Перейти к содержимому
Калькуляторы

Выбор способа авторизации абонентов для сети на базе оборудования Mikrotik

Доброго дня.

 

Сеть

RB1100  центр в роли пограничного шлюза  +  bras pppoe(шейпер)

Далее РРЛ до точек доступа basebox5 (около 30, есть другой проект где их 120)

 

Схему  где точка доступа (AP) выступает как  bras pppoe  + шейпер + ospf(до центрального  узла)  потестил , вроде проблем нет. Цель была увидеть ip трафик абонента на точке доступа, что бы потом его поковырять на предмет queue  для приоритезации трафика, ну и уменьшить

broadcast трафик до центрального bras.

 

Сейчас думаю над вариантом выдачи адреса по dhcp, нарезкой скорости , подсчета трафика  и наличие сессии в биллинге и без привязки к mac-адресу клиента.

 

Столкнулся с некоторыми трудностями , а именно dhp-server  через radius , что нет accounting по трафику, думаю что можно решить через netflow , но пока не смог подружить биллинг  который выдал адрес по pppoe, а учет вести по netflow.

 

Вероятно можно через hotspot реализовать(AAA) , но я хочу что бы адрес выдавал billing  (серый, белый, серый для заблокированных)

И связка hotspot dhcp radius не совсем понятна,  что бы hotspot отправил запрос по radius ему нужно чтобы абонент уже имел адрес . 

Далее  в dhcp-server добавил local-pool,  и теперь hotspot отправил запрос в биллинг user=mac client , в hotspot появилась запись что абоненту ip из local-pool-- выдан адрес из биллинга ip такой-то. Странная схема  создания соответствий ip-ip.

А абонента надо еще занатить из левого пула.

 

Сейчас hotspot используем для  авторизации по номеру телефона в ТЦ,  но в той схеме адрес получает абонент по dhcp ,  а через radius проверяем подтверждение номера и ведем accounting.

 

Еще как вариант создал EOIP между центральной железкой и CPE   и сделал dhcp-relay   в качестве mac agent стал прилетать mac eoip тунеля,     уже что-то , для авторизации без привязки к mac абонента .

 

P.S. Закралась мысля, что а может ну его dhcp для радио абонентов.    Как писал ранее Saab  не стоит применять схемы для проводов , в радио. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое первое это не используйте хотспот никогда ни для чего, кроме хотспотов.

 

У вас есть 2 варианта работы:

 

1. OSPF сеть до каждой AP, на ней создаете бридж, в него wlan и EoIP туннель в центр, где поднят PPPoE сервер. Абоненты CPE терминируют сессию и раздают по кабелю серую подсеть. Если надо выдать белый IP, то на CPE через OSPF анонсится этот белый IP поштучно. Если брас в центре один, то PPPoE учетки лучше создать статические, ограничение скорости делать через профили.

 

2. OSPF сеть до каждой AP. На бридже (именно бридже) создаете уникальный влан, начиная с номера 2, его пробрасываете до CPE, где бриджуете с сетевым портом. Управление CPE на wlan без вланов управления на основе выделенной подсети на AP. На AP на каждом влане создаете DHCP сервер, и или через радиус, или на основе локальных данных, раздаете IP. Ограничение скорости опять же в центре.

 

У PPPoE плюс в легкости работы, полной изолированности сети и надежности, легко полностью отключить клиента и он не сможет ничего передавать в сеть. Схема 2 с вланами сложнее в настройке и администрировании, сложность в расширении (например установка дополнительной БС и перевод части абонентов на нее потребует перефаршировки вланов и адресации антенн, сложность отключения клиентов (например в случае рассылки спама в интернет).

 

Тянуть L2 от абонентов в центр можно только в EoIP туннелях или MPLS. Собственно схемы с EoIP и PPPoE широко распространены. Так же не забывайте про безопасность. Новое CPE для установки должно быть настроено на подключение к любому SSID, на нем заведен тестовый логин. Монтажники наводят по лампочкам антенну, звонят админу, он заходит на антенну, по телефону корректирует наведение, проверяет скорость. Устанавливает нужный логин и пароль, после чего монтажники показывают абоненту подключение.

 

Самое главное - не надо абонентам никогда менять IP адреса, если у него нет денег - идет перенаправление на страницу уведомления и все, заплатил - сразу продолжил работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас