Andrеw Опубликовано 15 октября, 2008 (изменено) · Жалоба а что в качестве серверов доступа используется?К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег ну и как оно все сегменты на ТИ забить? :\ Сегменты не на ТИ, они на L3 свитче кончаются! а что в качестве серверов доступа используется?К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег А где VLAN-ы тарминируются ? вообще Трафик Инспектор VLAN-ы понимает? Эх писал я вам на дргом форуме и даже схему считал вполне оптимальную. Значит зря.1-Вам так или иначе нужен человек со знанием всей этой бодяги, без него вы мало чего сделаете, хотя знаний набираетесь 2-Все как обычно уприрается в деньги и каждый ищет оптимальную схему для себя любимого. Нет одиноковых сетей в принципе, у каждого свой биллинг, сеть, виланы, и т.д. И вам придется либо делать свое, либо использовать чужие решения и проекты. Для своего вам пока знаний маловато(не в обиду). Любой проектировщик, интегратор и т.п предложит собственное решение которое будет отличаться от других, это нормально. +1 2BudushiyISP Могу расписать Вам схему сети с экономическим обоснованием (за недорого) Изменено 15 октября, 2008 пользователем Andrеw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 15 октября, 2008 · Жалоба а что в качестве серверов доступа используется?К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег ну и как оно все сегменты на ТИ забить? :\ Сегменты не на ТИ, они на L3 свитче кончаются! а что в качестве серверов доступа используется?К сожалению, ТрафикИнспектор с доработанными скриптами. Ну его замена на что-то посолиднее - это вопрос времени и денег А где VLAN-ы тарминируются ? вообще Трафик Инспектор VLAN-ы понимает? Эх писал я вам на дргом форуме и даже схему считал вполне оптимальную. Значит зря.1-Вам так или иначе нужен человек со знанием всей этой бодяги, без него вы мало чего сделаете, хотя знаний набираетесь 2-Все как обычно уприрается в деньги и каждый ищет оптимальную схему для себя любимого. Нет одиноковых сетей в принципе, у каждого свой биллинг, сеть, виланы, и т.д. И вам придется либо делать свое, либо использовать чужие решения и проекты. Для своего вам пока знаний маловато(не в обиду). Любой проектировщик, интегратор и т.п предложит собственное решение которое будет отличаться от других, это нормально. +1 2BudushiyISP Могу расписать Вам схему сети с экономическим обоснованием (за недорого) Литература творит благое дело. Думаю сделать так к примеру пусть железо всё управляемое, на коммутаторах доступа в домах оформляю по принципу VLAN - порт ( клиент), дальше все VLAN-ы идут на районный коммутатор второго уровня, потом приходят на коммутатор 3 уровня. Коммутатор. К коммутатору третьего уровня подключены сервер доступа и биллинг в одном лице (возьмем Ideco-software наверно слышали о таком) который контролирует внешний трафи, т.е. считает и шейпит. А самое главное весь локальный трафик гоняется через коммутатор ядра, сервер доступа и биллинг при этом почти отдыхают, к серверу поступает только чистый нетегированный трафик. Трафик в локальной сети бесплатен, но есть абон. плата. Как сделать так, чтобы мак и айпи клиента или др. парамметры, который вовремя не оплатил, передавались бы всем коммутаторам сети, и он блокировался бы, и чтобы это было как то связано с биллингом, централизовано одним словом, какие варианты, можно подробности на эту тему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 15 октября, 2008 · Жалоба Во каша в голове... :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 октября, 2008 · Жалоба Литература творит благое дело. Думаю сделать так к примеру пусть железо всё управляемое, на коммутаторах доступа в домах оформляю по принципу VLAN - порт ( клиент), дальше все VLAN-ы идут на районный коммутатор второго уровня, потом приходят на коммутатор 3 уровня. Коммутатор. К коммутатору третьего уровня подключены сервер доступа и биллинг в одном лице (возьмем Ideco-software наверно слышали о таком) который контролирует внешний трафи, т.е. считает и шейпит. А самое главное весь локальный трафик гоняется через коммутатор ядра, сервер доступа и биллинг при этом почти отдыхают, к серверу поступает только чистый нетегированный трафик. Трафик в локальной сети бесплатен, но есть абон. плата. Как сделать так, чтобы мак и айпи клиента или др. парамметры, который вовремя не оплатил, передавались бы всем коммутаторам сети, и он блокировался бы, и чтобы это было как то связано с биллингом, централизовано одним словом, какие варианты, можно подробности на эту тему?вот после слов про коммутатор третьего уровня:в ядро будут подключены серверы доступа(шлюз, который отдаёт статистику траффика биллингу и шейпит) и биллинг (который считает и полисит). Если клиент неоплачивает услуги: биллинг говорит шлюзу, чтобы он удалил правило, разрешающее доступ в Интернет - клиент лишается услуги и (опционально) добавляет правило, которое редиректит клиента на страничку "Заплати бабла и лети дальше". Если крови мало, можно пойти ещё дальше и обучить биллинг отключать порт клиента по snmp(радикальный способ) или переводить клиента в guest-vlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Shubin Опубликовано 15 октября, 2008 · Жалоба Зачем все так усложнять? При VLAN на всех имеем - ARP spoofing, DHCP spoofing, подмена MAC и IP. И т.д. Все решения - DHCP snooping, relay, IP-source-guard, op 82, MAC-port binding основаны ТОЛЬКО на управляемом железе При VLAN на пользователя - все будет работать идеально. Доп вопросы- что делать с терминацией VLAN и т.п решаются исходя из вопроса - как делаем доступ. Либо наоборот выбираем ядро и делаем доступ. Надо от чего-то отталкиваться при обсуждении конкретных схем и их критике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sid1333 Опубликовано 15 октября, 2008 · Жалоба Использую следующую схему: агрегирующий L3 -> L2 на группу домов -> кольца из des-3028. Используется 1 vlan на такую группу домов + vlan на реальники. На доступе access list'ами прибивается ip на порт абонента (блокируются поддельные arp и ip пакеты с порта), дропится netbios и dhcp. Настройки абонент получает по dhcp через option 82, или прописывает сам (как ему угодно :)) Пока в каждом их таких сегментов не более 800 пользователей, и особых проблем не было. Vlan на пользователя можно организовать используя supervlan, но не так много "дешёвых" железок это умеют :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 17 октября, 2008 · Жалоба Использую следующую схему: агрегирующий L3 -> L2 на группу домов -> кольца из des-3028.Используется 1 vlan на такую группу домов + vlan на реальники. На доступе access list'ами прибивается ip на порт абонента (блокируются поддельные arp и ip пакеты с порта), дропится netbios и dhcp. Настройки абонент получает по dhcp через option 82, или прописывает сам (как ему угодно :)) Пока в каждом их таких сегментов не более 800 пользователей, и особых проблем не было. Vlan на пользователя можно организовать используя supervlan, но не так много "дешёвых" железок это умеют :( Каким образом у вас отключаются клиенты не уплатившие абон плату от ресурсов локальной сети ?Изолированы ли клиенты друг от друга ? Что в качестве сервера доступа стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user_anonymous Опубликовано 17 октября, 2008 · Жалоба Если используется VLAN на пользователя, то самым логичным методом отключения вообще видится отключение порта на коммутаторе доступа. Это можно сделать либо через telnet, либо через SNMP. Но, имхо, сначала надо просто блокировку + редирект на страничку с требованием оплатить услуги, а порт в даун уже у злостных. Если же на доступе используется оборудование, понимающее 802.1x - вопрос отключения вообще сводится к изменению значения одного поля в базе данных, с которой общается RADIUS сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 17 октября, 2008 · Жалоба Если используется VLAN на пользователя, то самым логичным методом отключения вообще видится отключение порта на коммутаторе доступа. Это можно сделать либо через telnet, либо через SNMP. Но, имхо, сначала надо просто блокировку + редирект на страничку с требованием оплатить услуги, а порт в даун уже у злостных.Если же на доступе используется оборудование, понимающее 802.1x - вопрос отключения вообще сводится к изменению значения одного поля в базе данных, с которой общается RADIUS сервер. Теорию эту читал, но вот хочу использовать www.ideco-software.ru в качестве биллинга, а как сделать так чтобы он передавал эти сведения, ведь насколько я знаю он не работает не по SNMP, не через Радиус...как тогда ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 17 октября, 2008 · Жалоба дописать костыль, если идеко умеет вызывать костыли при наступлении событий. А костылем уже отключать порты или добавлять/убирать ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 17 октября, 2008 · Жалоба А посоветуйте, кто использует VLAN на абонента - как красиво организовать выдачу IP? Оборудование легко позволяет сейчас переделать всё на VLAN на человека, но как представлю, что несколько тысяч оповещать....%) Ну и плюс сейчас техподдержка моментально ассоциирует IP в большинстве случаев даже с квартирой абонента, а в некоторых районах с подъездом. А, если всё поменять, то я пока что-то не соображу как красивее адресацию придумать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 17 октября, 2008 · Жалоба тоже собрались делать VLAN на абонента. Маршрутизация - все со всеми. Авторизация в инет через pptp, сетевые настройки через DHCP Option 82(адреса серые). Но есть одна заморочка: когда создаёшь соединение через VPN, то меняется шлюз по умолчанию и другие абоненты становяться недоступны. Можно конечно передавать статическую таблицу через DHCP, но это же какой dhcpd.config тогда будет, громоздко и неудобно. Может кто подскажет как обойти эту проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 октября, 2008 · Жалоба Не понял, Вы "вилан на юзера" делали или что? Какой pptp, какие грибы? VLAN - это уже и есть туннель до каждого юзера, больше ничего не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 октября, 2008 · Жалоба А посоветуйте, кто использует VLAN на абонента - как красиво организовать выдачу IP? VLANs over IP Unnumbered subinterfacesКрасивее не придумаешь. Получил клиент IP по DHCP - в таблице маршрут прописался. Истекло время аренды и не продлил - удалился. Лепота... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 17 октября, 2008 · Жалоба Не понял, Вы "вилан на юзера" делали или что? Какой pptp, какие грибы? VLAN - это уже и есть туннель до каждого юзера, больше ничего не надо.а как мне тогда доступом в инет управлять без Радиуса, который бы мне и скорость порезал и IP адрес интерфейсу выдал нужный. понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 17 октября, 2008 · Жалоба понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать ISG IP sessions. И авторизация и аккаунтинг через радиус будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 17 октября, 2008 · Жалоба понимаю что можно использовать IP Unnumbered и для агрегации весь трафик гнать в маршрутизатор и потом натить серые IP для выхода в инет (или сразу давать белые, тем кому сеть не нужна), но вот как всё это с биллингом связать ISG IP sessions. И авторизация и аккаунтинг через радиус будет. и какую же железку мне надо будет поставить, чтобы использовать это удовольствие Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 октября, 2008 · Жалоба 7200VXR серии достаточно. Можно не на весь трафик, если хотите оставить халяву по локалке, а только на внешку. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micros Опубликовано 17 октября, 2008 · Жалоба Кстати о VLAN: http://xgu.ru/wiki/VLAN Чтобы не было каши в головах :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 17 октября, 2008 (изменено) · Жалоба 7200VXR серии достаточно. Можно не на весь трафик, если хотите оставить халяву по локалке, а только на внешку. :)мне надо авторизовывать и считать только внешний трафик. В этом случа трафик агрегируется сначала на L3 коммутаторе и если трафик внешний, то уходит на шлюз по умолчанию на Cisco 7200 на которой уже в зависимости от IP и MAC производиться авторизация. Если я захочу считать внутренний трафик, то мне надо L2 гнать до 7200 и агрегировать на ней. Я прав или что то не учёл? Изменено 17 октября, 2008 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 17 октября, 2008 · Жалоба mnemonic авторизация предпологает четкое определене пользователя.... если вы в ядре делаете привязку ип-мак то вопрос на уровне агетации-района и на доступе что у вас стоит? если там привязка мак-порт то имеет смысл :)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 18 октября, 2008 (изменено) · Жалоба mnemonic авторизация предпологает четкое определене пользователя.... если вы в ядре делаете привязку ип-мак то вопрос на уровне агетации-района и на доступе что у вас стоит? если там привязка мак-порт то имеет смысл :)...Да про MAC я конечно прогнал, так как он остаётся на уровне агрегации района, значит авторизация только по IP, ну и если настраивать ISG там вроде можно сделать чтобы авторизация проходила через WEB портал с вводом логина и пароля на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200 Изменено 18 октября, 2008 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sid1333 Опубликовано 18 октября, 2008 (изменено) · Жалоба Каким образом у вас отключаются клиенты не уплатившие абон плату от ресурсов локальной сети ?Изолированы ли клиенты друг от друга ? Что в качестве сервера доступа стоит? Выставляется rate-limit на порту в 1000Кбит/c и абонент продолжает работать. Как уплатит абонентку скорость станет нормальнойВ качестве "сервера доступа" стоит сервер с FreeBSD, режущий скорость через ng_car, выполняющий NAT и отсылающий статистику NetFlow Клиенты друг от друга не изолированы, хотя нада бы... Изменено 18 октября, 2008 пользователем sid1333 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 18 октября, 2008 · Жалоба на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200 А сколько интерфейсов можно завести на 3550 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 18 октября, 2008 · Жалоба на доступе 2950, на районе агрегировать вланы 3550G. Для доступа в инет придёться ставить 7200 А сколько интерфейсов можно завести на 3550 ? до 1000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...