[Andrеw]

а что в качестве серверов доступа используется?

К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег

ну и как оно все сегменты на ТИ забить? :\

Сегменты не на ТИ, они на L3 свитче кончаются!

 

а что в качестве серверов доступа используется?

К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег

А где VLAN-ы тарминируются ? вообще Трафик Инспектор VLAN-ы понимает?

Эх писал я вам на дргом форуме и даже схему считал вполне оптимальную. Значит зря.

1-Вам так или иначе нужен человек со знанием всей этой бодяги, без него вы мало чего сделаете, хотя знаний набираетесь

2-Все как обычно уприрается в деньги и каждый ищет оптимальную схему для себя любимого. Нет одиноковых сетей в принципе, у каждого свой биллинг, сеть, виланы, и т.д. И вам придется либо делать свое, либо использовать чужие решения и проекты. Для своего вам пока знаний маловато(не в обиду). Любой проектировщик, интегратор и т.п предложит собственное решение которое будет отличаться от других, это нормально.

+1

 

2BudushiyISP

Могу расписать Вам схему сети с экономическим обоснованием (за недорого)

Изменено 15 октября, 2008 пользователем Andrеw

[BudushiyISP]

а что в качестве серверов доступа используется?

К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег

ну и как оно все сегменты на ТИ забить? :\

Сегменты не на ТИ, они на L3 свитче кончаются!

 

а что в качестве серверов доступа используется?

К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег

А где VLAN-ы тарминируются ? вообще Трафик Инспектор VLAN-ы понимает?

Эх писал я вам на дргом форуме и даже схему считал вполне оптимальную. Значит зря.

1-Вам так или иначе нужен человек со знанием всей этой бодяги, без него вы мало чего сделаете, хотя знаний набираетесь

2-Все как обычно уприрается в деньги и каждый ищет оптимальную схему для себя любимого. Нет одиноковых сетей в принципе, у каждого свой биллинг, сеть, виланы, и т.д. И вам придется либо делать свое, либо использовать чужие решения и проекты. Для своего вам пока знаний маловато(не в обиду). Любой проектировщик, интегратор и т.п предложит собственное решение которое будет отличаться от других, это нормально.

+1

 

2BudushiyISP

Могу расписать Вам схему сети с экономическим обоснованием (за недорого)

Литература творит благое дело. Думаю сделать так к примеру пусть железо всё управляемое, на коммутаторах доступа в домах оформляю по принципу VLAN - порт ( клиент), дальше все VLAN-ы идут на районный коммутатор второго уровня, потом приходят на коммутатор 3 уровня. Коммутатор. К коммутатору третьего уровня подключены сервер доступа и биллинг в одном лице (возьмем Ideco-software наверно слышали о таком) который контролирует внешний трафи, т.е. считает и шейпит. А самое главное весь локальный трафик гоняется через коммутатор ядра, сервер доступа и биллинг при этом почти отдыхают, к серверу поступает только чистый нетегированный трафик. Трафик в локальной сети бесплатен, но есть абон. плата. Как сделать так, чтобы мак и айпи клиента или др. парамметры, который вовремя не оплатил, передавались бы всем коммутаторам сети, и он блокировался бы, и чтобы это было как то связано с биллингом, централизовано одним словом, какие варианты, можно подробности на эту тему?

 

 

[SmokerMan]

Во каша в голове... :-)

[Nafanya]

Литература творит благое дело. Думаю сделать так к примеру пусть железо всё управляемое, на коммутаторах доступа в домах оформляю по принципу VLAN - порт ( клиент), дальше все VLAN-ы идут на районный коммутатор второго уровня, потом приходят на коммутатор 3 уровня. Коммутатор. К коммутатору третьего уровня подключены сервер доступа и биллинг в одном лице (возьмем Ideco-software наверно слышали о таком) который контролирует внешний трафи, т.е. считает и шейпит. А самое главное весь локальный трафик гоняется через коммутатор ядра, сервер доступа и биллинг при этом почти отдыхают, к серверу поступает только чистый нетегированный трафик. Трафик в локальной сети бесплатен, но есть абон. плата. Как сделать так, чтобы мак и айпи клиента или др. парамметры, который вовремя не оплатил, передавались бы всем коммутаторам сети, и он блокировался бы, и чтобы это было как то связано с биллингом, централизовано одним словом, какие варианты, можно подробности на эту тему?

вот после слов про коммутатор третьего уровня:

в ядро будут подключены серверы доступа(шлюз, который отдаёт статистику траффика биллингу и шейпит) и биллинг (который считает и полисит). Если клиент неоплачивает услуги: биллинг говорит шлюзу, чтобы он удалил правило, разрешающее доступ в Интернет - клиент лишается услуги и (опционально) добавляет правило, которое редиректит клиента на страничку "Заплати бабла и лети дальше". Если крови мало, можно пойти ещё дальше и обучить биллинг отключать порт клиента по snmp(радикальный способ) или переводить клиента в guest-vlan.

 

[Sergey Shubin]

Зачем все так усложнять?

При VLAN на всех имеем - ARP spoofing, DHCP spoofing, подмена MAC и IP. И т.д.

Все решения - DHCP snooping, relay, IP-source-guard, op 82, MAC-port binding основаны ТОЛЬКО на управляемом железе

При VLAN на пользователя - все будет работать идеально.

Доп вопросы- что делать с терминацией VLAN и т.п решаются исходя из вопроса - как делаем доступ.

Либо наоборот выбираем ядро и делаем доступ.

Надо от чего-то отталкиваться при обсуждении конкретных схем и их критике.

[sid1333]

Использую следующую схему: агрегирующий L3 -> L2 на группу домов -> кольца из des-3028.

Используется 1 vlan на такую группу домов + vlan на реальники. На доступе access list'ами прибивается ip на порт абонента (блокируются поддельные arp и ip пакеты с порта), дропится netbios и dhcp. Настройки абонент получает по dhcp через option 82, или прописывает сам (как ему угодно :))

 

Пока в каждом их таких сегментов не более 800 пользователей, и особых проблем не было.

 

Vlan на пользователя можно организовать используя supervlan, но не так много "дешёвых" железок это умеют :(

[BudushiyISP]

Использую следующую схему: агрегирующий L3 -> L2 на группу домов -> кольца из des-3028.

Используется 1 vlan на такую группу домов + vlan на реальники. На доступе access list'ами прибивается ip на порт абонента (блокируются поддельные arp и ip пакеты с порта), дропится netbios и dhcp. Настройки абонент получает по dhcp через option 82, или прописывает сам (как ему угодно :))

 

Пока в каждом их таких сегментов не более 800 пользователей, и особых проблем не было.

 

Vlan на пользователя можно организовать используя supervlan, но не так много "дешёвых" железок это умеют :(

Каким образом у вас отключаются клиенты не уплатившие абон плату от ресурсов локальной сети ?

Изолированы ли клиенты друг от друга ?

Что в качестве сервера доступа стоит?

 

 

[user_anonymous]

Если используется VLAN на пользователя, то самым логичным методом отключения вообще видится отключение порта на коммутаторе доступа. Это можно сделать либо через telnet, либо через SNMP. Но, имхо, сначала надо просто блокировку + редирект на страничку с требованием оплатить услуги, а порт в даун уже у злостных.

Если же на доступе используется оборудование, понимающее 802.1x - вопрос отключения вообще сводится к изменению значения одного поля в базе данных, с которой общается RADIUS сервер.

[BudushiyISP]

Если используется VLAN на пользователя, то самым логичным методом отключения вообще видится отключение порта на коммутаторе доступа. Это можно сделать либо через telnet, либо через SNMP. Но, имхо, сначала надо просто блокировку + редирект на страничку с требованием оплатить услуги, а порт в даун уже у злостных.

Если же на доступе используется оборудование, понимающее 802.1x - вопрос отключения вообще сводится к изменению значения одного поля в базе данных, с которой общается RADIUS сервер.

Теорию эту читал, но вот хочу использовать www.ideco-software.ru в качестве биллинга, а как сделать так чтобы он передавал эти сведения, ведь насколько я знаю он не работает не по SNMP, не через Радиус...как тогда ?

[mikevlz]

дописать костыль, если идеко умеет вызывать костыли при наступлении событий.

А костылем уже отключать порты или добавлять/убирать ACL.

[kapa]

А посоветуйте, кто использует VLAN на абонента - как красиво организовать выдачу IP?

Оборудование легко позволяет сейчас переделать всё на VLAN на человека, но как представлю, что несколько тысяч оповещать....%)

Ну и плюс сейчас техподдержка моментально ассоциирует IP в большинстве случаев даже с квартирой абонента, а в некоторых районах с подъездом. А, если всё поменять, то я пока что-то не соображу как красивее адресацию придумать?

[mnemonic]

тоже собрались делать VLAN на абонента. Маршрутизация - все со всеми.

Авторизация в инет через pptp, сетевые настройки через DHCP Option 82(адреса серые).

 

Но есть одна заморочка: когда создаёшь соединение через VPN, то меняется шлюз по умолчанию и другие абоненты становяться недоступны.

Можно конечно передавать статическую таблицу через DHCP, но это же какой dhcpd.config тогда будет, громоздко и неудобно.

 

Может кто подскажет как обойти эту проблему.

[UglyAdmin]

Не понял, Вы "вилан на юзера" делали или что? Какой pptp, какие грибы? VLAN - это уже и есть туннель до каждого юзера, больше ничего не надо.

[UglyAdmin]

А посоветуйте, кто использует VLAN на абонента - как красиво организовать выдачу IP?

VLANs over IP Unnumbered subinterfaces

Красивее не придумаешь. Получил клиент IP по DHCP - в таблице маршрут прописался. Истекло время аренды и не продлил - удалился. Лепота...

 

[mnemonic]

Не понял, Вы "вилан на юзера" делали или что? Какой pptp, какие грибы? VLAN - это уже и есть туннель до каждого юзера, больше ничего не надо.

а как мне тогда доступом в инет управлять без Радиуса, который бы мне и скорость порезал и IP адрес интерфейсу выдал нужный.

 

понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать

[Bambuk]

понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать

ISG IP sessions. И авторизация и аккаунтинг через радиус будет.

 

[mnemonic]

понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать

ISG IP sessions. И авторизация и аккаунтинг через радиус будет.

и какую же железку мне надо будет поставить, чтобы использовать это удовольствие

[UglyAdmin]

7200VXR серии достаточно. Можно не на весь трафик, если хотите оставить халяву по локалке, а только на внешку. :)

[micros]

Кстати о VLAN:

http://xgu.ru/wiki/VLAN

Чтобы не было каши в головах :)

[mnemonic]

7200VXR серии достаточно. Можно не на весь трафик, если хотите оставить халяву по локалке, а только на внешку. :)

мне надо авторизовывать и считать только внешний трафик.

 

В этом случа трафик агрегируется сначала на L3 коммутаторе и если трафик внешний, то уходит на шлюз по умолчанию на Cisco 7200 на которой уже в зависимости от IP и MAC производиться авторизация.

 

Если я захочу считать внутренний трафик, то мне надо L2 гнать до 7200 и агрегировать на ней.

 

Я прав или что то не учёл?

Изменено 17 октября, 2008 пользователем mnemonic

[zoro]

mnemonic авторизация предпологает четкое определене пользователя.... если вы в ядре делаете привязку ип-мак то вопрос на уровне агетации-района и на доступе что у вас стоит? если там привязка мак-порт то имеет смысл :)...

 

[mnemonic]

mnemonic авторизация предпологает четкое определене пользователя.... если вы в ядре делаете привязку ип-мак то вопрос на уровне агетации-района и на доступе что у вас стоит? если там привязка мак-порт то имеет смысл :)...

Да про MAC я конечно прогнал, так как он остаётся на уровне агрегации района, значит авторизация только по IP, ну и если настраивать ISG там вроде можно сделать чтобы авторизация проходила через WEB портал с вводом логина и пароля

 

на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200

Изменено 18 октября, 2008 пользователем mnemonic

[sid1333]

Каким образом у вас отключаются клиенты не уплатившие абон плату от ресурсов локальной сети ?

Изолированы ли клиенты друг от друга ?

Что в качестве сервера доступа стоит?

Выставляется rate-limit на порту в 1000Кбит/c и абонент продолжает работать. Как уплатит абонентку скорость станет нормальной

В качестве "сервера доступа" стоит сервер с FreeBSD, режущий скорость через ng_car, выполняющий NAT и отсылающий статистику NetFlow

Клиенты друг от друга не изолированы, хотя нада бы...

Изменено 18 октября, 2008 пользователем sid1333

[rapsody]

на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200

А сколько интерфейсов можно завести на 3550 ?

 

[Andrеw]

на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200

А сколько интерфейсов можно завести на 3550 ?

до 1000