Jump to content
Калькуляторы

802.1X на доступе кто-нибудь использует?

Вот тоже вопрос. Стандарт есть. Поддерживают практически все клиентские железяки. Почему не популярно - хрен его знает.

Share this post


Link to post
Share on other sites

А почему проваейдеры с pppoe уходят на ipoe?

 

Потому что в РФ у админов шило в жопе и нечем заняться . Я еще могу понять уход на vlan-per-user ради хорошей изоляции, но вот shared vlan ipoe это просто ужас-ужас, особенно когда ipv6 надо будет делать

 

Вот тоже вопрос. Стандарт есть. Поддерживают практически все клиентские железяки. Почему не популярно - хрен его знает.

 

Плохая поддержка со стороны CPE, что очень сильно ограничивает оператора связи.

Share this post


Link to post
Share on other sites

802.1х слабо поддерживается СРЕ.

Ну это относительный критерий.

Мы на 90% используем Zyxel Keenetic, а в них поддержка 802.1X есть.

Если перестанет работать дешевый хлам типа Упвел, то может оно и к лучшему.

Share this post


Link to post
Share on other sites

alibek

А есть операторы которые любят tp-link и раздают/продают его абонентам. Нужно же не по себе судить, а в целом.

 

Ну и опять же, какую задачу вы хотите решить используя 802.1x? Не париться с учетом портов или порталом для IPoE dhcp only абонентов?

Share this post


Link to post
Share on other sites

А есть абоненты, которые вообще включают кабель напрямую в компьютер.

 

Не понимаю, зачем создавать абоненту сложности? DHCP наше всё :)

Share this post


Link to post
Share on other sites

Не используют из-за сложности запоминания абонентами логинов и паролей. Снижение звонков оператору.

Share this post


Link to post
Share on other sites

Не используют из-за сложности запоминания абонентами логинов и паролей

Там же вроде есть механизмы авторизация без логина и пароля. Если железки умеют присылать в запросе на авторизацию номер порта, номер влана, то почему бы и нет. Мак клиентский точно слать умеют. Если инициатор авторизации не CPE а свитч, куда включен CPE было б круто. Я правда хз можно ли так.

Share this post


Link to post
Share on other sites

Работал у оператора где был .1Х - они ушли потом от этого. Неудобно, не все девайсы поддерживают. Да и смысл, сейчас интернеты так не воруют. ИМХО IPoE+влан на пользователя- самое то...

Edited by VolanD666

Share this post


Link to post
Share on other sites

А почему не 802.1X?

Технология расчитана на авторизацию пользователя на стыке с сетью оператора на конечном устройстве доступа. Теперь представь что у тебя 100500 коммутаторов 1050 комбинаций моделей/вендоров/прошивок/багов в каждой их которых 802.1X реализован чуть-чуть по другому и под каждую кобинацию нужно допиливать билинг. Плюс траблшутинг.

Share this post


Link to post
Share on other sites

Ну и опять же, какую задачу вы хотите решить используя 802.1x?

В IPoE DHCP нет сессий, сессии приходится симулировать костылями.

Правда в 802.1X тоже нет LCP или аналога, но там хотя бы есть реавторизация с настраиваемыми таймингами.

 

1050 комбинаций моделей/вендоров/прошивок/багов

К счастью у меня не так. Некоторый зоопарк есть, но управляемый.

 

Технология расчитана на авторизацию пользователя на стыке с сетью оператора на конечном устройстве доступа.

Я подумываю о том, чтобы CPE был в зоне ответственности оператора. Поэтому проблем с тем, что CPE что-то не поддерживает, не будет в принципе.

Тут есть минусы, но есть и плюсы.

Share this post


Link to post
Share on other sites

В IPoE DHCP нет сессий, сессии приходится симулировать костылями.

Чего это?

IPOE-BRASы вполне успешно имитируют клиентские сессии, у нас саппорт не видит разницы между PPP и IPOE сессией. Точно так же в биллинге выглядят, так же активных можно поглядеть, так же прибиваются.

Разве что PPP при отвале умирает через минуту по LCP, а IPOE через 5 минут по таймеру.

Share this post


Link to post
Share on other sites

Правда в 802.1X тоже нет LCP или аналога, но там хотя бы есть реавторизация с настраиваемыми таймингами.

 

Настраивал себе на рабочем месте ради эксперимента, свитч Cisco 2960, клиент - Windows 7.

Любая перезагрузка винды - адские глюки. То реавторизует то нет то вообще все молчат, ниче не происходит. Представив на своем месте абонента понял что мне как админу такое счастье нафиг не надо.

Share this post


Link to post
Share on other sites

Правда в 802.1X тоже нет LCP или аналога, но там хотя бы есть реавторизация с настраиваемыми таймингами.

 

Настраивал себе на рабочем месте ради эксперимента, свитч Cisco 2960, клиент - Windows 7.

Любая перезагрузка винды - адские глюки. То реавторизует то нет то вообще все молчат, ниче не происходит. Представив на своем месте абонента понял что мне как админу такое счастье нафиг не надо.

 

Вот-вот. Включаешь комп, авторизация не пошла- надо дергать кабель чтобы она заново появилась!

 

Я не понимаю, чем плох влан на клиента+ DHCP?

Share this post


Link to post
Share on other sites

В IPoE DHCP нет сессий, сессии приходится симулировать костылями.

 

смешно. любой современный популярный брас так умеет (сессии в ipoe dhcp) - cisco/huawei/juniper/alu. с кипаливом немного сложнее чем у pppoe, это да

Share this post


Link to post
Share on other sites

Я не понимаю, чем плох влан на клиента+ DHCP?

 

Не позволяет автоматически регистрировать клиента. Т.е. оператор должен заранее назначить порт клиенту.

 

В других схемах делается система автоматической привязки порта клиента - он заходит в свой кабинет - система регистрирует с какого порта он зашел и закрепляет его.

 

Можно, конечно, построить аттракцион, при котором порт будет регистрироваться, например, по 82-й опции, а затем все быстренько перенастраивается в схему vlan-per-client.

Share this post


Link to post
Share on other sites

Я не понимаю, чем плох влан на клиента+ DHCP?

 

Не позволяет автоматически регистрировать клиента. Т.е. оператор должен заранее назначить порт клиенту.

 

В других схемах делается система автоматической привязки порта клиента - он заходит в свой кабинет - система регистрирует с какого порта он зашел и закрепляет его.

 

Можно, конечно, построить аттракцион, при котором порт будет регистрироваться, например, по 82-й опции, а затем все быстренько перенастраивается в схему vlan-per-client.

 

Ну это если миллион клиентов в сети. Поставил коммутатор настроенный заранее. Подключаешь клиента, добавил в карту его ИП и фсе, вот и привязка. Зато просто и надежно, кто хнает как эта автоматика сработает.

Share this post


Link to post
Share on other sites

Я не понимаю, чем плох влан на клиента+ DHCP?

Не позволяет автоматически регистрировать клиента. Т.е. оператор должен заранее назначить порт клиенту.

Ничего подобного. Используем автоматическую регистрацию в сети vlan-per-user IPOE+dhcp, никаких сложностей там нет.

Не прописан влан в базе? Гостевой IP/форма авторизации/пропись влана(считай порта) клиенту.

Share this post


Link to post
Share on other sites

Ничего подобного. Используем автоматическую регистрацию в сети vlan-per-user IPOE+dhcp, никаких сложностей там нет.

Вы значение cvlan абонента берете с option82? В схеме IPoE vlan-per-user не понятно как происходить аутентификация/авторизация абонентов на брасе?

Share this post


Link to post
Share on other sites

flamaster

cvlan/svlan абонента берется из opt82 на самом БРАСе, фактически это имя интерфейса вида eth1.2.3

Что для авторизации гостя, что для работы самого БРАСа.

Share this post


Link to post
Share on other sites

Ничего подобного. Используем автоматическую регистрацию в сети vlan-per-user IPOE+dhcp, никаких сложностей там нет.

Не прописан влан в базе? Гостевой IP/форма авторизации/пропись влана(считай порта) клиенту.

 

vlan'ы конфигурятся вручную на всех свичах? Как в этом случае поддерживается уникальность? У меня в одной схеме этим занимается софт, отслеживает уникальность, автоматически выделяет вланы новым клиентам, настраивает порты на свичах.

Share this post


Link to post
Share on other sites

vlan'ы конфигурятся вручную на всех свичах? Как в этом случае поддерживается уникальность?
Сконфигурены заранее. Биллинг генерит конфиг для устанавливаемого свича, уникальность - его забота.

 

Не позволяет автоматически регистрировать клиента. Т.е. оператор должен заранее назначить порт клиенту.
Монтажник втыкает в первый попавшийся порт и активирует через веб-форму.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.