Согласитесь ставить сервер который будет управлять скриптами SCE-ой ( а нам нужно то всего 3-4 команды этого севера) как то... в общем нафиг нам ещё один сервер. Не долго думая решили написать если что свой sm (который будет крутиться на каком нибудь уже боевом серваке).

Если вам интересно я опишу как что всё делать более подробно с примерами если вам будет интересно пока же я не заостряю внимание на этом.

В итоге sce режит скорость изумительно, настройки довольно просты и очевидны. А то что можно очень тонко настраивать всякие штучки типа скорость: торентов, voip и делается это всё лениво мышкой я говорить не буду :).

Решив проблему шейпинга мы перешли к другому вопросу. А точнее к нашему любимому зубодробительному "А что если..."

Вот мы раздаём ip по DHCP у нас в сети настроены все защиты от второстепенных dhcp запросов в общем всё круто.

И тут появляется "А что если..."

А что если в сети есть любопытные люди. А они точно есть. Он подумает и решит вместо DHCP написать Ip ручками. Слава богу если он напишет свой IP хотя это тоже чревато при использовании динамического dhcp, но пофиг пусть пока будет статическое. Вот написал он IP например не себя а соседа. Ок сосед в отпуске, он в курсе, а что если не в отпуске? Бабах у нас конфликт IP и яростный абонент на проводе. А что если этот любопытный будет перебирать все IP нашей сети, которые кстати можно посмотреть в ripe.net инфа то открытая. Как такому любопытному... в общем как обезопасить себя от его действий мы пока особо не придумали. Я был бы рад выслушать ваше мнение и предложения по этому поводу.

Момент, когда и абонента отрицательный баланс, он просо перебрасывается в гостевой влан.

P.S. Пишите не стесняйтесь и с праздничками вас всех как прошедшими так и наступающими.

Share this post


Link to post
Share on other sites

Вот для этого и есть dhcp-snooping, port-isolation и PVLAN.

Либо CVLAN (VLAN на клиента), как глобальное решение всех подобных проблем.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this