[nickD]

Есть роутеры, которые можно удаленно настраивать без выездов.

Мы помним, что Микротики наше все и продолжаем им молиться каждый день по 3 раза ;) .

 

Так делают когда сеть не позволяет сделать влан на абонента, или не хотят подписывать кабели, тогда привязывают по маку и не заморачиваются

Ну да, я про засранцев уже выше упоминал.

Представьте, вам порезали пучок utp в не маркерованном месте. Как востанавливать будете?

Или Вы по всей длине маркируете.

[vop]

Когда-то была идея написать софтовый авторизатор под 802.1x, но чего-то руки не дошли. :)

Написать для чего? Винда, кажется, умеет. Линуксы - тоже.

 

Есть клиент.

[Negator]

2. МАС-и, конечно же, в статистике работы абонента хранить надо (должна быть у биллинга такая функция). Но зачем при этом привязывать МАС к порту? Непременно хочется усложнить абону жизнь? Ну так он уйдет к конкуренту, у которого нет сложностей. Автор статьи предлагает провайдерам уходить от PPPoE, один из главнейших аргументов - абоненту проще настраивать CPE и не надо помнить логин/пароль. Да, это несомненно. Но автор тут же предлагает зачем-то в новой технологии IPoE абона при смене МАС заворачивать на сайт, где тому таки снова надо будет вспоминать логин и пароль. Шило на мыло? Не хватает фантазии расстаться со штампами? Идеальная сеть с точки зрения абонента - это когда просто воткнул шнурок в ЛЮБУЮ железяку и СРАЗУ ЖЕ получил доступ к сервисам. Даже при первоначальном подключении регистрировать нового абонента должны подключалы-монтажники, а вовсе не сам абонент. Абонент должен воткнуть шнурок и наслаждаться сервисом. И менять свои CPE он должен без проблем. Ну, а если он переезжает, то вот уже тогда он при первом включении на новом месте должен уткнуться в сайт с перерегистрацией. И то! Даже в этом случае нахрен не нужны никакие логины/пароли! Потому как идентификатор абонента - это его АДРЕС МЕСТОНАХОЖДЕНИЯ, который является важнейшим реквизитом абонента в договоре с оператором! А потому абонент ОБЯЗАН уведомить оператора о смене адреса местонахождения. В биллинге же адрес (квартира) однозначно идентифицируется по связке свич+порт (ну, или vlan+свич у кого влан-на-юзера). "И никаких токсинов" (с) - привязки по МАС это такой же пережиток прошлого десятилетия, как и PPPoE.

 

Согласен полностью.

 

Добавлю, что такое удобно и для оператора - в разы меньше звонков с просьбой перебить мак, настроить pppoe и т.п. - все просто работает из коробки.

Что касается статьи - это заморочки маркетологов, да еще с громкими названиями -какой-то там портал.

 

У нас именно option_82 без всяких привязок по маку. Адреса выдаются по номеру порта и IP свича - он прописан в биллинге, по нему же строится конфиг DHCP сервера.

Если нужно поменять коммутатор -меняют порт в порт.

Поиск абонента с перепутанным портом тоже легко и просто.

Мы подобные вопрос решали уже десятки раз. Если помозговать немного - решаются они просто.

Покупали сети и с PPTP и с PPPoE и со статики и с DHCP.

 

Никакой контроль мак адресов особо не нужен, нужно просто знать последний мак адрес клиента. Все.

 

Если покупаем провайдера и переводим сети то:

Он узнается подсовыванием клиенту влана с нужным "фейковым" шлюзом или например PPPoE сервером или еще чем то(зависит от того чего покупаем).

При попытке подключиться и попасть в интернет клиент получает страничку с информацией, на которой он вводит свои данные -ФИО, адрес и т.п.

Далее все просто - клиента мы знаем, с какого мак-адреса он заполнял формы на страничке тоже. Все, профит.

Лично собсвенноручно переводил несколько сотен человек в день на новую сеть. Процесс управляется легко на L2.

 

Если это уже наш клиент и никакие сети мы не покупаем:

просто ищем на свиче последний адрес абонента с которого он пользовался. ОДНОЙ КНОПКОЙ из биллинга! И проставляем ему порт.

 

Представьте, вам порезали пучок utp в не маркерованном месте. Как востанавливать будете?

Или Вы по всей длине маркируете.

 

Легко - вставляем их в свич как придется, никому порты не прописываем, адрес никто не получает - интернета нет.

Дальше лазаю в биллинге по клиентам - жму на поиск по порту(ищет по последнему активному мак- адресу клиента) и той же кнопкой проставляю порт. Если кого то нет дома - повторяю операцию вечером(силами техподдержки). Или кто то позвонит - сразу и пропишем. Как пропишем так и адрес будет выдаваться.

 

Пожалуй я готов написать статью как это сделано у нас без всяких маркетинговых излишеств, порталов, заморочек

[nemo_lynx]

Представьте, вам порезали пучок utp в не маркерованном месте. Как востанавливать будете?

Или Вы по всей длине маркируете.

Странный вопрос... А что, тут есть варианты? Предлагаете скручивать витуху пофигу что с чем? Ну да, засранцы - они и в Африке засранцы... А если у вас порвался ВОК, то волокна тоже будете сваривать любое с любым?

[Liner's]

Реклама гидры не прошла, незачет, клипать статью про другие фичи

[Ivan_83]

IPv6 не нужен, и не будет нужен ещё очень долго.

Не нужно говорить за всех.

У меня дома 40 гигов через в6 скачано, против 1тб в4, притом что торренты чисто по в4 качаются, те в реальности минимум 10% не торрент трафика уже в в6.

 

Вот нахрена эта двойная работа, если от IPv6 нет и ещё долго не будет никакого толка? Для маркетинговой шумихи?

По тону и построению фразы можно сказать что ты занимаешься яростным отрицанием и непринятием данной технологии.

Для себя ты это обосновываешь как: "не нужно", "надо все железо менять", в реальности это страх перед мало изученным.

Советую тебе осознать, что:

- в своей жизни ты всё равно столкнёшься с IPv6

- в целом там не сложнее и не проще чем IPv4

- от IPv6 не спастись.

 

 

А 802.1x уже умерло?

Оно и не жило :(

 

Когда-то была идея написать софтовый авторизатор под 802.1x, но чего-то руки не дошли. :)

У меня тоже была такая мысль.

Кажется когда она была у меня не было управляемого свича, а когда он появился я уже забыл что хотел это сделать.

Думаю надо бы корябать что то кросс платформенное, относительно простое. Хотя на венде трудновато с не TCP/UDP работать.

 

Но вообще уже аж два варианта есть:

https://en.wikipedia.org/wiki/Xsupplicant

https://en.wikipedia.org/wiki/Wpa_supplicant

[Дятел]

По моим понятиям, проникновение v6 упирается в дешевые абонентские роутера..

[UglyAdmin]

По тону и построению фразы можно сказать что ты занимаешься яростным отрицанием и непринятием данной технологии.

Для себя ты это обосновываешь как: "не нужно", "надо все железо менять", в реальности это страх перед мало изученным.

МНЕ железо менять не нужно, оно всё IPv6 умеет.

Биллинг надо будет крутить, клиентские роутеры тоже процентов на 98 не умеют IPv6.

Но смысла в IPv6 не видно:

1. Уже все поняли, что не надо выставлять ВСЁ голой жопой в Интернет, особенно хомяковое оборудование.

2. Контенту IPv4 хватит надолго, делать дуалстэк - двойная работа и двойные затраты. А чисто IPv6 контент использовать не будет - не дураки же, добровольно отрезать себя от потребителей. Из этого следует, что у клиентов должен быть как минимум дуалстэк - опять же двойная работа... Ну и нахрена оно, если ВЕСЬ контент есть в IPv4?

[Heggi]

По моим понятиям, проникновение v6 упирается в дешевые абонентские роутера..

Любой новый говнороутер уже умеет IPv6. ИМХО без IPv6 еще поискать надо.

А вот старье (которое у абонентов), там да... поддержки IPv6 обычно нет

[Дятел]

Ну, значит, через три года можно запускать))

[s.lobanov]

Ну и нахрена оно, если ВЕСЬ контент есть в IPv4?

 

Ну у меня дома на гугле периодически капча выскакивает из-за того, что мой провайдер (Сумма-Телеком) сажает слишком много народа за NAT (гуглоаккаунтами не пользуюсь, хотя это поможет, скорее всего(если залогиниться)), да даже при 2ух абонентах за одним IP может быть капча потому что у одного SEO-вирусня, генерящая запросы к гуглу. + абоненты периодически жалуются на блокировки со стороны Sony (онлайн-сервисы), может ещё на что-то, просто я не знаю об этом. Т.е. я бы от IPv6 не отказался, хотя ... не уверен, потому что мой домашний роутер не умеет NAT66(что было бы удобно), может быть stateful firewall есть, надо будет глянуть.

 

Прямо сейчас жить без IPv6 можно, вопрос лишь в том сколько ещё времени, т.е. когда наступит то время, когда это будет конкурентным преимуществом. Я думаю, если будет реклама типа "чёткие пацаны пользуются IPv6", тогда и начнётся.

 

P.S. Согласен с Ivan_83(что бывает крайне редко) - от IPv6 не спастись

[UglyAdmin]

Как бы оно не оказалось очередным АТМ'ом.

20 лет назад разработано и до сих пор никому не надо...

[No_name]

Тоже потихоньку подготавливаемся к переходу на ипое.

Читая некоторых товарищей, не согласен по ряду вопросов.

 

А 802.1x уже умерло?

А 802.1x уже умерло?

Оно и не жило :(

Не умерло, у многих, у кого оно даже и есть на оборудовании, просто не умеют его готовить, может потому и не жило,

а у кого-то просто кривое железо. Мы, на своем оборудовании, тестили 802.1x с авторизации по mac`y, отлично работает.

 

Представьте, вам порезали пучок utp в не маркерованном месте. Как востанавливать будете?

Или Вы по всей длине маркируете.

Представьте, вам порезали пучок utp в не маркерованном месте. Как востанавливать будете?

Или Вы по всей длине маркируете.

Легко - вставляем их в свич как придется, никому порты не прописываем, адрес никто не получает - интернета нет.

Дальше лазаю в биллинге по клиентам - жму на поиск по порту...

Вот в данном случае как раз и будет полезен 802.1x, вы просто подключаете абонента в любой порт и он,

согласно своему маку сразу получает нужный влан(при политике влан на клиента) и продолжает работать, и не надо

там где то лазить, ждать , искать и пр...

[s.lobanov]

Не умерло, у многих, у кого оно даже и есть на оборудовании, просто не умеют его готовить, может потому и не жило,

а у кого-то просто кривое железо. Мы, на своем оборудовании, тестили 802.1x с авторизации по mac`y, отлично работает.

 

Для домашних абонентов в РФ оно жило у группы операторов мультинекс, потом этот геморрой отошёл в МТС и МТСу пришлось его выпиливать. Потому что это геморрой, в первую очередь с роутерами.

 

что такое 802.1x по маку? т.е. обмена сообщениями с клиентом нет, ну тогда это не 802.1x, а просто auth по маку

 

для энтерпрайза 802.1x пока ещё живёт, но и то встречается не часто

[No_name]

Потому что это геморрой, в первую очередь с роутерами.

что такое 802.1x по маку? т.е. обмена сообщениями с клиентом нет, ну тогда это не 802.1x

Как только на порту коммутатора появляется мас клиента он тут же передается в виде связки логин/пароль

радиусу. Последний смотрит в базе наличие такого логина и пароля, как какому влан привязан, его статус заблокирован/не заблокирован.

А дальше по обстоятельствам: или клиенту устанавливается привязанный в базе влан на порт где изучен мак, в противном случае выдается

гостевой влан.

[s.lobanov]

Потому что это геморрой, в первую очередь с роутерами.

что такое 802.1x по маку? т.е. обмена сообщениями с клиентом нет, ну тогда это не 802.1x

Как только на порту коммутатора появляется мас клиента он тут же передается в виде связки логин/пароль

радиусу. Последний смотрит в базе наличие такого логина и пароля, как какому влан привязан, его статус заблокирован/не заблокирован.

А дальше по обстоятельствам: или клиенту устанавливается привязанный в базе влан на порт где изучен мак, в противном случае выдается

гостевой влан.

 

ну это к 802.1x особо отношения не имеет, это просто динамический mac acl, 802.1x это когда осуществляется взаимодействие с абонентом через EAPOL. т.е. ваш "802.1x" ничем не отличается от того же ipmb, только там проверяется не ответ radius, а ответ dhcp-сервера

[vop]

Как только на порту коммутатора появляется мас клиента он тут же передается в виде связки логин/пароль

радиусу. Последний смотрит в базе наличие такого логина и пароля, как какому влан привязан, его статус заблокирован/не заблокирован.

 

Каким образом происходит привязка мака к логину с паролем? Как хранится эта информация и как обновляется?

[No_name]

В данном случаем, мак адрес хранится в базе в виде логина и пароля в одном лице, ну типо: D777F7E3J5JD / D777F7E3J5JD

 

В случае web-auth или md5-auth авторизации, если рассматривать 802.1x, использоваться могут вообще любые логин и пароль,

но это уже как раз геморно, ибо надо вводить логин и пароль, в то время как по мак-авторизации вообще ничего не требуется,

кроме как подключения абонентского устройства к порту.

Изменено 22 апреля, 2016 пользователем Brainiac

[No_name]

ну это к 802.1x особо отношения не имеет, это просто динамический mac acl, 802.1x это когда осуществляется взаимодействие с абонентом через EAPOL. т.е. ваш "802.1x" ничем не отличается от того же ipmb, только там проверяется не ответ radius, а ответ dhcp-сервера

Возможно, но у Procurve это интерпретируется как "Mac authentication with 802.1x".

[s.lobanov]

ну это к 802.1x особо отношения не имеет, это просто динамический mac acl, 802.1x это когда осуществляется взаимодействие с абонентом через EAPOL. т.е. ваш "802.1x" ничем не отличается от того же ipmb, только там проверяется не ответ radius, а ответ dhcp-сервера

Возможно, но у Procurve это интерпретируется как "Mac authentication with 802.1x".

 

ну ясно всё. они просто сделали взаимодействие свитч-radius такое же как у 802.1x, но называть это полноценным 802.1x нельзя

[Ivan_83]

2. Контенту IPv4 хватит надолго, делать дуалстэк - двойная работа и двойные затраты.

Мне вот реально интересно: как ты считал что у тебя получилось х2?

Один сервер на в4, другой на в6? Это твой дуалстэк?

 

Насчёт контента - у них отдельный секс с тем, что TLS сертификат на кучу разных доменов прикручивать через жопу когда оно на одном IP.

[Sergey Gilfanov]

В случае web-auth или md5-auth авторизации, если рассматривать 802.1x, использоваться могут вообще любые логин и пароль,

но это уже как раз геморно, ибо надо вводить логин и пароль

Поэтому я выше и говорил, что заниматься этим должна отдельная маленькая коробочка.

[Sergey Gilfanov]

Мне вот реально интересно: как ты считал что у тебя получилось х2?

Один сервер на в4, другой на в6? Это твой дуалстэк?

Один сервер, у которого и IPv4 адрес есть и IPv6. Правда не понятно, чем это плохо для контента. Проблем для хостера ну никаких нет. Делается даже не задумываясь. А иногда даже без ведома самого владельца сайта (ну забыл он посмотреть, что у его виртуалки еще и IPv6 адреса есть).

 

Насчёт контента - у них отдельный секс с тем, что TLS сертификат на кучу разных доменов прикручивать через жопу когда оно на одном IP.

Мне казалось, что SNI уже как несколько лет есть практически во всем, что нужно.

[Ivan_83]

Мне казалось, что SNI уже как несколько лет есть практически во всем, что нужно.

Лучше бы его не было, а то всякие придурки по нему блочат контент на своих домрощеных ДПИ.

[vop]

Надо не на технологии бочку катить, а от придурков избавляться. :)