[gorbva]

Японская мудрость гласит: "Что нельзя запретить - нужно разрешить".

Подумай как извлечь из этого анлима выгоду...

Например как в старом анекдоте...

... Сидят двое нищих в аэропорту Бен Гурион в Израиле, милостыню просят.

У одного табличка - "Подайте бедному евреею", у другого - "Подайте несчастному арабу". У араба шляпа полна монет, да и купюры по-солидней тоже. У еврея же пара монет всего лежит.

Один из прохожих, кидает монетку арабу, а еврею говорит "Ты бы табличку-то сменил, напиши тоже, "подайте бедному арабу"". Когда прохожий ушел, еврей поворочивается к арабу и говорит - "Изя ! и этот жлоб нас еще будет учить коммегции ...."

[Гость]

У меня в сети появились юзеры, которые покупают анлим в складчину и пользуются "один днём, другой ночью"...

У кого похожие проблемы?

Есть идеи, как бороться?

Авторизация - PPTP, внутренние адреса по DHCP.

заплатил - и пользуется ... в чем проблема то?

не нравится - внеси пункт в договор и на его основании карай.

[ng]

offtop:

_izuware_,

угу, только количество зубов у меня ограничено :(

[G.Y.S.]

"покупка "анлима" в складчину"

a) Если вы имеете ввиду поверх собственной сети, то проблемма решается:

установкой абон платы для всех клиентов (не 3-4 бакса как делают некоторые, а баков 15 - как делает стрим =). Тогда покупать анлим в складчину становиться просто бесполезно.

б) если через какую-либо другую сеть то никак.

----

По поводу спора что лучше pppoe или ip:

тут приводились 2 везких аргумента чем плох ip:

1. чаше случайная (реже умышленная) смена ip адреса на ip другого юзера или ip шлюза. Да: ищется, лечиться. Но надо искать и лечить. При том часто.

2. настройки. очень много звонков в саппорт из-за настроек ip (новый комп, новая ос...)

Хорош ip только тем что с ним проче проводить диагностику. Командой пинг.

Теперь о мнимых минусах pppoe:

1. Низкая скорость. У нас средняя скорость 15мбит (2-2,2 метра в секунду). Имхо 15 мбит на 1 юзера - это более чем..

2. Дорого. 1 шт 3662 потянет сегмент в 500-800 юзеров слихвой (без шифрования есс-но). И будет уверенно роутить на 60-80Мбитах. Кроме того можно обойтись пс роутерами. Их тут не любят, поэтому оставим.

3. юзер ставит свой vpn концентратор (100% умышленно). Чрезвычайно редкий случай. Ищется, лечиться+наказываем.

4. друдно проводить диагностику. Без управляемых железок - да. Но если совмещать: ip-для диагностики+внутрянки мимо роутера, pppoe - для инета и платной! части внутрянки. То проблемма отпадает.

Видим что минусов практически нет.

О плюсах тут уже говорили. Дополню, то что при использовании pppoe, имхо НЕТ жесткой необходимости ставить упр железки и уж тем более настраивать и мониторить их, собирать маки и прочую чепуху. Конечно они не помешают. Но всеже.

---

 

2 ng - ты написал, что у вас ip выдает dhcp. А на левые dhcp часто натыкаетесь ?

[Skylaer]

G.Y.S., поддерживаю.

 

pppoe очень удобен тем, что пользователь "я нажал кнопку, вышел в инет, нажал - ушел".

И никаких проблем с учетом

[ng]

G.Y.S.,

ты написал, что у вас ip выдает dhcp. А на левые dhcp часто натыкаетесь ?

За полтора года один раз было. Но у нас DHCP только в пределах сдания, в дом. сетях не советую - когда все провода сходятся в одну стойку искать нарушителя гораздо проще.

 

По поводу настройки PPTP или PPoE - склоняюсь (будет время - сделаю) к тому, чтобы каждому пользователю выдавать CD с автораном с двумя большими кнопками "Настроить сеть" и "Инструкция по эксплуатации". При нажатии на первую в свежеустановленной винде должно появляться соединение, клиенты ко всем серверам, пара-тройка ярлычков на рабочем столе, десяток закладок в браузере и сайт сети в качестве дом. страницы.

[ng]

По поводу абонентки в 15 баксов - у нас анлим стоит шесть.

[Fog]

есть мысль по обнаружению. независимо от платформы в большинстве броузеров есть исполнения на джаве. так вот в прокси в редиректор вместо ссылки на банер .js подсовываем свой. джава скрипт исполняется на стороне клиента и собирает инфу о компе (разрешение, кол-во цветов, ОС и еще что можно), сажает/проверяет кукис. я в джаве несилен и информации конечно немного, у большинства будет 1024х768х32 . но в купе с другими методами (например ТТЛ будет меньше чем надо или студент круглосуточно лазит по сайтам) можно будет хотябы косвенно догадатся о наличии расшаривания.

И вопрос еще. можно ли с помощью squid изменять текст в html , тоесть подредактировать на лету страничку (вырезать банеры например, как это делает оутпост фиревалл)

[AlexPan]

to G.Y.S.

 

2. Дорого. 1 шт 3662 потянет сегмент в 500-800 юзеров слихвой (без шифрования есс-но). И будет уверенно роутить на 60-80Мбитах.

 

Это теория или вы практически такое пробовали? У всех роутеров Cisco есть одна засада. Они очень быстро умеют делать роутинг через матрицу. Т.е. практически L3 свитчинг. А все что требует процессора, работает плохо или очень плохо!!! Туннели как раз требуют процессора! Так что я думаю, что ваше утверждение из теоретической области. Мы недавно закончили секс с 7508, так что я знаю о чем говорю...

[UglyAdmin]

Если в туннеле не используется шифрование, то он тоже работает через CEF.

[AlexPan]

Фигу! После начала использования gre загрузка проца уходит в аут... Как с вашей точки зрения в матрице должна происходить инкапсуляция? Т.е. сам роутинг до инкапсуляции вполе вероятно идет через CEF...

[ng]

Fog,

есть мысль по обнаружению. независимо от платформы в большинстве броузеров есть исполнения на джаве. так вот в прокси в редиректор вместо ссылки на банер .js подсовываем свой. джава скрипт

А вот это уже ИДЕЯ!!!

Достаточно одного запроса к "своему" скрипту, чтобы определить:

1. наличие поля X-Forwarded-For (100% прокси), причём кем "Forwarded" и для кого "Forwarded" :)

2. юзерагент (использовать нельзя, ибо на одном компе может быть несколько) :(

Правда решение гарантию 100% не даёт

И вопрос еще. можно ли с помощью squid изменять текст в html , тоесть подредактировать на лету страничку (вырезать банеры например, как это делает оутпост фиревалл)

Только через редиректор + внешний CGI

[UglyAdmin]

Фигу! После начала использования gre загрузка проца уходит в аут...

Возможно я излишне обобщил, но PPPoE особо загрузку процессора не увеличивает по сравнению с чистым IP. По крайней мере я на 3640 не заметил.

 

О какой железке речь?

 

Как с вашей точки зрения в матрице должна происходить инкапсуляция? Т.е. сам роутинг до инкапсуляции вполе вероятно идет через CEF...

Матрицы бывают разные, даже вполне себе сложные, это Вам не матрица коммутации в свитче. На Альтерах даже процессоры делают, причём весьма шустрые, а уж специализированный процессор можно сделать...

[AlexPan]

to UglyAdmin,

 

Пробовали и так и сяк. Загрузка вырастала катастрофически. Это установленный факт! Если вы пробовали и у вас все работало, готов с вами пообщаться по email. Если вы не пробовали, но считаете, что все должно работать хорошо, то предлагаю эту тему закрыть. У меня есть человек из Цискосистемс, который меня задрал великостью их оборудования. Но практика теорию не подтверждает!!!

[Nag]

Это теория или вы практически такое пробовали? У всех роутеров Cisco есть одна засада. Они очень быстро умеют делать роутинг через матрицу. Т.е. практически L3 свитчинг. А все что требует процессора, работает плохо или очень плохо!!!

 

Если бы только Сиска... ;-) Все "железячные" решения заточены под интерпрайз (дешевые железячные конечно).

Нету в интерпрайзе РРР. И не будет.

 

Писюки для РРР, причем мощные, с охрненными процессорами...

И парочку - так как с одним надежность системы недостаточна.

Так ведь у тебя все устроено? ;-)

 

ЗЫ. А еще спрашивали, чем мне туннели не нравятся...

Не идеологично! Во!. :-)

[Гость]

2ng и Fog

да идея хорошая,

но если группа людей хочет брать анлим вскладчину и вы их таким образом "накроете", то они будут брать его у другого оператора, который (возможно) на это будет закрывать глаза.

Отсюда вывод - зачем такой гимморой, ведь можно просто самому расстаться с клиентом который выгребает гигитские обьемы

[Гость]

забыл подписаться: G.Y.S.

[UglyAdmin]

to UglyAdmin,

Если вы пробовали и у вас все работало, готов с вами пообщаться по email.

Работает, да только нагрузки особой нет: 2-3 мегабита это не нагрузка для 3640, и на ней разницы между IP и PPPoE не вижу.

[ng]

Гость,

В моём случае - другого оператора нету... вообще (разве что в лице GPRS)...

Мало того - больше желающих предложить анлимитед 50-80 Кбит/с за 200 руб/мес не наблюдается во всём городе.

[G.Y.S.]

UglyAdmin, это с модулем VPN ?

[UglyAdmin]

UglyAdmin, это с модулем VPN ?

Нет, 3640 с модулем NM-2FE2W. Шифрование не применяется.

2-3 мегабита разнородного трафика, сколько из них PPPoE - сложно сказать. Предполагаю, что около половины. Загрузка процессора 15%. Когда аналогичная циска стояла на чистом IP (граничный рутер с BGP) - загрузка была примерно такая же. Что самое интересное - 2650 на чистом IP загружается меньше.

По загрузке из процессов на первом месте IP Input, далее ARP, потом RIP, остальное - несущественно. Около 30 PPPoE сессий.

[Nag]

Нет, 3640 с модулем NM-2FE2W. Шифрование не применяется.

2-3 мегабита разнородного трафика, сколько из них PPPoE - сложно сказать. Предполагаю, что около половины. Загрузка процессора 15%. Когда аналогичная циска стояла на чистом IP (граничный рутер с BGP) - загрузка была примерно такая же. Что самое интересное - 2650 на чистом IP загружается меньше.

По загрузке из процессов на первом месте IP Input, далее ARP, потом RIP, остальное - несущественно. Около 30 PPPoE сессий.

 

Просто 2-3 мегабита сложно считать заметной нагрузкой для 3640. ;-)

что с РРРоЕ, что без... Ну сменится 15% на 12% - кто заметит?

Попровуйте на ней затерминировать мегабит 80...

[G.Y.S.]

ну не справиться 3640,

3660 - точно справиться там проц мощнее в разы!

 

хотя конечно нужно проверять в боевых условиях