[Nag]

to Nag

По ссылке ничего подобающего не нашел... А проблемы Стрима не в PPPoE, а в генетике... :))

 

Что-то быстро, там 1000 с чем-то страниц. ;-)

 

Когда все с IP в порядке, то найти не сложно. Вот когда не в порядке, то сложно. Не весь трафик идет через точку, где можно сниффер включить.

Как не весь? Если это вилан на дом - то мимо снифера - только трафик внутри этого дома, 1, реже 2-3 коммутаторов. Вообще, очень сложно придумать серьезную проблему на таком уровне. А если что-то есть аномального - можно и замиррорить по идее, на сниффер.

Однако, прошу огласить весь список возможных проблем с IP...

 

А чем плох немаршрутизиремый ethernet? Результат намного надежнее применения PC-роутеров... В чем заключаются затраты на терминацию я вообще не понял... Стоимость сервера доступа или увеличение трафика при инкапсуляции?

Езернет хорош. ;-) ПР-роутеры вообще вредительство.

Но не везде можно его использовать...

Затраты на терминацию - да, стоимость сервера доступа.

На гигабитных скоростях это серьезная проблема. Вы с ней не сталкиваетесь - так как внутренний трафик не считаете. :-)

 

Точно! Так вот ethernet проще ip и надежнее!!! Для PPPoE настроки на компе клиента вообще не нужны, все настраивается с сервера при установлении соединения.

 

Хм. Сравниваем.

Ethernet->IP

Ethernet->PPP->IP

:-)

[Nag]

Nag

 

А немаршрутизируемо - так vlan рулит :)

А общий трафик - на порту :) считать. и вычитать оттуда интернет :)

 

Т.е. езернетный трафик, а не IP?

Видел такое решение. Хорошо люди на внутрянке зарабатывают...

Но это по сути 2 биллинга.

 

Терминация - 1-2 у.е. на клиента. Скорость - до 4Мбит/сек тянет :)

Что еще?

По мне так локалка отдельно, инет отдельно, юрлица совсем отдельно.

 

4 мегабита тянет... Да, вот это и есть одна из проблем РРР. ;-)

 

Хотя есть проблема у простого IP то же.

Это воровство трафика при "врезке" в абонентский кабель.

Правда за это можно уже ловить, и если не садить, то бо-бо делать ОЧЕНЬ серьезное. И - вполне законно.

[Nag]

Объясните, если везде стоят управляемые коммутаторы, на кой черт 802.1x?

 

Для простоты разворачивания схемы "купил в киоске карту -- получил доступ в Сеть". Или вообще "есть какая-то карта -- хочу в сеть".

 

Хм. Там есть кучка граблей, и довольно нехилая.

Прежде чем на нее надеяться - испытайте обязательно.

[Skylaer]

Nag, ну сам видишь :)

 

А байтики - они и в африке байтики :)

но дешевые :) Локальные :)

 

А в такой схеме один биллинг: просто один коллектор собирает данные с радиуса от серверов доступа в интернет.

А второй - с клиентских портов.

 

Вот и все.

[AlexPan]

to Nag,

 

Не знаю как на гигабитных, но на 100 Mbps все работает... Внутренний трафик мы в PPPoE не пускаем, так что никаких проблем... По твоей ссылке действительно куча страниц, но вот проблем с PPPoE я не обнаружил...

 

вопрос по поводу управления рррое:

а как возможно отключить рррое??

 

Поднал PPPoE на FreeBSD 4.3.

конект проходит нормально и соединение устанавливается. Но почему-то рвется каждые 3 минуты. Кто модет чем помочь.

 

Вот такого плана проблемы! Почитать man слишком сложно, надо сразу в форумы лезть... Может из той самой 1000 процитируешь парочку проблем в PPPoE?

 

Теперь по IP... Самая простая проблема - настройка компьютера клиента. Можно конечно dhcp, но его слишком просто накернить вторым dhcp. Для делающих порезвиться могу предложить перепутать интерфейс, к которому подключается внутреннаяя сеточка клиента и интернет сеть. Не передаваемый результат... Там тебе и dhcp и RDP... Хотя конечно это можно отслеживать, что мы и делаем...

 

Основная проблема не в этом... Чем хорош PPPoE? Там все в одном месте! Настроил сервер и тебя все напряги IP уже не интересуют...

[olebedev]

Даже в случае полностью управляемой сети рекомендуется смотреть в сторону 802.1х потому, как это сейчас Вам кажется, что врезаться в кабель клиента это проблема, завтра обязательно появятся пионеры, которые поставят хаб на линк клиента и с удовольствием будут пользоваться его инетом в ночное или вечернее время, а с ростом сети вероятность заполучить таких пионеров будет все больше и больше. Поэтому рекомендую 802.1х который кстати среди прочих прелестей еще и трафик посчитает (L2, но тоже приятно).

 

ЗЫ Кстати в природе есть железки, которые могут работать с 802.1х по MAC'у (до 1024 клиентов на порт).

[Nag]

to Nag,

 

Не знаю как на гигабитных, но на 100 Mbps все работает... Внутренний трафик мы в PPPoE не пускаем, так что никаких проблем...

 

Так на внешний канал у вас и 100 мегабит нет - так, мегабит 20 в лучшем случае, правильно? Когда нужно подсчитать внутрянку - все оборачивается несколько другим боком. ;-)

Вроде тут в форуме кто-то недавно говорил что для терминирования трафика с внутрянкой (правда PPtP) нужно ставить по 7206G1 на 1-2 тысячи пользоватеелй. Недешевое удовольствие.

 

Теперь по IP... Самая простая проблема - настройка компьютера клиента.

 

Прописать в 3-х местах статический адрес, неужели это сложнее, чем настроить PPP? ;-) Мурзилка для детей-идитов умещается на 1 лист.

Если на это ума у клиента не хватит - так и эксплорером пользоваться не сможет.

Вон, Стрим "отдал" настройку модемов пользователям. И ничего, сколько там тысяч за месц справились?

 

Основная проблема не в этом... Чем хорош PPPoE? Там все в одном месте! Настроил сервер и тебя все напряги IP уже не интересуют...

 

Ну не все. ;-) А потом - напряги убывают в одном месте, но прибывают в другом. :-)

[Nag]

Даже в случае полностью управляемой сети рекомендуется смотреть в сторону 802.1х потому, как это сейчас Вам кажется, что врезаться в кабель клиента это проблема, завтра обязательно появятся пионеры, которые поставят хаб на линк клиента и с удовольствием будут пользоваться его инетом в ночное или вечернее время,

 

Пока, я думаю, организовать пару судебных процессов будет проще. :-)

Телефонистов вон - не сильно напрягают "двойники". Ущерб там может быть не малый...

А с ростом масовости сетей и 802.1х дошлифуется и подешевеет.

[Andrew40]

Прописать в 3-х местах статический адрес, неужели это сложнее, чем настроить PPP? ;-) Мурзилка для детей-идитов умещается на 1 лист.

Если на это ума у клиента не хватит - так и эксплорером пользоваться не сможет.

К сожалению, это не так. Ибо браузер был разработан для ПОЛЬЗОВАТЕЛЯ, а TCP/IP все таки для СПЕЦИАЛИСТА. Пусть его элементарные вещи и просты, но считайте, что сейчас Internet не научная сеть, а некая разновидность шоу-бизнеса, массовой культуры.

И если кто то перепутает свой IP и IP маршрутизатора по умолчанию, а это вполне ошибка, а не саботаж. Результат понятен.

Мое мнение - производителям ПК надо делать что то подобное SIM карте у GSM операторов. Т.е. вставил - и порядок. Но этого не будет по многим причинам.

[Тимур]

ng,

У меня в сети появились юзеры, которые покупают анлим в складчину и пользуются "один днём, другой ночью"...

У кого похожие проблемы?

Есть идеи, как бороться?

Авторизация - PPTP, внутренние адреса по DHCP.

Не очень понял проблему.

А на каком тарифе они сидят?

 

Если же человек ставит свитч у себя в квартире и раздает анлим своим соседям, да еще делится маком и паролем, то тогда никак даже в управлемой сети.

 

Можно или терпеть, или отключить по пункту договора о недопустимости передачи трафика третьим лицам

[Nag]

Andrew40, вопрос.

Что проще настроить - модем, PPPoE или static IP?

При наличии мурзилки, конечно.

На мой взгляд - самое сложное модем. Тем не менее их настраивают ТОЛПЫ юзеров.

И ничего - пользуются.

Конечно автоматизация не помешает, даже будет очень удобна...

 

Кстати, а сложно ли написать скрипт, устанавливающий те же самые настройки IP или PPP? И раздавать сидюки?

[Andrew40]

Что проще настроить - модем, PPPoE или static IP?

При наличии мурзилки, конечно.

Одно маленькое но. В ОПЕРАТОРСКОЙ сети Стрима неправильная настройка абонентом модема НИКАК не повлияет на соседнего абонента на ТОМЖЕ DSLAM-е, на сегмент сети и на всю сеть. В этом отличие ОПЕРАТОРСКОГО решения (любого, не обязательно Стрим) от корпоративных и прочих. В прведенном мной примере из-за ошибки, а не преднамеренных действий не работает целый сегмент.

[Skylaer]

Andrew40, виват!

Поэтому и идет разговор о том, что обязателен контроль на уровне абонентского порта, управление им, учет.

А уже за всем этим - доступ дальше.

И тогда клиент, не умеющий правильно настраивать свой компьютер не сможет никому помешать.

[Nag]

Andrew40, пользователь может вообще в сети ТАКОГО накосячить... Хоть при ППП, хоть при АПи. В конце концов, положить сегмент можно просто неисправной сетевушкой.

Тут нет собых вариантов защиты от дурака, кроме своевременного отключения (ну или персонального вилана, который отрубит все на 2-ом уровне).

Однако - сети (и большие) есть, работают. И вполне надежно - не хуже Стрима.

 

Вывод. Защищаться "от дурака" надо до какой-то разумной степени. Иначе можно быстро изобрести бессмысленное решение, которое никто не будет применять на практике.

[Andrew40]

Nag, Не совсем так. Возмите классическую или сотовую телефонию. Что может там абонент - ну, спалит свой абонентский комплект, ну "погасит" одну несущую из-за неисправности терминала. Другие этого даже не заметят

[Nag]

Nag, Не совсем так. Возмите классическую или сотовую телефонию. Что может там абонент - ну, спалит свой абонентский комплект, ну "погасит" одну несущую из-за неисправности терминала. Другие этого даже не заметят

 

На обычной телефонии можно очень легко тырить трафик подключением к чужой линии. И тырят, кстати.

Неправильно настроенный модем (обычный) может довольно просто показать "кузькину мать" одному или нескольким абонентам. Массового киллерстава конечно не выйдет - так и услуга простенькая.

 

На сотовой - вроде не так давно проблема "двойников" была решена.

Навредить другим, да еще не нарочно, конечно сложнее. :-)

Но не сразу москва строилась. Еще пара-тройка лет, и акцесс-листы на коммутаторе будут стоить те же 5 баксов за порт. И все - весь вред соседям на этом кончится. ;-)

[Andrew40]

На обычной телефонии можно очень легко тырить трафик подключением к чужой линии. И тырят, кстати.

Это грубое и прямое воровство. Потому что материальное. В информационной сфере все гораздо сложнее. Тут очень тяжело сформулировать определение преступления, для "компьютера", а не заказного суда.

[ng]

Да, управляемая сеть бесспорно лучше.

Но, попробую объяснить ситуацию.

Дано (просьба после следующих слов не закрывать трейд): студенческая общага, около 100 клиентов (большая часть внутри общежития, часть снаружи), сервер PPTP-доступа, самописный биллинг.

Наружу - два канала - один через ТТК, там считается трафик и абонентка 100 руб/мес, цену на трафик не накручиваю, т.к. тогда вроде как нужна сертификация биллинговой системы, а так вроде ничего и не продаю.

Есть и другой канал - через областную образовательную сеть, так вот устав этой сети прямо запрещает считать трафик. Для пользователя это стоит 200 руб/мес, из которых мне опять же остаётся 100.

Так вот, поскольку со средствами огромная напряжёнка и поднять цену выше я не могу, ибо морда лица у меня не железная, поэтому:

а) на управляемый L2 денег нет

б) PPoE нельзя потому, что часть абонентов сидят за маршрутизаторами, на которые нет доступа (только мы продаём в студгородке "коммерческий" трафик)

в) по причине малобюджетности дорога каждая копейка и очень не хочется терять денег на пользователях, которые:

1) пользуются чужим логином/паролем (когда свой отключен за неуплату)

2) ставят на комнату/несколько свой свич + NAT/прокси

3) просто играют внутри сети

Вот и спрашиваю совета. Пока по первому пункту.

[Shiva]

ng,

Как вариант, налобать свою софтину, которая объязательно должна стоять у каждого юзверя. При соединении она ломится на сервак, и говорит мол, всё ок. тогда ты разрешаешь клиенту идти в инет на маршрутизаторе. А так он в ДМЗ сидит и ждёт авторизации проги. А твоя прога может и смотреть что, где и как установлено на машине и т.д. Есои авторизация не прошла скажем в 15 сек, тогда рубить конект. Если хочешь могу более подробно расписатть что куда и т.д.

[ng]

Shiva,

думал о подобном.

А без прог у клиентов - никак? На сервере можно всё, что угодно.

Проги у клиентов нельзя по двум причинам:

1) студенты народ активный - сегодня у него винда, завтра Linux, послезавтра BSD, а там и до QNX недалеко и везде ИНета хочется (а мне что, клиенты под все оси писать?)

2) геморно каждый раз ставить и объяснять как ставить/пользоваться/не выкосить случайно - настройка клиентской машины должна быть выполнима штатными средствами винды.

[Shiva]

ng,

1.

а мне что, клиенты под все оси писать?

Достаточно один раз :) (С++ STL), дальше только откомпилить придётся.

геморно каждый раз ставить и объяснять как ставить/пользоваться/не выкосить случайно

Один exe сам себя пихает в автозагрузку.

 

2. Ловить пакеты с разными TTL с одного IP и дропать пакеты с наименьшим, т.к. нат TTL - 1 (примитивно, но голова поболит у студентов)

[ng]

Shiva,

угу, это без проблем. А вот как с прокси боротся - вернее понятно - ловить поле "X-Forwarded-For" в HTTP-заголовке, но чем.

Пытался Сквидом - на любое использование req_header вылетает с "Segmentation Failure" :(

[Shiva]

ng,

Другую версию попробуй, я его не юзаю.

[ng]

Shiva,

пользую 2.5.STABLE7 - это последний, в нём же впервые появился этот параметр.

[AlexPan]

По уму тут ничего не сделать... Может только ограничить количество коннектов, тогда народ за натом почувствует некоторое неудобство... Но студенты на такие мелочи внимание не обращают! :))

 

Мы тоже сейчас запускаем сеть в студгородке. Но у нас там другая концепция. Оплата только по трафику. Продается порт на свитче, через который можно получить доступ в инет. Между портами связь закрыта. Доступ в инет через PPPoE, в результате нас не волнует как там у клиента настроен IP. Клиент может подключать любое количество компьютеров, проксировать, ставить нат и т.п. Т.е. таким образом мы отдельным студентам, группам студентов объединенным в сети и кому угодно даем доступ в инет, остальное не наше дело!!!