[AndyWolk]

Среди недостатков - работает не со всеми сетевыми адаптерами, к примеру не все nForce опознавала.

На моей памяти не работает только с nForce, кривоватые дрова у этих карт.

Причем это поправимый глюк. Надеюсь, в будущем исправить.

[AndyWolk]

Несколько дней назад в довесок к веб-управлялке утилитку написал для поиска юзеров, меняющих свой IP.

Вешается как сервис в windows. Сканирует ARP-таблицу по SNMP на маршрутизаторе Nortel. Сверяется с MySql базой, находит злоумышленников.

В первые же минуты после запуска отключили от сети несколько человек за подмену адресов :) Через день после объяснений включили обратно.

Кому интересно, поделюсь опытом.

[Terol]

Не понимаю недовольства к решению на windows. Ставится и настраивается просто, писать логи может в любой ODBC источник, понимает внешние команды (практически можно все сделать), т.е. связка RAE + MSDE или MS SQL 2005 Express + RRAS позволяет решать практически любую задачу.

ODBC работает очень медленно. По большей части скорость работы зависит от самих ODBC драйверов. Нормальные бесплатные драйвера видел только для MS продуктов. Как сервер для биллинга windows не слишком хорош. В *nix я могу выключить практически все не нужные мне сервисы. В windows это проблематично. Так же не забываем про стратегию работы с памятью. Она там не слишком удачна. Памяти там должно быть всегда больше чем надо иначе может начаться процесс свопинга. Ну собственно и т.п. и т.д.

Как я уже сказал, не пишите вы в сторонние базы. в MS SQL пишет на ура и драйвер ODBC для MS SQL один из быстрых. Для самого биллинга вам его хватит за глаза, для отчетов если не хватает можете на ASP ипользовать OLEDB

(C MySQL возожностей меньше - там нет ни триггеров не хранимых процедур)

PostgreSQL, Oracle, Firebird список можно продолжить.

Давайте только вспомним, было ли это у них 10 лет назад? а 5 лет назад? Как я уже гоаорил PostgreSQL 8.1 появился недавно, а решение c MS SQL работало еще с версией 6.5. Поднимать же ДВЕ машины (одну для того что бы PostgreSQL работал под Unix, это только 8ка стала найтивной под Windows) ради всего учета, если справляется одна - не по юниксовски как то. :)

Статистика берется из базы и можно не городить огород с PHP, а написать на ASP (да хоть на ASP.NET). Работает как под Windows NT так и под Windows 2003. Для миграции пользователей с машины можно не переставлять, а апдейтить железо (ядро в стандартный режим, запуск на новом железе, ядро обратно ACPI) или есть куча программ миграции (как в reskit так и сторонних производителей).

:] В *nix такой проблемы вообще нет. Можно апдейтится до упора. Перенос с одного железа на другое вообще не представляет сложности (самолично переносил биллинг с двух машин причем с заменой версии СУБД на major).

Перенесите FreeBSD. я с ней имел немного секса. Если вы используете патч для поддержки(эмуляции) шифрования то вы поймете о чем я. А если вы заставляете пользователей отключать это -то да. вопрос у вас такой не возникает.

По соединениям ограничен только самим windows, на NT это 256 одновременных было, в Windows 2003 уже 4000. Принимать может как PPTP так и PPPоE. Для маленького провайдера вообще идеальное решение - Celeron 400|512Мб (Менял только винт (тупо перезаливал на новый))- работает уже с 2000 года, без нареканий в среднем больше 100 абонентов онлайн. Мало? ну так и городок маленький.

*nix решение будет работать на том же, но памяти ему будет надо в двПа раза меньше.

не будет. Точнее будет но будет 70-80% нагрузка на CPU. Уже попропробовали. Два человека спросили историю за два года и все это вообще захлебнулось. (ну не умерло конечно но ждали по 5-7 секунд)

А по поводу unix биллинга. Если честно НЕ ВИДЕл я пока достойного под unix.

гляньте хоть вот это Cake. Вещь под GPL лицензией. Функционал маловат, но использовать концепцию и написать свое с большим функционалом или расширить никто не мешает.

Спасибо, посмотрю

 

 

Так что бы заплатил и горя не знал. Везде нужен рашпиль и долгая обработка. Даже в платных.

Универсальные биллинги есть... но захочется ли вам платить бешенные деньги за них?

Нет. Но сам факт - есть или нет такие?

Несомненно тут много людей, которые скажут - "самим написать слабо". Не слабо. Вопрос - ЗАЧЕМ, если уже есть.

Когда у вас возникнут проблемы с масштабированием решения тогда поймете.

я уже ответил вам как это масштабируется. И RRAS сервера в одну базу могут лазить и разнести базы вы тоже можете.

В свое время я искал биллинг для информационно развлекательного портала. Перебрал кучу. (чесно скажу, сейчас уж не вспомню - было год назад, в списке) - остановился на abills. Из всего что ечть - пока ИМХО наиболее достойный вариант - хотя рашпилем тоже работать и работать. Но хотябы базово умеет то что нужно.

Мне abills не понравился реализацией. Реализация будет загибаться при средней нагрузке.

Наверное. Не готов вам утверждать обратное. пока не нагружали его сильно. Но интерфейс сильно тормозит.

и кстати решение - масштабируемое load balancer (встроенный в windows) и ставьте хоть 1000 таких машин.

Какова будет устойчивость решения и его масштабируемость?

Вы в чем это замеряете, простите? Вы сомневаетесь в работоспособности балансера или в работоспособности каждого сервера по отдельности?

[Terol]

Несколько дней назад в довесок к веб-управлялке утилитку написал для поиска юзеров, меняющих свой IP.

Вешается как сервис в windows. Сканирует ARP-таблицу по SNMP на маршрутизаторе Nortel. Сверяется с MySql базой, находит злоумышленников.

В первые же минуты после запуска отключили от сети несколько человек за подмену адресов :) Через день после объяснений включили обратно.

Кому интересно, поделюсь опытом.

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься. У нас RADIUS пишет все эвенты сразу в MS SQL, а потом скрипт выбирает только нужную инфу. После того как поймали нескольких красавцев - воровство паролей практически сошло на нет.

[Terol]

sauron, посмотрел Cake - не увидел ограничения скорости пользователю и назначения цены разному трафику (в разные подсети). В abills это как раз есть.

 

P.S. Считать же по времени и по трафику умеют практически все современные биллинги, в том числе и RAE. Смысл тогда менять RAE на Cake?

Изменено 17 августа, 2006 пользователем Terol

[AndyWolk]

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься. У нас RADIUS пишет все эвенты сразу в MS SQL, а потом скрипт выбирает только нужную инфу. После того как поймали нескольких красавцев - воровство паролей практически сошло на нет.

Согласен, такое можно и автоматом анализировать. RRAS тоже логи сохраняет.

Только нужно определиться с критериями подозрительности.

Одно дело составлять список тех, кто пользуется инетом, привязанным не к его машине.

Другое дело выбирать из них настоящих злоумышленников.

Какие критерии?

[Terol]

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься. У нас RADIUS пишет все эвенты сразу в MS SQL, а потом скрипт выбирает только нужную инфу. После того как поймали нескольких красавцев - воровство паролей практически сошло на нет.

Согласен, такое можно и автоматом анализировать. RRAS тоже логи сохраняет.

Только нужно определиться с критериями подозрительности.

Одно дело составлять список тех, кто пользуется инетом, привязанным не к его машине.

Другое дело выбирать из них настоящих злоумышленников.

Какие критерии?

А это как хотите. Мы обычно не прижимаем клиента за выход с разных IP, если начинается разброс или клиент жалуется - то сразу все IP адреса накрываем и народ на ковер вызываем. Бывает тема что клиент дал приятелю попользоваться и потом забыл. Что бы не "давали", блокируем выход с других IP.

[Saper]

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься.

У них же вроде DHCP работает, или я ошибаюсь ? А если DHCP, то IP не может быть "не тот", потому что нет точной инфы каким он должен быть в данный момент времени.

Изменено 17 августа, 2006 пользователем Saper

[Terol]

 

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься.

У них же вроде DHCP работает, или я ошибаюсь ? А если DHCP, то IP не может быть "не тот", потому что нет точной инфы каким он должен быть в данный момент времени.

у них это у кого? если DHCP то адрес тоже может быть ТОТ, кстати. DHCP Leasing это назвается.

[AndyWolk]

 

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься.

У них же вроде DHCP работает, или я ошибаюсь ? А если DHCP, то IP не может быть "не тот", потому что нет точной инфы каким он должен быть в данный момент времени.

у них это у кого? если DHCP то адрес тоже может быть ТОТ, кстати. DHCP Leasing это назвается.

Да не. Он имел ввиду, что в нашей организации используется DHCP.

Но на самом деле хоть и работет DHCP, мы всегда знаем, какой адрес будет выдан тому или иному клиенту, потому что мы знаем все их MAC-адреса.

[Saper]

у них это у кого? если DHCP то адрес тоже может быть ТОТ, кстати. DHCP Leasing это назвается.

У Андрея. Кстати, если уж я упомянул о DHCP, то вопрос - есть ли методы/способы/софт какой нибудь обнаруживать работу и находить хулиганов или ламеров которые будут ставить свои DHCP сервера нарочно, или случайно втыкать у себя дома железо, типа точки или домашнего роутера в котором может быть включен DHCP и который будет если не парализовывать, то очень мешать работе сети ?

 

Только этот факт, о возможных проблемах которые могут быть останавливает от того чтобы везде включить DHCP. Потому как настраивая всех на статические ip о таких проблемах не думаешь вообще, потому что их в принципе не может быть.

[AndyWolk]

 

у них это у кого? если DHCP то адрес тоже может быть ТОТ, кстати. DHCP Leasing это назвается.

У Андрея. Кстати, если уж я упомянул о DHCP, то вопрос - есть ли методы/способы/софт какой нибудь обнаруживать работу и находить хулиганов или ламеров которые будут ставить свои DHCP сервера нарочно, или случайно втыкать у себя дома железо, типа точки или домашнего роутера в котором может быть включен DHCP и который будет если не парализовывать, то очень мешать работе сети ?

 

Только этот факт, о возможных проблемах которые могут быть останавливает от того чтобы везде включить DHCP. Потому как настраивая всех на статические ip о таких проблемах не думаешь вообще, потому что их в принципе не может быть.

Ой мы тоже краем мысли изначально побоялись идеи DHCP.

Но на самом деле во время опроса DHCP-сервера по-нормальному выдавать запись и TTL к ней на несколько часов. В течение этого времени у клиента будет все окей до момента следующего опроса DHCP-сервера.

Если в сегменте появится клоун с собственным DHCP, то выловить его проще некуда.

Первый же позвонивший абонент вам продиктует адрес сервера, с которого он получил запись.

Просто кликнуть в окошечке "Сведения" сетевого адаптера.

Изменено 17 августа, 2006 пользователем AndyWolk

[Saper]

Если в сегменте появится клоун с собственным DHCP, то выловить его проще некуда.

Первый же позвонивший абонент вам продиктует адрес сервера, с которого он получил запись.

Просто кликнуть в окошечке "Сведения" сетевого адаптера.

Предположим это будет как обычно 192.168.0.1

Изменено 17 августа, 2006 пользователем Saper

[AndyWolk]

Если в сегменте появится клоун с собственным DHCP, то выловить его проще некуда.

Первый же позвонивший абонент вам продиктует адрес сервера, с которого он получил запись.

Просто кликнуть в окошечке "Сведения" сетевого адаптера.

Предположим это будет как обычно 192.168.0.1

Если сеть не маршрутизируемая, то проверить можно просто arp-a .

В маршрутизируемой сети абонент максимум может назначить себе IP адрес шлюза.

Ловить точно также. Но вообще прецендент довольно редок.

[SNEG]

сугубо мое имхо:

хотите заниматься серьезным бизнесом - учите матчасть.

хотите пионернет - статья как раз подойдет.

[Saper]

сугубо мое имхо:

хотите заниматься серьезным бизнесом - учите матчасть.

хотите пионернет - статья как раз подойдет.

Спасибо. Очень содержательный комментарий.

[Terol]

сугубо мое имхо:

хотите заниматься серьезным бизнесом - учите матчасть.

хотите пионернет - статья как раз подойдет.

Хорошее мнение. Только как я говорил оно подходит к городам миллионникам. Попробуйте с вашими цисками окупится и запустится без солидного инвестора в тысячниках.

 

у нас один такой с пальцами слил, перепродают его уже дцатый раз. Второй еще не выбрался из долгов. Пионеры как вы их называете, работают.

Изменено 17 августа, 2006 пользователем Terol

[sauron]

Как я уже сказал, не пишите вы в сторонние базы. в MS SQL пишет на ура и драйвер ODBC для MS SQL один из быстрых. Для самого биллинга вам его хватит за глаза, для отчетов если не хватает можете на ASP ипользовать OLEDB

Вы готовы остегнуть за MS SQL деньги ? Использование бесплатной версии это не более чем полумера. Так же на забываем что еще надо отстегнуть за ОС.

 

Давайте только вспомним, было ли это у них 10 лет назад? а 5 лет назад? Как я уже гоаорил PostgreSQL 8.1 появился недавно, а решение c MS SQL работало еще с версией 6.5.

1. PostgreSQL уже был.

2. 5 лет назад я лично использовал Interbase. У которого была уже тогда бесплатная версия с ограничем количества подключений.

 

Поднимать же ДВЕ машины (одну для того что бы PostgreSQL работал под Unix, это только 8ка стала найтивной под Windows) ради всего учета, если справляется одна - не по юниксовски как то. :)

А зачем две ? Можно и на одной. Потом зачем поднимать софт на windows?

 

Перенесите FreeBSD. я с ней имел немного секса. Если вы используете патч для поддержки(эмуляции) шифрования то вы поймете о чем я. А если вы заставляете пользователей отключать это -то да. вопрос у вас такой не возникает.

Вообще я говорил пор СУБД. Потом в *nix при переносе системы с железа на железо всегда проблем меньше чем в windows.

 

не будет. Точнее будет но будет 70-80% нагрузка на CPU. Уже попропробовали. Два человека спросили историю за два года и все это вообще захлебнулось. (ну не умерло конечно но ждали по 5-7 секунд)

На чем ? Какой *nix ну и собственно все характеристики в студию.

 

 

Нет. Но сам факт - есть или нет такие?

Есть. Стоимость начиная от 1000$ Насколько помню одна из таких АСР "Град".

 

 

я уже ответил вам как это масштабируется. И RRAS сервера в одну базу могут лазить и разнести базы вы тоже можете.

Если мы разносим базы то тут встает вопрос с репликацией. У RRAS сервера же основная нагрузка это терминация. Да кстати вопрос RADIUS используется у вас или нет?

 

Наверное. Не готов вам утверждать обратное. пока не нагружали его сильно. Но интерфейс сильно тормозит.

Дело в том что он реализован на скриптовом языке и по сути на каждый пакет radius происходит вызов скрипта. В cake да и в FreeNIBS производится вызов sql. Хотя в FreeNIBS бизнес-логика вшита код драйвера для FreeRADIUS с моей точки зрения это не слишком удачно.

 

 

Вы в чем это замеряете, простите? Вы сомневаетесь в работоспособности балансера или в работоспособности каждого сервера по отдельности?

В работоспособности каждого сервера в отдельности.

[sauron]

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься. У нас RADIUS пишет все эвенты сразу в MS SQL, а потом скрипт выбирает только нужную инфу. После того как поймали нескольких красавцев - воровство паролей практически сошло на нет.

Еще к pppd существует патч который передает ip адрес подключения как аттрибут радиуса.

 

sauron, посмотрел Cake - не увидел ограничения скорости пользователю и назначения цены разному трафику (в разные подсети). В abills это как раз есть.

Я знаю что есть. Но если честно то мне не нравится их реализация.

 

P.S. Считать же по времени и по трафику умеют практически все современные биллинги, в том числе и RAE. Смысл тогда менять RAE на Cake?

Учет по времени прикручивается левой ногой. Стоит только внимательно посмотреть дамп базы.

[Shiva]

Вы готовы остегнуть за MS SQL деньги ? Использование бесплатной версии это не более чем полумера. Так же на забываем что еще надо отстегнуть за ОС.

Microsoft Action Pack :) почитайте Или Windows 2003 SBS