Гoсть Опубликовано 26 октября, 2008 · Жалоба вот о том то и речь что зверя не аутентифицируемА зачем (с)? Телефонисты вон, сто лет не аути..это самое. ;-) И ничего, живут... Жили. Скора совсем помрут глядишь ;)Аутипофигация © НАГ :)) нужна для мобильности услуг, хотяб в пределах сети оператора. тьфу-тьфу....бог миловал, мы сразу нормальное покупаем,Гхм... И это в кризис... :-) Только позавидовать, да. Кризис то как и нужен чтоб все соплисты поотсыхали кхуям... :-) Зависть - плохое чувство, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 26 октября, 2008 · Жалоба Аутипофигация © НАГ :)) нужна для мобильности услуг, хотяб в пределах сети оператора.Гхм. И большой спрос на мобильность услуг в кабельных сетях? ;-) ЗЫ. Заметь, я еще даже не прошу огласить полный список продаваемых услуг. ;-))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба Коллеги я предложил разработчику биллинга Abills два варианта по внедрению VLAN на пользователя: Сеть до 1000 абонантов Первый вариант 1) Пользователь делает одну единственную настройку - получить IP адрес автоматически. На доступе ничего кроме 802.1q в сторону агрегации не используется (никаких DHCP Snooping и Option 82). Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). L3 Свичина агрегации работает в режиме DHCP Relay, запросе от релея к серверу передается ip интерфейс получивший первоначальный запрос, а он привязан к влану) и передают запрос на отдельно стоящий центральный DHCP сервер, который выдает юзеру определенный серый IP адрес. 2) Локалка вкл\выкл ACL'ами на агрегации. Гарантией что ACL отключит кого надо и отключенный юзер не сможет взять чужой адрес, является сама по себе схема VLAN на пользователя и терминация VLAN'ов интерфейсами с /30 подсетями. 3) Интернет должен считаться, но в дополнительной авторизации смысла думаю нет. Он ответил: 1) Не понятно как будет считаться трафик Интернет, если IP Будет меняться ? 2) Блокировка именно Интернета тут не возможна! Почему Второй Вариант 1) Пользователь делает одну единственную настройку - получить IP адрес автоматически. На доступе ничего кроме 802.1q в сторону агрегации не используется (никаких DHCP Snooping и Option 82). Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). L3 Свичина агрегации работает в режиме DHCP Relay, запросе от релея к серверу передается ip интерфейс получивший первоначальный запрос, а он привязан к влану) и передают запрос на отдельно стоящий центральный DHCP сервер, который выдает юзеру определенный серый IP адрес. 2) Локалка вкл\выкл ACL'ами на агрегации. Гарантией что ACL отключит кого надо и отключенный юзер не сможет взять чужой адрес, является сама по себе схема VLAN на пользователя и терминация VLAN'ов интерфейсами с /30 подсетями. 3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация На это он ответил: Нормально. Теперь у меня вопросы: Сеть вся абсолютная звезда все сведено, в центр. 1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей? 2) VLAN-ы я вдре должны удаляться и появляться при помощи биллинга? 3) Коммутаторы в зданиях можно ли предварительно настроить прописав все VLAN-ы и по какому-то протоколу их передать наверх в ядро? (какому) 4) Видите ли Вы Смысл в Микротике в моей схеме или можно каким -то образом всё-таки считать траффик Интернет по нетфлоу и точно для конкретного пользователя ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 7 февраля, 2009 · Жалоба 3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб? веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 7 февраля, 2009 · Жалоба 3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб? веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна. они поставят микротик на холодильник, и холодильник начнёт вводить логин с паролем :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба Городить вилан на рыло, и потом еще и веб-авторизацию вставлять, что-то в консерватории не то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 7 февраля, 2009 · Жалоба надо продвигать что-нибудь типа такого http://tools.ietf.org/html/draft-pruss-dhcp-auth-dsl-03 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией. Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 7 февраля, 2009 · Жалоба Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией. Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков. с удивлением слышу эти слова от человека проповедующего сквозное L2 + PC с PPPoE в качестве "брасов" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией. Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков. с удивлением слышу эти слова от человека проповедующего сквозное L2 + PC с PPPoE в качестве "брасов" :) У меня действительно L2 ядро, неуправляемый access и агрегация PPPoE на PC. Но если бы пять лет назад на меня свалился поток халявного инвесторского бабла - возможно я бы сделал и vlan на рыло способом, который описан выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба 3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб? веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна. Да вообще я с вами согласен, веб-=авторизация не удобна. По сути получается, что авторизация отдельная для Интернета не нужна. Но как решается проблема нехватки IP-интерфейсов при VLAN на пользователя? Почему разработчик биллинга задаётся вопросом как он будет считать трафик Интернета ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 7 февраля, 2009 · Жалоба правильным он вопросом задается. если трафик считать не там где поднимается "сессия", то погрешность будет большая. а в случае dhcp и IP интерфейсов "сессий" вообще нет. т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет. поэтому если надо считать трафик, то PPPoE и radius accounting. там что прошло через сессию, то и посчиталось, все честно. если очень хочется для IP сессий, то ISG. если у вас все равно все в центр приходит звездой, поставьте туда какой-нить ASR1002/ESP10, на 1000 сессий его более чем хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muchacho Опубликовано 7 февраля, 2009 · Жалоба Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). 1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей? Так где всётаки терминировать? В ядре - или с4500/с6500, или что-нибудь что умеет что-то типа supervlan. На агрегации - с3560 должно хватить на 1000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). 1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей?Так где всётаки терминировать? В ядре - или с4500/с6500, или что-нибудь что умеет что-то типа supervlan. На агрегации - с3560 должно хватить на 1000. И хватит ли IP-интерфейсов на все VLAN-ы на с3560 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 7 февраля, 2009 · Жалоба Кстати, про PPPoE+Netflow+Accouning. Есть одна прикольная штука. По крайней мере в нашем биллинге. Если абонент включится, резко чего-нибудь качнёт и отключится, то трафик ему не сосчитается. ) Связано с тем, что проходит стоп пакет, а Netflow ещё не дошёл. Но это надо быть очень умным пользователем. Да и анлимы уже - а там Netflow по сути не нужен (хотя есть мнение, что провайдер его там должен хранить - типа для правоохранительных органов). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба Вот логическая схема. Что в ней не верно подключено или не верно обозначено ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 7 февраля, 2009 · Жалоба C виду обычная такая схема, пригодна для небольших сетей с серой адресацией) Только с взаимодействием компонентов вам ещё долго разбираться, судя по комментариям)))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба C виду обычная такая схема, пригодна для небольших сетей с серой адресацией) Только с взаимодействием компонентов вам ещё долго разбираться, судя по комментариям)))))) Почему она непригодна для большей сети? Я думаю если каждый в своём VLAN зачем дополнительная авторизация? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 7 февраля, 2009 · Жалоба Гдавным образом потому, что использутся /29 на юзера --> нужно использовать серые адреса и НАТ --> НАТ на большую производительность стоит больших денег (cм. cisco ACE например), ну и прочие мелочи, типа отсутствия резервирования ключевых узлов и то что на 3560 рекомендовано имхо 8 svi (т.е. хз как он себя поведет при 1К svi под нагрузкой и с использованием других функций, типа АЦЛ например) . Про дополнительную авторизацию я ничего не говорил) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба Гдавным образом потому, что использутся /29 на юзера --> нужно использовать серые адреса и НАТ --> НАТ на большую производительность стоит больших денег (cм. cisco ACE например), ну и прочие мелочи, типа отсутствия резервирования ключевых узлов и то что на 3560 рекомендовано имхо 8 svi (т.е. хз как он себя поведет при 1К svi под нагрузкой и с использованием других функций, типа АЦЛ например) . Про дополнительную авторизацию я ничего не говорил) Откровенно говоря я и сделал ставку что данное оборудование, пойдёт на сеть до 1000 пользователей. По сути моя задачи сводится к тому, что я хочу: а) Чтобы каждый пользователь был в своём VLAN-e б) Иметь возможность считать траффик Интернет в) Отключать локалку при неуплате абонентной оплаты Данная схема эти задачи реализует? и что может в ней не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет. Stateful firewall либо NAT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет. Stateful firewall либо NAT. Т.е. Вы считаете можно вообще обойтись без Микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба Т.е. Вы считаете можно вообще обойтись без Микротике? Конечно, купите старший PIX, и всего делов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 7 февраля, 2009 · Жалоба Т.е. Вы считаете можно вообще обойтись без Микротике? Конечно, купите старший PIX, и всего делов. Вы имеете ввиду циску 4500 поддерживающую нетфлоу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 7 февраля, 2009 · Жалоба Вы имеете ввиду циску 4500 поддерживающую нетфлоу? Нет, ASA55xx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...