vit Опубликовано 2 апреля, 2009 (изменено) · Жалоба Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp? Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц. Что хорошего в pptp? Шифрование все равно использовать нельзя, так как грузит брасы и ограничение трафика к клиенту при включенном шифровании не работает ( 12.4.22Т). Session-timeout 24 часа на ppp-сессию это отличная идея? Влан-на-пользователя самая простая по реализации схема и самая надежная. Пользователь не зависит от таких сервисов, как: - radius , где после обрыва нужно ждать пока там alive-пакеты с браса лететь перестанут и биллинг не закроет сессию. Она ведь может быть только одна! - dhcp Можно спокойно подключать по pppoe, если есть желание. Можно подсовывать ему dhcp, а не хочет - сам пусть прописывает адрес. И будет работать. Можно выдавать серые адреса, а можно честные. Эксплуатировать тяжело, да? Изменено 2 апреля, 2009 пользователем vit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 апреля, 2009 · Жалоба Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp?Вы наверное удивитесь, но даже с временем аренды в 2 минуты трафик идёт непрерывно)))Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц.А разве с этим ктото спорит? НАТ от безисходности применяют обычно, ибо статус lir далеко не все сразу потянуть могут. Да и pi денег доже стоит...Что хорошего в pptp?Да ничего в нём хорошего) Просто так исторически сложилось))) (из сетей на неуправляемом железе)Влан-на-пользователя самая простая по реализации схема и самая надежная.А разве ктото спорит? только есть и в ней много тонкостей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vit Опубликовано 2 апреля, 2009 (изменено) · Жалоба Вы правы. Удивлюсь. Я после вот такого много чему удивляюсь router(config)#interface FastEthernet0/1 router(config-if)# arp timeout 10 router(config-if)#^Z router#ping 10.0.0.1 rep 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! Success rate is 99 percent (995/1000), round-trip min/avg/max = 56/66/80 ms router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#interface FastEthernet0/1 router(config-if)#no arp timeout 10 router(config-if)#^Z router#ping 10.0.0.1 rep 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! Success rate is 100 percent (1000/1000), round-trip min/avg/max = 56/60/84 ms Так же постоянно удивляюсь crash'ам иосов и пр. глюкам. Постоянно удивляюсь терпеливости персонала и длинкам, которые прошивка за прошивкой тестируют на абонентах новые фичи. Изменено 2 апреля, 2009 пользователем vit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 апреля, 2009 · Жалоба А я вот до сих пор удивляюсь людям, полагающим, что на циске за N килобаксов софт должен быть безглючным... Вы думаете у других вендоров с этим лучше? У Джунипера например, или у хуавея ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vit Опубликовано 2 апреля, 2009 · Жалоба По-разному. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosb Опубликовано 23 апреля, 2009 · Жалоба ['BudushiyISP'] так схема в итоге запущена и в каком виде? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 23 апреля, 2009 · Жалоба Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG.... но надо искать DHCP-Radius... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 23 апреля, 2009 · Жалоба Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG....но надо искать DHCP-Radius... Схема внедрена в следующем виде, тестируется. На доступе китайское гуано с поддержкой 802.1q на каждый порт выделен VLAN на агрегации и в ядре коммутаторы какие попало L3, настроены приоритеты QOS, на внешний трафик данный сам высокий приоритет. При подключении пользователь единожды автоматизируется на веб-странице (определяется его мак), далее пользователю просто включает комп и всё работает, анализ пользователя идёт на основе его мака. Сменил пользователь комп, олять тоже самое автоматизировался один раз и всё...Хотел сделать с опцией 82 проверил, что-то у меня ничего не вышло. Да и коммутаторы на доступ с опцией 82 - дорогие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Link_x Опубликовано 24 апреля, 2009 · Жалоба А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 24 апреля, 2009 · Жалоба А как определяется его MAC через L3-сеть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 24 апреля, 2009 · Жалоба а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 24 апреля, 2009 · Жалоба а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)? Я вообще не врубился как с опцией 82 работать, а так да на агрегации Опция 82 есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 24 апреля, 2009 · Жалоба А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :)какое оборудование стоит на агрегации и доступе?как определяли и разбирали на дхцп-сервере формат опции82? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Link_x Опубликовано 24 апреля, 2009 · Жалоба Пока только примитивный стенд. Через недельку будем собирать что-то ближе к реальным условиям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 28 апреля, 2009 · Жалоба Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)Хотя мог просто настроить свой биллинг ;-) А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать. Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 29 апреля, 2009 · Жалоба Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)Хотя мог просто настроить свой биллинг ;-) А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать. Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме. Не совсем понятно что Вы предлагаете определять абонента по порту Опция 82? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 29 апреля, 2009 · Жалоба Абонент == провод == порт доступа == набор IP адресов == VLAN ID В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 29 апреля, 2009 · Жалоба Абонент == провод == порт доступа == набор IP адресов == VLAN IDВ помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет. А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 29 апреля, 2009 · Жалоба Абонент == провод == порт доступа == набор IP адресов == VLAN IDВ помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет. это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 29 апреля, 2009 · Жалоба это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено) Точность такой "инвентаризации" не хуже чем у традиционной телефонии) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 29 апреля, 2009 · Жалоба это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)Точность такой "инвентаризации" не хуже чем у традиционной телефонии) да, только в традиционной телефонии не стоят АТС в каждом подъезде:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 29 апреля, 2009 · Жалоба да, только в традиционной телефонии не стоят АТС в каждом подъезде:) Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 29 апреля, 2009 · Жалоба Абонент == провод == порт доступа == набор IP адресов == VLAN IDВ помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет. это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено) Для желающих явной авторизации - 802.1X Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 29 апреля, 2009 · Жалоба да, только в традиционной телефонии не стоят АТС в каждом подъезде:)Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт) имхо, в случаи инвентаризации абонентов по портам, увеличивается на мой взгляд влияние человеческого фактора в случае замены/апгрейда/ремонта оборудования и маштабирования сети. Какие вообще отзывы о надежности сетей с инвентаризацией абонентов по портам размером 10-30-50 тыс. абонентом? Есть ли вообще такие примеры? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 29 апреля, 2009 · Жалоба Абонент == провод == порт доступа == набор IP адресов == VLAN IDВ помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет. А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём? Я видел где-то гигабит с копейками на XEON, jab недавно сказал, что на новых процах вроде бы раза в 4 больше ожидается, но нужно сделать поправку на то, что у меня предметный тюнинг, а у него предметный мегатюнинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...