[pppoetest]

появлялся человек, который хотел 5000 абонентов подключить, дать каждому по 10 мегабит и т.п. и что бы все одной мощной БС в центре города=)

Тут у нас тело на наг-форуме лохам впаривает говноподелия под видом квинтэссенции железа для ISP, и ничего...

[nevzorofff]

Интересно, как дела у топик-стартера? В 2015 завёл эту тему, во второй половине 2016 распродавал 5G-радио ( 

 ), а в 2017 продолжал тут везти диалоги на тему как правильно. 

[LostSoul]

В 14.06.2017 в 09:52, Saab95 сказал:

С точки зрения безопасности PPPoE интереснее будет, потому что доступ только по логину и паролю, если монтажники перепутают кабели коммутатора, то абоненты ничего не заметят.

Читаю, ржу.

ну если вы не видели нормальных систем управления сетью , нормального биллинга  или просто скриптов - это не значит что их нету.

Если монтажник "перепутал порт" то в нормально построенной сети у абонента просто не должна включиться и начать работать услуга.

Потому что должен быть порядок.  Неиспользуемые порты программно отключены.

 

Другой вариант - монтажник втыкает абонента в любой свободный порт,   дальше монтажник вводит с порта абонента логин и пароль на личный кабинет  и порт привязывается к договору.

Все это в принципе делается 2-3 скриптами на баше/питоне на 300-400 строчек

 

Для аварийных ситуаций , когда требуется срочная замена коммутатора скрипт-однстрочник просто освобождает привязки на пострадавшей железке.

Все абоненты по мере включения перепривязываются по новым портам ( в пределах новой железки , установленной на замену старой )

То есть для всех абонентов с пострадавшей железки услуги переносятся на новую  , порт услуги до автоматического детектирования ставится 0.

 

Это надо быть совсем еббобо чтоб в 2017-2019 году mac-per-user или pppoe лепить.

 

 

 

[Saab95]

1 час назад, LostSoul сказал:

Читаю, ржу.

Читайте больше.

 

Как вы там клиента предлагаете к порту привязывать? По маку? А если он роутер у себя поменяет, опять вылезет окошко, как у билайна? Сидеть потом 10 минут ждать? А если у него нет роутера, а кабель он в ноутбук втыкает, а потом в другую железку, или вообще в микротик тот же, а к нему ничего не подключено из компов, то как быть? То есть яркий пример - у абонента дома стоят камеры наблюдения и он там не живет, стоит роутер и получает адрес, клиент заходит и смотрит. У оператора сломался коммутатор и поставили новый, надо сделать повторную привязку абонентов - у клиента интернет перестал работать.

 

Кроме всего не забывайте, что пользователь услуги может быть совсем другой человек, не тот, кто заключал договор, и реквизиты на доступ может не знать. И как он услугу получит, если даже в техподдержке у него логин спросят?

 

Вот именно по этой причине большинство операторов и не делает подобных привязок, и интернет работает с порта ровно столько, сколько оплачено. И если монтажники кабеля у активных клиентов перепутали, так оператор и не заметит этого - а клиенты начнут друг за друга счета оплачивать, или один заплатил, второй нет - и пошли разбирательства.

[LostSoul]

1 минуту назад, Saab95 сказал:

Читайте больше.

 

Как вы там клиента предлагаете к порту привязывать? По маку?

Для нормальных случаев абонент привязывается по порту.

Первое устройство на порту - требование ввести логин/пароль.

Все последующие вешаются на тот же договор паровозом.

После 2 недель неиспользования IP с договора удаляются.

Максимальное количество выданных IP на порт ограничивается разумным количеством. Обычно 4шт.

 

 

3 минуты назад, Saab95 сказал:

У оператора сломался коммутатор и поставили новый, надо сделать повторную привязку абонентов - у клиента интернет перестал работать.

Я раньше не замечал за вами , чтоб вы только первую строчку читали.

Написано же выше, если у оператора сломался коммутатор то он скриптом-однострочником сбрасывает порт привязки на неопределенный ( на NULL ) .

После включения абонентского оборудования и появления первого знакомого мака ( в пределах того же коммутатора ) - порт привязывается автоматически.

 

если же так совпало и после замены провайдерского коммутатора и абонент внезапно принес из магазина новый ноутбук - тогда да , заново вводить пароль. или через техподдержку.

 

 

 

7 минут назад, Saab95 сказал:

 

Кроме всего не забывайте, что пользователь услуги может быть совсем другой человек, не тот, кто заключал договор, и реквизиты на доступ может не знать. И как он услугу получит, если даже в техподдержке у него логин спросят?

 

 

А это очень хорошо, что он ее не получит.

Хоть меньше злоупотреблений со стороны монтажников будет по подключению бизнес клиентов на порты отключившихся физлиц.

 

Если новый пользователь никак не знакомый со старым , то пусть или идет в офис договор переоформлять ну или там жмакает "зарегистрироваться" , принимает условия оферты, получает на мобильный код подтверждения регистрации....  в общем все как с бесплатным wifi

 

 

[LostSoul]

10 минут назад, Saab95 сказал:

Вот именно по этой причине большинство операторов и не делает подобных привязок,

абсолютное большинство провайдеров делает именно так , как описываю я.

По вашей схеме разьве что убогий МГТС в москве работает с pppoe , других не знаю.

Но у них это завязано на

1) огромную сеть

2) полное разделение тех кто обслуживает OLT с теми кто обслуживает BRAS ( и вероятно и географическое разделение тоже )

3) реальный триплей через  гэпон

 

но даже у МГТС абонента нужно включать строго на ту ветку gpon где терминал зарегистрирован был. А не абы куда монтажнику вздумается.

 

 

15 минут назад, Saab95 сказал:

кабеля у активных клиентов перепутал

На большинстве L2 оборудования с расширенным L3 функционалом для привязок абонентов , в этом случае оба абонента останутся без связи.

Так как в рамках одного коммутатора любой MAC можно привязать только к одному конкретному порту.

 

[Saab95]

У нас в сети используется L3 доступ - абонент получает адрес и переходит на L3 сразу на порту коммутатора (в нашем случае роутера). Учитывая то, что хоть сколь нормальные новые коммутаторы стоят дороже роутеров микротик, то и выгоднее использовать его для терминации абонентов.

[LostSoul]

11 минут назад, Saab95 сказал:

У нас в сети используется L3 доступ - абонент получает адрес и переходит на L3 сразу на порту коммутатора (в нашем случае роутера). Учитывая то, что хоть сколь нормальные новые коммутаторы стоят дороже роутеров микротик, то и выгоднее использовать его для терминации абонентов.

смотря что за застройка.

для многоквартирного дома DES-3526 с авито стоит 1000-2000р  ( < 83р за порт )

о чём тут вообще разговаривать? :-)

для оптики подороже , но все равно наврятли за порт выйдет дороже чем новый микротик

 

 

[Saab95]

На форуме уже предлагали в центр сети ставить б/у тазики, б/у циски, теперь еще вот и б/у коммутаторы. Осталось найти б/у витую пару и б/у оптику, после чего можно начинать проекты по завоеванию абонентской базы =)

 

Проблемы таких проектов в том, что в них не сеть, строится по определенной технологии, а подстраивается под характеристики и возможности б/у оборудования, что и создает проблемы в дальнейшем.

 

Уже было много примеров строительства операторов на новом оборудовании, и на б/у. Так вот, кто строился на новом, часто в течении всего времени в ядре сервера не меняли, да и основные устройства сети - тоже. А кто стартовал на б/у поменяли весь узел связи, и все б/у коммутаторы - потому что не справлялись с нагрузками, по затратам у них вышло больше, т.к. новое все равно купили, только размазав затраты по времени. С тем же успехом можно было кредит взять, а не покупать не нужное б/у.

[LostSoul]

18 минут назад, Saab95 сказал:

На форуме уже предлагали в центр сети ставить б/у тазики, б/у циски, теперь еще вот и б/у коммутаторы. Осталось найти б/у витую пару и б/у оптику, после чего можно начинать проекты по завоеванию абонентской базы =)

 

уровень доступа это не "центр сети".

это конечный абонентский коммутатор.

 

 

18 минут назад, Saab95 сказал:

 

Проблемы таких проектов в том, что в них не сеть, строится по определенной технологии, а подстраивается под характеристики и возможности б/у оборудования, что и создает проблемы в дальнейшем.

наоборот.  лучше взять б.у.  длинк с адекватной современной технологией абонентского доступа.

чем брать soho микротик, а потом смешить людей советуя на нем pppoe поднять, так как иначе нормальной авторизации доступа не обеспечить.

Если вы купили то что на ближайшей помойке было дешево - то да придется подстраиваться.

 

Надо покупать то, что запланировано по проекту.

 

 

21 минуту назад, Saab95 сказал:

С тем же успехом можно было кредит взять

знать бы прикуп - жил бы в сочи.

кредиты нужно отдавать и платить по ним проценты.

с чего вы взяли, будто те ребята, которые на момент открытия собирали ядро сети на б.у. серверах,  на момент открытия четко знали сколько именно новых серверов и каких характеристик им потребуется?

Бизнес мог вообще прогореть по массе не связанных с серверами и ядром причинам.

Новое , да еще в кредит, берут те , кто уверены что все гарантировано окупится.

Ну или знает как сделать так чтоб кредит в любом случае не отдавать без последствий :-)

 

 

24 минуты назад, Saab95 сказал:

по затратам у них вышло больше,

не факт, что больше с учетом суммы кредита это раз.

два - старые сервера прошли как учебные, на них не страшно было учится

три - вполне возможно что и бу можно продать потом дороже чем купили :-)

 

[EShirokiy]

Самый простой вариант два тазика с accel, только vlan на абонента. Можно заюзать микротики (CCR1009) в качестве транспорта и резервирования (VPLS). Вытянет 3 гигабита без проблем. На агрегацию SNR, на доступ можно длинки типа DES-3200-26/28 или SNR. Если строить гигабит, то PON на доступ. Про PPPoE надо забыть, кто вообще в здравом уме строит новые сети с PPPoE в 2019 году?

[s.lobanov]

@EShirokiy а что не так с pppoe? единственный кейс который я вижу - это сложный zerotouch provisioning. для ipoe dhcp он не нужен.

[Andrei]

Видимо у нас на сети крайняя степень убогости :) -  на доступе сплошь б/у длинки или планеты, на агрегации длинки но новые, в ядре б/у циска и б/у сервер НР. И да - для физиков и мелких юриков pppoe, для крупных юриков - ipoe.

 

[AlKov]

18 часов назад, Saab95 сказал:

У нас в сети используется L3 доступ - абонент получает адрес и переходит на L3 сразу на порту коммутатора (в нашем случае роутера). Учитывая то, что хоть сколь нормальные новые коммутаторы стоят дороже роутеров микротик, то и выгоднее использовать его для терминации абонентов.

А распишите, пожалуйста, модели этих самых волшебно-дешёвых роутеров и их количество, которое потребуется для подключения, ну например, стандартной 80-ти квартирной пятиэтажки.

С учётом 50% проникновения, т.е. ~40 абонентов.

И ещё один вопрос - где в данной схеме живёт NAT?

[EShirokiy]

@s.lobanov это может быть удобно провайдеру, но не удобно абоненту. Ну и косвенно провайдеру, т.к. звонков в техподдержку больше. Абонент должен быть максимально автономен.

[LostSoul]

8 часов назад, EShirokiy сказал:

@s.lobanov это может быть удобно провайдеру, но не удобно абоненту. Ну и косвенно провайдеру, т.к. звонков в техподдержку больше. Абонент должен быть максимально автономен. 

По мнению Saab95 пускай лучше абонент изучает как PPPoE настраивать  ( а заодно не имеет возможности ни комп без роутера в провайдера воткнуть если что-то сломается, ни обновления в процессе установки OS выкачать, ни netinstall без роутера запустить )   , чем при добавлении новой железки тупо на веб-формочке логин и пароль введет :-)

 

[Saab95]

18 часов назад, AlKov сказал:

А распишите, пожалуйста, модели этих самых волшебно-дешёвых роутеров и их количество, которое потребуется для подключения, ну например, стандартной 80-ти квартирной пятиэтажки.

С учётом 50% проникновения, т.е. ~40 абонентов.

И ещё один вопрос - где в данной схеме живёт NAT?

CRS326-24G-2S+RM - 2 штуки. Далее на промежуточный узел или в центр идут 2 волокна, либо одно, тогда устройства подключаются цепочкой. Каждое устройство имеет на абонентском порту его IP, более ничего не делает.

NAT и все остальное уже на других железках ближе к центру.

 

Стоит такой микротик 12 тыс.р.

 

А если в подъезде уже стоит некий старый коммутатор, то 2-3-4 таких коммутатора можно свести на коробочку CRS305-1G-4S+IN - которая легко их соединит, навесит сразу IP на вланы, и в центр уже все по L3 пойдет. По производительности она легко осилит более гигабита на роутинге.

 

20 часов назад, s.lobanov сказал:

а что не так с pppoe?

Не забываем и про удобное масштабирование центрального узла - когда можно подтыкать сервера и получать балансировку, чего с IPoE сделать сложнее.

[AlKov]

2 часа назад, Saab95 сказал:

CRS326-24G-2S+RM - 2 штуки. Далее на промежуточный узел или в центр идут 2 волокна, либо одно, тогда устройства подключаются цепочкой. Каждое устройство имеет на абонентском порту его IP, более ничего не делает.

 

Вы хотите сказать, что эта железка самостоятельно умеет решать ВСЕ следующие задачи:

1. изоляция клиентов на L2

2. изоляция клиентов на L3

3. защита от подмены МАС/IP клиентом

4. защита от статического назначения IP клиентом

5. защита от "левых" DHCP серверов со стороны клиента

 

[LostSoul]

21 минуту назад, AlKov сказал:

5. защита от "левых" DHCP серверов со стороны клиента

там еще и проблема "левых" PPPoE серверов в полный рост поднимается.

В сети одного gpon оператора в сходне таких штук 6 как-то насчитал :-)

( не по злому умыслу , а просто бедолаги клиенты настраивая свои роутеры по инструкции клиент и сервер pppoe путают  и на всякий случай включают все сразу)

 

Эх, помню 90е годы когда  первые пионернеты всем клиентам настройки IP статикой вбивали, потому что типа так надежнее и удобнее диагностировать когда пол сети грозой повыбивает.

( если настроить клиенту dhcp , а потом его сегмент отгорел, то абонент включает компьютер,  не получает никакого IP и невозможно искать место неполадки на сети путем последовательного обхода гирлянды "мыльниц" и пингования клиента из квартиры каждого другого клиента ( так как ноутбуки тоже тогда для пионеров была непозволительная роскошь )  .

Так вот,  в те далекие времена одним из любимых развлечений поставленных в правильную сексуальную позу клиентов, было перепутать в своих настройках IP-адрес  и "IP-адрес шлюза"   ( как это в Windows 95 называлось ).

После чего, ближайшая к такому пользователю половина сети ( куда время arp-ответа было меньше чем от "ядра"  ) радостно ложилась.

А учитывая, что все клиенты звонили и жаловались что "просто не работает" , без подробностей кто и чего делал, а сеть была 100% неуправляемая это было весело.

 

( Всё это опыт работы монтажником у конкурентов  , я естественно, проектируя в 90е свою сеть легко и быстро придумал как сделать на Windows 95 / 98 и авторизацию IP-Mac-binding из коробки без дополнительных телодвижений и насилия над пользователем по вводу IP-адреса , и сохранить функционал диагностики. ( у нас и гирлянд было минимально , не более 3 в цепочке на сегмент даже в 90е , обычно не более 2 )

 

 

 

[AlKov]

И ещё - наверное, самое главное - какие бы очки я не надевал, но так и не смог увидеть преимущества L3 на доступе..

Разве что кроме одного - относительно дешёвого оборудования доступа (и то только микротиков).

Но аксиому "дешёвого сыра" до сих пор никто не отменял..

[NiTr0]

4 часа назад, AlKov сказал:

Разве что кроме одного - относительно дешёвого оборудования доступа (и то только микротиков).

л2 доступ таки дешевле. а при влане на пользователя - так вообще практически любого вебсмарта хватит, лишь бы вланы умел.

[Saab95]

21 час назад, AlKov сказал:

1. изоляция клиентов на L2

Представьте таки да - каждый клиент подключен к своему порту коммутатора (в данном случае роутера), каждый порт изолирован.

 

21 час назад, AlKov сказал:

2. изоляция клиентов на L3

А это тут к чему? Хотите заблокируйте обмен трафиком между абонентами, хотите разрешайте - решается одним правилом.

 

21 час назад, AlKov сказал:

3. защита от подмены МАС/IP клиентом

Вы понимаете хотя бы, что пишите? Если абонент подключен в свой порт, и только в этом порту он может получить свой IP, то как он может IP поменять? Ну поменяет у себя, что толку, роутер все равно будет на этом порту работать только с тем IP, который на роутере для этого порта прописан. Мак адрес тут вообще уже как какой-то идентификатор не используется.

 

21 час назад, AlKov сказал:

4. защита от статического назначения IP клиентом

Выше уже написал. На порту роутера установлен IP адрес, выделенный абоненту. Работать может только этот адрес, и никакой другой. Абонент может его себе руками прописать, или получить через DHCP, и то, настраивается. Можно сделать так, что бы при выдаче адреса через DHCP создавалась ARP запись, и если абонент себе адрес руками нужный введет - все равно работать не будет.

 

21 час назад, AlKov сказал:

5. защита от "левых" DHCP серверов со стороны клиента

Выше уже написано - порт абонента это только его порт, он может там сделать себе DHCP сервер и получать адрес от него, только и интернет у него работать уже не будет=)

 

То есть судя по вопросам, многие провайдеры даже далеко не понимают, что такое L3 доступ, потому что задают вопросы, которые при этой технологии не возникают.

 

16 часов назад, AlKov сказал:

И ещё - наверное, самое главное - какие бы очки я не надевал, но так и не смог увидеть преимущества L3 на доступе..

Преимущество в том, что не надо тянуть авторизацию в центр. А это позволяет уже с подъездного роутера тянуть оптику на соседние дома, на промежуточные узлы, в центр - то есть создавать большое количество избыточных связей, и пускать трафик по разным направлениям. Яркий пример это внутрисетевой трафик между абонентами. Допустим передает один клиент из одного дома другому клиенту, который живет в соседнем доме, и между этими домами есть оптика. Тогда данные в центр не пойдут, и не будут загружать магистральные каналы до него. Другой вариант это когда есть свои каналы для связи с центром, а, для резерва, можно купить у другого оператора канал до своей точки обмена трафиком, и использовать ее либо как резерв (с минимальной оплатой), либо для разгрузки основных каналов, например на время ремонта оптики, или если не успевает сделать расширение.

[Saab95]

12 часов назад, NiTr0 сказал:

л2 доступ таки дешевле. а при влане на пользователя - так вообще практически любого вебсмарта хватит, лишь бы вланы умел.

Видел я такие сети, где 5000 абонентов. В центре сети пачки коммутаторов, подключенных к другой пачке коммутаторов, вид из ужастиков на наге. А к центральному узлу идет порядка 40-50 оптических кабелей с соседних домов, и кроссы целую стойку занимают. И админов человек 10 сидят, и вланы по цепочке коммутаторов прописывают или настройки меняют.

[NiTr0]

39 минут назад, Saab95 сказал:

Видел я такие сети, где 5000 абонентов. В центре сети пачки коммутаторов, подключенных к другой пачке коммутаторов, вид из ужастиков на наге. А к центральному узлу идет порядка 40-50 оптических кабелей с соседних домов, и кроссы целую стойку занимают. И админов человек 10 сидят, и вланы по цепочке коммутаторов прописывают или настройки меняют. 

ох уж эти фантазеры :) никто все в центр не тянет, есть вполне себе агрегация.

и вланы никто не пробрасывает ежедневно - это же не некротик, которому надо "правильные настройки" подбирать, для каждого из 20 штук в стойке :)

[AlKov]

17 минут назад, NiTr0 сказал:

ох уж эти фантазеры :)

:-)