Nag Опубликовано 10 января, 2005 · Жалоба to NagПо ссылке ничего подобающего не нашел... А проблемы Стрима не в PPPoE, а в генетике... :)) Что-то быстро, там 1000 с чем-то страниц. ;-) Когда все с IP в порядке, то найти не сложно. Вот когда не в порядке, то сложно. Не весь трафик идет через точку, где можно сниффер включить. Как не весь? Если это вилан на дом - то мимо снифера - только трафик внутри этого дома, 1, реже 2-3 коммутаторов. Вообще, очень сложно придумать серьезную проблему на таком уровне. А если что-то есть аномального - можно и замиррорить по идее, на сниффер. Однако, прошу огласить весь список возможных проблем с IP... А чем плох немаршрутизиремый ethernet? Результат намного надежнее применения PC-роутеров... В чем заключаются затраты на терминацию я вообще не понял... Стоимость сервера доступа или увеличение трафика при инкапсуляции? Езернет хорош. ;-) ПР-роутеры вообще вредительство. Но не везде можно его использовать... Затраты на терминацию - да, стоимость сервера доступа. На гигабитных скоростях это серьезная проблема. Вы с ней не сталкиваетесь - так как внутренний трафик не считаете. :-) Точно! Так вот ethernet проще ip и надежнее!!! Для PPPoE настроки на компе клиента вообще не нужны, все настраивается с сервера при установлении соединения. Хм. Сравниваем. Ethernet->IP Ethernet->PPP->IP :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Nag А немаршрутизируемо - так vlan рулит :) А общий трафик - на порту :) считать. и вычитать оттуда интернет :) Т.е. езернетный трафик, а не IP? Видел такое решение. Хорошо люди на внутрянке зарабатывают... Но это по сути 2 биллинга. Терминация - 1-2 у.е. на клиента. Скорость - до 4Мбит/сек тянет :)Что еще? По мне так локалка отдельно, инет отдельно, юрлица совсем отдельно. 4 мегабита тянет... Да, вот это и есть одна из проблем РРР. ;-) Хотя есть проблема у простого IP то же. Это воровство трафика при "врезке" в абонентский кабель. Правда за это можно уже ловить, и если не садить, то бо-бо делать ОЧЕНЬ серьезное. И - вполне законно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Объясните, если везде стоят управляемые коммутаторы, на кой черт 802.1x? Для простоты разворачивания схемы "купил в киоске карту -- получил доступ в Сеть". Или вообще "есть какая-то карта -- хочу в сеть". Хм. Там есть кучка граблей, и довольно нехилая. Прежде чем на нее надеяться - испытайте обязательно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 10 января, 2005 · Жалоба Nag, ну сам видишь :) А байтики - они и в африке байтики :) но дешевые :) Локальные :) А в такой схеме один биллинг: просто один коллектор собирает данные с радиуса от серверов доступа в интернет. А второй - с клиентских портов. Вот и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 10 января, 2005 · Жалоба to Nag, Не знаю как на гигабитных, но на 100 Mbps все работает... Внутренний трафик мы в PPPoE не пускаем, так что никаких проблем... По твоей ссылке действительно куча страниц, но вот проблем с PPPoE я не обнаружил... вопрос по поводу управления рррое:а как возможно отключить рррое?? Поднал PPPoE на FreeBSD 4.3.конект проходит нормально и соединение устанавливается. Но почему-то рвется каждые 3 минуты. Кто модет чем помочь. Вот такого плана проблемы! Почитать man слишком сложно, надо сразу в форумы лезть... Может из той самой 1000 процитируешь парочку проблем в PPPoE? Теперь по IP... Самая простая проблема - настройка компьютера клиента. Можно конечно dhcp, но его слишком просто накернить вторым dhcp. Для делающих порезвиться могу предложить перепутать интерфейс, к которому подключается внутреннаяя сеточка клиента и интернет сеть. Не передаваемый результат... Там тебе и dhcp и RDP... Хотя конечно это можно отслеживать, что мы и делаем... Основная проблема не в этом... Чем хорош PPPoE? Там все в одном месте! Настроил сервер и тебя все напряги IP уже не интересуют... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 10 января, 2005 · Жалоба Даже в случае полностью управляемой сети рекомендуется смотреть в сторону 802.1х потому, как это сейчас Вам кажется, что врезаться в кабель клиента это проблема, завтра обязательно появятся пионеры, которые поставят хаб на линк клиента и с удовольствием будут пользоваться его инетом в ночное или вечернее время, а с ростом сети вероятность заполучить таких пионеров будет все больше и больше. Поэтому рекомендую 802.1х который кстати среди прочих прелестей еще и трафик посчитает (L2, но тоже приятно). ЗЫ Кстати в природе есть железки, которые могут работать с 802.1х по MAC'у (до 1024 клиентов на порт). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба to Nag, Не знаю как на гигабитных, но на 100 Mbps все работает... Внутренний трафик мы в PPPoE не пускаем, так что никаких проблем... Так на внешний канал у вас и 100 мегабит нет - так, мегабит 20 в лучшем случае, правильно? Когда нужно подсчитать внутрянку - все оборачивается несколько другим боком. ;-) Вроде тут в форуме кто-то недавно говорил что для терминирования трафика с внутрянкой (правда PPtP) нужно ставить по 7206G1 на 1-2 тысячи пользоватеелй. Недешевое удовольствие. Теперь по IP... Самая простая проблема - настройка компьютера клиента. Прописать в 3-х местах статический адрес, неужели это сложнее, чем настроить PPP? ;-) Мурзилка для детей-идитов умещается на 1 лист. Если на это ума у клиента не хватит - так и эксплорером пользоваться не сможет. Вон, Стрим "отдал" настройку модемов пользователям. И ничего, сколько там тысяч за месц справились? Основная проблема не в этом... Чем хорош PPPoE? Там все в одном месте! Настроил сервер и тебя все напряги IP уже не интересуют... Ну не все. ;-) А потом - напряги убывают в одном месте, но прибывают в другом. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Даже в случае полностью управляемой сети рекомендуется смотреть в сторону 802.1х потому, как это сейчас Вам кажется, что врезаться в кабель клиента это проблема, завтра обязательно появятся пионеры, которые поставят хаб на линк клиента и с удовольствием будут пользоваться его инетом в ночное или вечернее время, Пока, я думаю, организовать пару судебных процессов будет проще. :-) Телефонистов вон - не сильно напрягают "двойники". Ущерб там может быть не малый... А с ростом масовости сетей и 802.1х дошлифуется и подешевеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew40 Опубликовано 10 января, 2005 · Жалоба Прописать в 3-х местах статический адрес, неужели это сложнее, чем настроить PPP? ;-) Мурзилка для детей-идитов умещается на 1 лист. Если на это ума у клиента не хватит - так и эксплорером пользоваться не сможет. К сожалению, это не так. Ибо браузер был разработан для ПОЛЬЗОВАТЕЛЯ, а TCP/IP все таки для СПЕЦИАЛИСТА. Пусть его элементарные вещи и просты, но считайте, что сейчас Internet не научная сеть, а некая разновидность шоу-бизнеса, массовой культуры. И если кто то перепутает свой IP и IP маршрутизатора по умолчанию, а это вполне ошибка, а не саботаж. Результат понятен. Мое мнение - производителям ПК надо делать что то подобное SIM карте у GSM операторов. Т.е. вставил - и порядок. Но этого не будет по многим причинам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 10 января, 2005 · Жалоба ng, У меня в сети появились юзеры, которые покупают анлим в складчину и пользуются "один днём, другой ночью"... У кого похожие проблемы? Есть идеи, как бороться? Авторизация - PPTP, внутренние адреса по DHCP. Не очень понял проблему. А на каком тарифе они сидят? Если же человек ставит свитч у себя в квартире и раздает анлим своим соседям, да еще делится маком и паролем, то тогда никак даже в управлемой сети. Можно или терпеть, или отключить по пункту договора о недопустимости передачи трафика третьим лицам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Andrew40, вопрос. Что проще настроить - модем, PPPoE или static IP? При наличии мурзилки, конечно. На мой взгляд - самое сложное модем. Тем не менее их настраивают ТОЛПЫ юзеров. И ничего - пользуются. Конечно автоматизация не помешает, даже будет очень удобна... Кстати, а сложно ли написать скрипт, устанавливающий те же самые настройки IP или PPP? И раздавать сидюки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew40 Опубликовано 10 января, 2005 · Жалоба Что проще настроить - модем, PPPoE или static IP? При наличии мурзилки, конечно. Одно маленькое но. В ОПЕРАТОРСКОЙ сети Стрима неправильная настройка абонентом модема НИКАК не повлияет на соседнего абонента на ТОМЖЕ DSLAM-е, на сегмент сети и на всю сеть. В этом отличие ОПЕРАТОРСКОГО решения (любого, не обязательно Стрим) от корпоративных и прочих. В прведенном мной примере из-за ошибки, а не преднамеренных действий не работает целый сегмент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 10 января, 2005 · Жалоба Andrew40, виват! Поэтому и идет разговор о том, что обязателен контроль на уровне абонентского порта, управление им, учет. А уже за всем этим - доступ дальше. И тогда клиент, не умеющий правильно настраивать свой компьютер не сможет никому помешать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Andrew40, пользователь может вообще в сети ТАКОГО накосячить... Хоть при ППП, хоть при АПи. В конце концов, положить сегмент можно просто неисправной сетевушкой. Тут нет собых вариантов защиты от дурака, кроме своевременного отключения (ну или персонального вилана, который отрубит все на 2-ом уровне). Однако - сети (и большие) есть, работают. И вполне надежно - не хуже Стрима. Вывод. Защищаться "от дурака" надо до какой-то разумной степени. Иначе можно быстро изобрести бессмысленное решение, которое никто не будет применять на практике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew40 Опубликовано 10 января, 2005 · Жалоба Nag, Не совсем так. Возмите классическую или сотовую телефонию. Что может там абонент - ну, спалит свой абонентский комплект, ну "погасит" одну несущую из-за неисправности терминала. Другие этого даже не заметят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 10 января, 2005 · Жалоба Nag, Не совсем так. Возмите классическую или сотовую телефонию. Что может там абонент - ну, спалит свой абонентский комплект, ну "погасит" одну несущую из-за неисправности терминала. Другие этого даже не заметят На обычной телефонии можно очень легко тырить трафик подключением к чужой линии. И тырят, кстати. Неправильно настроенный модем (обычный) может довольно просто показать "кузькину мать" одному или нескольким абонентам. Массового киллерстава конечно не выйдет - так и услуга простенькая. На сотовой - вроде не так давно проблема "двойников" была решена. Навредить другим, да еще не нарочно, конечно сложнее. :-) Но не сразу москва строилась. Еще пара-тройка лет, и акцесс-листы на коммутаторе будут стоить те же 5 баксов за порт. И все - весь вред соседям на этом кончится. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew40 Опубликовано 11 января, 2005 · Жалоба На обычной телефонии можно очень легко тырить трафик подключением к чужой линии. И тырят, кстати. Это грубое и прямое воровство. Потому что материальное. В информационной сфере все гораздо сложнее. Тут очень тяжело сформулировать определение преступления, для "компьютера", а не заказного суда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ng Опубликовано 11 января, 2005 · Жалоба Да, управляемая сеть бесспорно лучше. Но, попробую объяснить ситуацию. Дано (просьба после следующих слов не закрывать трейд): студенческая общага, около 100 клиентов (большая часть внутри общежития, часть снаружи), сервер PPTP-доступа, самописный биллинг. Наружу - два канала - один через ТТК, там считается трафик и абонентка 100 руб/мес, цену на трафик не накручиваю, т.к. тогда вроде как нужна сертификация биллинговой системы, а так вроде ничего и не продаю. Есть и другой канал - через областную образовательную сеть, так вот устав этой сети прямо запрещает считать трафик. Для пользователя это стоит 200 руб/мес, из которых мне опять же остаётся 100. Так вот, поскольку со средствами огромная напряжёнка и поднять цену выше я не могу, ибо морда лица у меня не железная, поэтому: а) на управляемый L2 денег нет б) PPoE нельзя потому, что часть абонентов сидят за маршрутизаторами, на которые нет доступа (только мы продаём в студгородке "коммерческий" трафик) в) по причине малобюджетности дорога каждая копейка и очень не хочется терять денег на пользователях, которые: 1) пользуются чужим логином/паролем (когда свой отключен за неуплату) 2) ставят на комнату/несколько свой свич + NAT/прокси 3) просто играют внутри сети Вот и спрашиваю совета. Пока по первому пункту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 11 января, 2005 · Жалоба ng, Как вариант, налобать свою софтину, которая объязательно должна стоять у каждого юзверя. При соединении она ломится на сервак, и говорит мол, всё ок. тогда ты разрешаешь клиенту идти в инет на маршрутизаторе. А так он в ДМЗ сидит и ждёт авторизации проги. А твоя прога может и смотреть что, где и как установлено на машине и т.д. Есои авторизация не прошла скажем в 15 сек, тогда рубить конект. Если хочешь могу более подробно расписатть что куда и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ng Опубликовано 11 января, 2005 · Жалоба Shiva, думал о подобном. А без прог у клиентов - никак? На сервере можно всё, что угодно. Проги у клиентов нельзя по двум причинам: 1) студенты народ активный - сегодня у него винда, завтра Linux, послезавтра BSD, а там и до QNX недалеко и везде ИНета хочется (а мне что, клиенты под все оси писать?) 2) геморно каждый раз ставить и объяснять как ставить/пользоваться/не выкосить случайно - настройка клиентской машины должна быть выполнима штатными средствами винды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 11 января, 2005 · Жалоба ng, 1. а мне что, клиенты под все оси писать? Достаточно один раз :) (С++ STL), дальше только откомпилить придётся. геморно каждый раз ставить и объяснять как ставить/пользоваться/не выкосить случайно Один exe сам себя пихает в автозагрузку. 2. Ловить пакеты с разными TTL с одного IP и дропать пакеты с наименьшим, т.к. нат TTL - 1 (примитивно, но голова поболит у студентов) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ng Опубликовано 11 января, 2005 · Жалоба Shiva, угу, это без проблем. А вот как с прокси боротся - вернее понятно - ловить поле "X-Forwarded-For" в HTTP-заголовке, но чем. Пытался Сквидом - на любое использование req_header вылетает с "Segmentation Failure" :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 11 января, 2005 · Жалоба ng, Другую версию попробуй, я его не юзаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ng Опубликовано 11 января, 2005 · Жалоба Shiva, пользую 2.5.STABLE7 - это последний, в нём же впервые появился этот параметр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 11 января, 2005 · Жалоба По уму тут ничего не сделать... Может только ограничить количество коннектов, тогда народ за натом почувствует некоторое неудобство... Но студенты на такие мелочи внимание не обращают! :)) Мы тоже сейчас запускаем сеть в студгородке. Но у нас там другая концепция. Оплата только по трафику. Продается порт на свитче, через который можно получить доступ в инет. Между портами связь закрыта. Доступ в инет через PPPoE, в результате нас не волнует как там у клиента настроен IP. Клиент может подключать любое количество компьютеров, проксировать, ставить нат и т.п. Т.е. таким образом мы отдельным студентам, группам студентов объединенным в сети и кому угодно даем доступ в инет, остальное не наше дело!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...