DruGoe_DeLo Опубликовано 16 апреля, 2015 · Жалоба Приветствую вас коллеги. У нас есть билинг ideco а также есть cisco такие как asr 7600 и прочие фкусности. В данный момент у нас всё работает и всё авторизуется через pppoe. В общем подумываю над возможностью перейти на схему, чтобы пользователь вообще не очём не думал а знал только куда платить деньги. Короче говоря отказаться от pppoe и сделать авторизацию например по IP (аля function82). И вот тут встал вопрос. А как ограничить скорость для пользователей? В данный момент asr терминирует сессии и уже там на них навешивается скорость. А как сделать что-то похожее если будем выдавать по dhcp белые IP я что-то ума не приложу(чтобы не терять белые IP). Есть конечно вариант перейти на 2 тарифа 10 и 100 мегабит и рубить физически это дело она порту... но а вдруг кому не нужна такая скорость а нужно например 2 мегабита (например юрики). Вот собственно говоря и хочу спросить у коллег если есть у кого опыт может такого дела? Или мысли какие высказывайтесь я с удовольствием почитаю. P.S. да выход в интернет хотелось бы осуществлять через asr (чтобы она резала скорости пользователям) а не через ideco(потому что это просто и тогда я бы тут не отписывался). Спасибо за ваше внимание. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 апреля, 2015 · Жалоба DruGoe_DeLo, asr умеет терминировать ipoe сессии и умеет nat, так что проблем быть не должно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 16 апреля, 2015 · Жалоба DruGoe_DeLo, asr умеет терминировать ipoe сессии и умеет nat, так что проблем быть не должно. nat это да, но он не нужен. Кстати а про ipoe я то совсем и забыл... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 апреля, 2015 · Жалоба DruGoe_DeLo, так вы же сами написали что не хотите терять белые ip. или это в каком смысле было? В любом случае, без nat-а ещё всё проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 16 апреля, 2015 (изменено) · Жалоба DruGoe_DeLo, так вы же сами написали что не хотите терять белые ip. или это в каком смысле было? В любом случае, без nat-а ещё всё проще. Я имел виду что не надо делать маленькие под сети. чтобы ограничить скорость. В общем я пока одни только грабельки замечаю в этом ipoe. это то что надо авторизововаться по IP (посылать командочки cisco-avpair) и тогда получается что у нас каждый белый ip будет привязываться к пользователю хотя с другой стороны можно опробывать и по маку привязывать. Хммм... в очередной раз убеждаюсь что на этом форуме за пару минут можно "осениться" на интересные мысли. Я пока тему не буду закрывать, буду собирать инфу по этому вопросу и думаю что на след недельки в тесте собиру прототип. В любом случаи, отпишусь и выложу скрипты что и как было сделано в этом плане. P.S. Но вы дорогие читатели можете также дополнять эту тему своими мыслями, а то глядишь и готовыми решениями :D Изменено 16 апреля, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 16 апреля, 2015 · Жалоба А почему от PPPoE отказываетесь? В IPoE сессии все же не настоящие и их отслеживать будет труднее. Могут подвиснуть, когда BRAS решит, что сессия прервалась, а клиент этого не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 апреля, 2015 · Жалоба asr умеет терминировать ipoe сессии Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 16 апреля, 2015 (изменено) · Жалоба А почему от PPPoE отказываетесь? В IPoE сессии все же не настоящие и их отслеживать будет труднее. Могут подвиснуть, когда BRAS решит, что сессия прервалась, а клиент этого не понял. Нет pppoe тоже всем хороша, кстати сессии там тоже подвисают но для этого у нас есть самопальный скриптик который их подчищает. Сваять похожий для ipoe не составит труда. Ну на нашем обсуждении мы пришли к следующему выводу. 1. Пользователи довольно часто забывают свои пароли. 2. Для клиентов звонки бесплатные, но не для нас :) 3. Использую pppoe мы делаем себя немного привязанными к данной стизе. 4. Часто юрики просят статику. (с одной стороны это удобно и им и нам... хотя нам то вообще должно быть по барабану но мы боримся за наших клиентов) 5. И наверное самое увесистое. Захотели мы кое что внедрить в нашу сеть. аля мего устройство и всем оно нас устраивает и для пользователей сладким получается, а эта зараза работает только по статике, pppoe она не умеет(аналогичные не умеют то что нужно нам, хотя есть pppoe. Разрабы вродебы не против сделать поддержку pppoe, но и не горят особым желанием). И тут задались вопросом мы. И вот поприкидывали подумали, а почему бы и нет. По крайне мере стоит попробовать. P.S. в ipoe тоже есть свои нюансы. Сменил пользователь комп/сетевушку и вуаля интернета нет. Но думаю что эту штуку можно привязать через функцию 82 чтобы пользователи особо прыткие не подсматривали чужие маки в сети :). Изменено 16 апреля, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 апреля, 2015 · Жалоба Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco? да там разные варианты есть, есть l2 connected, есть вариант с routed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 16 апреля, 2015 · Жалоба asr умеет терминировать ipoe сессии Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco? Нет. Используем 1 vlan на дом (нам так просто удобнее) пользователь поднимает сессию asr спрашивает мол "дай мне логин пароль", пользователь "на", asr через radius (в нашем случаи cisco-avpair) спрашивает у билинга мол "логин пароль такой". При совпадении пароля и логина и положительного баланса на счету билинг разрешает поднять cisco сессию с приминением правил на ограничение скорости. И cisco поднимает соединение для пользователя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 17 апреля, 2015 · Жалоба asr умеет терминировать ipoe сессии Имеется ввиду схема влан-на-юзера, когда все вланы прокидываются и терминируются на cisco? Нет. Используем 1 vlan на дом (нам так просто удобнее) пользователь поднимает сессию asr спрашивает мол "дай мне логин пароль", пользователь "на", asr через radius (в нашем случаи cisco-avpair) спрашивает у билинга мол "логин пароль такой". При совпадении пароля и логина и положительного баланса на счету билинг разрешает поднять cisco сессию с приминением правил на ограничение скорости. И cisco поднимает соединение для пользователя. Это вы расписали pppoe. Это и так понятно. Я про ipoe сессии спрашивал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2015 · Жалоба Я про ipoe сессии спрашивал. В теории, нет разницы между теорией и практикой. На практике разница есть. В теории должно быть примерно также, только вместо логина/пароля передается MAC-адрес и опция 82. Но на форуме есть немало тем, где сталкиваются с тем, что клиент не освобождает IP-адрес или не получает новый. Все потому, что IPoE это не настоящая сессия, в ней нет механизмов контроля (которые в PPPoE есть с обеих сторон). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 17 апреля, 2015 · Жалоба Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше. Хочу понять реализацию IPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 17 апреля, 2015 · Жалоба Я про ipoe сессии спрашивал. В теории, нет разницы между теорией и практикой. На практике разница есть. В теории должно быть примерно также, только вместо логина/пароля передается MAC-адрес и опция 82. Но на форуме есть немало тем, где сталкиваются с тем, что клиент не освобождает IP-адрес или не получает новый. Все потому, что IPoE это не настоящая сессия, в ней нет механизмов контроля (которые в PPPoE есть с обеих сторон). если криво сделали то и проблемы будут я с 2007г на ipoe сижу проблем там нет года как три если не больше, софт под аср хорошо вылизали по поводу не настоящей сессии, емнип там было что-то привязки пары входящего интерфейса и логина, механизмы контроля как таковые идентичные ppoe здесь на мой взгляд просто не нужны Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше. Хочу понять реализацию IPoE. ищите на циске доки по cisco ISG и почитайте презентации с ciscoexpo трех-пятилетней давности Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 апреля, 2015 · Жалоба ищите на циске доки по cisco ISG и почитайте презентации с ciscoexpo трех-пятилетней давности Это конечно фундаментальный, но слишком уж избыточный подход. Хотелось компактного примера. Ладно, на хабре есть толковые статьи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 21 апреля, 2015 (изменено) · Жалоба У меня тут возник один вопрос. Условие при использовании ipoe один vlan на пользователя это прямо из разряда "must have" или можно запихать в 1 (один) влан и всех пользователей? Да я не против PPPoE, сам его использую примерно так, как описано парой постов выше. Хочу понять реализацию IPoE. А я то как хочу :). Я немного сам не понимаю механизм до конца. Но думаю разберёмси :). Я буду отписываться понемногу в этой ветке по мере продвижения. Изменено 21 апреля, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 23 апреля, 2015 (изменено) · Жалоба Народ. Прошу так сказать подсказки. Сижу собираю тестовый стенд под всё это ISG и тут что-то мне кажется что cisco 3745 не умеет делать ipoe (хотя pppoe умеет на раз два три). А эта единственная свободная cisco 7200 в бою и тестировать на ней нет возможности, asr и 7600 тоже боевые, кароче везде всё критично. Полистал сайт cisco пишут про модуль isg или хотябы про прошивку мол типа ветки SRC в общем, я подумал что не подъерживается в прошивки данные команды. Ок залил прошивку c3745-adventerprisek9-mz.124-15.T14.bin вроде как одну из последних там оказалось что есть половина нужных команд. А вот таких как class-map type traffic тютю... В общем подскажите куда покопать или на 3745 это нельзя реализовать? А если можно и у вас допустим есть прошивочка или её название ;) P.S. в общем как-то так жду ваших ответов Изменено 23 апреля, 2015 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 апреля, 2015 · Жалоба В названии прошивки должна быть буква i. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 23 апреля, 2015 · Жалоба c3745-adventerprisek9_ivs-mz.124-15.T14.bin типа вот она? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 23 апреля, 2015 · Жалоба и чо-то никак... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 апреля, 2015 · Жалоба Вам надо сделать схему влан на клиента. На каждый влан вешаете DHCP сервера, которые выдают клиенту IP по запросу, тем самым сразу снимаете все привязки к макам. Время аренды адреса 5 минут, если клиент выключил комп, или сессия подвисла, или еще что, то через 5 минут все будет решено. Аналогично и смена устройства у абонента, 5 минут и устройство получает новый адрес. Если циска так не умеет, поставьте перед ней микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 23 апреля, 2015 · Жалоба Я буду отписываться понемногу в этой ветке по мере продвижения. Буду очень блогадарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 28 апреля, 2015 · Жалоба И так как я и обещал отписываюсь о проделанной работе. Чуть ниже я отвечу с цитатами для выяснения всей картины. В общем было пока решение отставить в сторону ipoe так как всё равно необходимого свободного оборудования нет, а задача состоит из нескольких пунктов. В общем стали крутить опцию82 на ideco версия 3.9.6 (далее просто ideco) (забегу сразу в перед да мы на 3 версии да мы не будем делать ап до 5 потому что в этой нам хотябы, известны все подводные камни переход на более новую от меня не зависит. По этому вопросы на эту тему прошу не задавать. Поехали дальше.) И так собираем стенд. Cisco 2950 (конечная пользовательская) и сама ideco. На cisco делаем следующее sw#(config)ip dhcp snooping vlan 10 sw#(cjyfig)ip dhcp snooping ip dhcp snooping trust ###(вешаем на порт котороый смотрит в сторону нашего dhcp сервера) таким образом мы говорим cisco включить функцию 82 как видно из картинки cisco посылает следующие поля серверу и никакого поля содержащее ip адрес этой cisco. И так сама ideco не умеет распознавать эти поля. Точнее она их принимает и видит но когда в самой идеке мы вносим новое оборудование ввдоим его ip указываем количество портов. То в скриптах самой идеки создаётся условие, что мол если пользователь в таком влане, на таком порту cisco с таким ip и положительный баланс. Выдать ему IP из пула. Как видите cisco не посылает свой ip поэтому у вас не будет работать эта опция на ideco. Просто потому что вы не пройдёте условие с IP. Обнаружили мы это спустя почти 3 суток и то пока коллега не предложил посмотреть их код чтобы понять, что же мы делаем не так. В данный момент мы делаем небольшую заплаточку. И если вам будет интересно я вам всё расскажу и покажу :) Вам надо сделать схему влан на клиента. На каждый влан вешаете DHCP сервера, которые выдают клиенту IP по запросу, тем самым сразу снимаете все привязки к макам. Время аренды адреса 5 минут, если клиент выключил комп, или сессия подвисла, или еще что, то через 5 минут все будет решено. Аналогично и смена устройства у абонента, 5 минут и устройство получает новый адрес. Если циска так не умеет, поставьте перед ней микротик. К сожалению вариант vlan на пользователя мы отмели сразу при построении сети. Точные причины не могу сказать так как не помню. Микротик в нашу сеть мы не планируем ставить у нас политика. Как можно меньше разных вендоров в нашей сети. У нас в сети было много rubytech и adgecore. К сожалению последние показали себя не с очень хорошей стороны.(никаких личных претензий к этим вендорам не испытываем rybitech показали себя с очень крутой стороны они очень нравятся, но вот цена. AdgeCore имеют не плохой функционал и для небольших сетей очень хорошо подходят, но сдружить их с другим оборудованием бывало очень тяжко, и бывают не редкие зависоны портов что порой просто доставляет. Но повторюсь неприязни или отвращения к ним не испытываем просто приняли такое решение). В данный момент мы полностью стараемся перевести всех абонентов на cisco(по моему даже уже перевели). За ответ и совет спасибо он всегда будет на заметке как один из запасных вариантов. Ну и другим читателям тоже будет интересно. P.S. как что станет известно ещё я обязательно здесь буду отписываться. Желаю удачи. P.p.S.s кстати с использованием функции 82 нам не обязательно привязываться к мак адресу устройства обонента. Что очень хорошо и гибко в дальнейшем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 8 мая, 2015 · Жалоба И так собственно говоря настало время для небольшого отчёта как я и обещал. Прошу прощения что так долго не появлялся. Но пока, то попробуем, пока то пока это, пока тут покопаем, проходит не мало времени. И все же. Насчет IPOE ничего нового пока сказать не могу, потому что нет оборудования где бы это пощупать. Поэтому было принято решение пока оставить этот момент и покопаться во второй половинке вопроса а именно dhcp и опция82. С опцией 82 как я уже чуть выше писал мы разобрались. И мы решили попробовать разные схемы шейпинга точнее одну применяя cisco sce (у нас 2020). После долгого и утомительного чтения мануалов разглядывания всяких схем, вроде как поняли что нам нужен SM (subscriber manager) сервер (точнее база данных). Ок обратился я в helpdesk, спасибо большое ребятам поделились ссылками. Скачал, нарыл в интернете мануал вот ТУТ. В принципе сложностей не возникло. С помощью BB console к немы подцепились. И... О БОЖЕ НЕТ! это просто тупо ещё одна бд :( которая управляет пользователями (в терминологии sce подписчиками) и с помощью !!!скриптов!!! они управляют подписчиками. То есть о централизации нашего биллинга можно уже позабыть, потому что надо контролировать всё в 2 окошках вместо одного. Согласитесь ставить сервер который будет управлять скриптами SCE-ой ( а нам нужно то всего 3-4 команды этого севера) как то... в общем нафиг нам ещё один сервер. Не долго думая решили написать если что свой sm (который будет крутиться на каком нибудь уже боевом серваке). Если вам интересно я опишу как что всё делать более подробно с примерами если вам будет интересно пока же я не заостряю внимание на этом. В итоге sce режит скорость изумительно, настройки довольно просты и очевидны. А то что можно очень тонко настраивать всякие штучки типа скорость: торентов, voip и делается это всё лениво мышкой я говорить не буду :). Решив проблему шейпинга мы перешли к другому вопросу. А точнее к нашему любимому зубодробительному "А что если..." Вот мы раздаём ip по DHCP у нас в сети настроены все защиты от второстепенных dhcp запросов в общем всё круто. И тут появляется "А что если..." А что если в сети есть любопытные люди. А они точно есть. Он подумает и решит вместо DHCP написать Ip ручками. Слава богу если он напишет свой IP хотя это тоже чревато при использовании динамического dhcp, но пофиг пусть пока будет статическое. Вот написал он IP например не себя а соседа. Ок сосед в отпуске, он в курсе, а что если не в отпуске? Бабах у нас конфликт IP и яростный абонент на проводе. А что если этот любопытный будет перебирать все IP нашей сети, которые кстати можно посмотреть в ripe.net инфа то открытая. Как такому любопытному... в общем как обезопасить себя от его действий мы пока особо не придумали. Я был бы рад выслушать ваше мнение и предложения по этому поводу. Момент, когда и абонента отрицательный баланс, он просо перебрасывается в гостевой влан. P.S. Пишите не стесняйтесь и с праздничками вас всех как прошедшими так и наступающими. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 8 мая, 2015 · Жалоба Вот для этого и есть dhcp-snooping, port-isolation и PVLAN. Либо CVLAN (VLAN на клиента), как глобальное решение всех подобных проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...