Stak Опубликовано 8 февраля, 2009 · Жалоба мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN. А для чего используется DCHP option 82 ? Ну например для авторизации пользователя на ISG. cм тут: http://forum.nag.ru/forum/index.php?showto...mp;#entry374617 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 февраля, 2009 · Жалоба Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как? В случае использования ПППоЕ L3 коммутатор не нужен, все идет через BRAS. Либо кроме BRAS часть локального траффика идет через Л3 (но это из разряда извращений). По второму вопросу - а с чего вы взяли что там есть авторизация??? Адреса выдаются с DHCP сервера на основании адреса гейтвея. и т.к. в каждом влане он свой, то и адреса выдаются из соотв. пулов DHCP. А дальше управление траффиком производится на основании этих известных адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 8 февраля, 2009 · Жалоба Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как? мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN. А для чего используется DCHP option 82 ? Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей? Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как? В случае использования ПППоЕ L3 коммутатор не нужен, все идет через BRAS. Либо кроме BRAS часть локального траффика идет через Л3 (но это из разряда извращений). По второму вопросу - а с чего вы взяли что там есть авторизация??? Адреса выдаются с DHCP сервера на основании адреса гейтвея. и т.к. в каждом влане он свой, то и адреса выдаются из соотв. пулов DHCP. А дальше управление траффиком производится на основании этих известных адресов. Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 февраля, 2009 · Жалоба НИКАК не будет. Только если биллинг конфиги вашего DHCP сервера поправит чтоб таким вланам адреса не выдавались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 8 февраля, 2009 · Жалоба НИКАК не будет. Только если биллинг конфиги вашего DHCP сервера поправит чтоб таким вланам адреса не выдавались.Т.е. связь получается одностороняя, биллинг постоянно посылает DHCP новую информацию ?А Интернет допустим я пустил через Микротик ну или FreeBSD, ему биллинг тоже шлёт в одностронне порядке конфиги? а с учётом трафика Интернет проблем не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 8 февраля, 2009 (изменено) · Жалоба Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей? Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ? 1) от локалки сейчас не отключаем (только отключением порта) Интернет через подключение по VPN\PPPOE . 2) DCHP сервер запрашивает у биллинга (radius) , какой IP выдать клиенту по его MAC адресу (либо биллинг переписывает таблицы DCHP сервера - точно не могу сказать). Изменено 8 февраля, 2009 пользователем 4vlad Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 8 февраля, 2009 · Жалоба Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей? Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ? 1) от локалки сейчас не отключаем (только отключением порта) Интернет через подключение по VPN\PPPOE . 2) DCHP сервер запрашивает у биллинга (radius) , какой IP выдать клиенту по его MAC адресу (либо биллинг переписывает таблицы DCHP сервера - точно не могу сказать). Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 8 февраля, 2009 · Жалоба Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная. Достаточно снять IP с интерфейса на агрегирующем свиче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 8 февраля, 2009 · Жалоба Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная. Достаточно снять IP с интерфейса на агрегирующем свиче. Итак получается следующее: Район у меня маленький - 1000 пользователей как я писал выше, значит в центре ставлю L3 на нём терминую VLAN-ы, к нему подключаю Микротик (FreeBSD) через который буду пускать внешний трафик. 1) Каждый VLAN - это отдельный IP интерфейс и соответственно отдельный юзер в своём VLAN-e. 2) Получается следующее биллинг передаёт конфигурацию DHCP по Radius и он выдаёт ему адрес, который скажем чудесно работает в локалке. 3) и в это же время биллинг отправляет Микротик (FreeBSD) информацию открыть файерволл для доступа этого доброго человека в Интернет 4) На основе данных полученных от Микротик (FreeBSD) биллинг отключает пользователя от Интернета, но он продолжает пользоваться локалкой 5) Когда абонент не уплатит за локалку биллинг отправляет DHCP конфиг с помощью которого работа в локалке уже не возможна. Правильно ли я понял ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 9 февраля, 2009 · Жалоба Что-то я не пойму... То ты сварочник из-за бюджета купить не можешь, то влан на абонента проектируешь... Не сходится что-то :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 9 февраля, 2009 (изменено) · Жалоба Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как? мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN. А для чего используется DCHP option 82 ? Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса. Изменено 9 февраля, 2009 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 9 февраля, 2009 · Жалоба Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса.Необязательно железки доступа. Можно идентифицировать по полному комплекту порт-влан на аггрегации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 9 февраля, 2009 · Жалоба Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса.Необязательно железки доступа. Можно идентифицировать по полному комплекту порт-влан на аггрегации. Используя Option-82? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 9 февраля, 2009 · Жалоба Что-то я не пойму... То ты сварочник из-за бюджета купить не можешь, то влан на абонента проектируешь... Не сходится что-то :-) Ну сварочник на 1000 юзеров не особо и нужен. Пачку китайских сплайсов в зубы - и вперед. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 9 февраля, 2009 · Жалоба Используя Option-82? Да. Добавляя Option-82 на свиче агрегации. Пример тут: http://ciscovod.blogspot.com/2009/02/cisco-isg.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 1 марта, 2009 · Жалоба Используя Option-82?Да. Добавляя Option-82 на свиче агрегации. Пример тут: http://ciscovod.blogspot.com/2009/02/cisco-isg.html Советуешь с Huawei, H3C связываться в ядро и на доступ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 марта, 2009 · Жалоба Советуешь с Huawei, H3C связываться в ядро и на доступ ? Вы это уже спрашивали в другой теме. Повторяю: на доступ дорого, плюс некоторые вам озвучивали что есть проблемы с БП на них. На ядро - мне лично доводилось использовать 9500 Н3С серию в такой роли. Имхо - так себе, функционал за теже деньги что у 6500 намного меньше, ip unnumbered не поддерживается, netflow, nat, mpls - на отдельных модулях (на обычных картах МПЛС не поддерживается, нужны специальные). Вообщем хорошая Л2-Л3 молотилка , не более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weldpua2008 Опубликовано 31 марта, 2009 · Жалоба Немного вклинюсь... Я думаю что в правильно спроектированной и настроенной схеме 98% времени схема работает и изменениям не подлежит. Вся затея предоставления услуги является неким компромиссом между вложением денег.возвращением денег, предоставляемыми услугами и конкурентными преимуществами Так вот, если проектировать или изменять сеть или предоставление услуг СЕЙЧАС, то Я думаю что нужно задуматься - а что будет дальше? Мои соображения: Уже сейчас есть встроенные сетёвки 1Гбит,винты по 1Тбайт, и процы за 3ГГц. Последствия: если тянуть в ядро, то нефиговым оно должно быть, скорее всего это мертвый подход. Уже сейчас свободно люди получают 5/5Мбит за четь больше 10$. Последствия: это значит, что в ближайшие 5-10 лет могут так же свободно получать и 100Мбит. От даилапа до 5/5Мбит, примерно столько и прошло.А это значит, что схемы, аля PPPoE,PPPtP - вырождаются, если только вдруг не придумают что-то. Раньше Сервер на P4 мог держать 1000 чел в онлайне и шейпить им 512-1Мбит, теперь он физически столько не потянет ибо у Него должен быть интерфейс 5Гбит(при честном трафике :) ) Короче тут важно то. что с увеличением скорости на клиента количество серверов доступа прийдется увеличивать и придумать как между ними балансировать, ведь Мы можем подключить на 1-н 1000 качающих 50Мбит/сек, а может 200 - 1Гбит. Для себя вижу 2-а выхода: 1.оборудование Dlink (насчет другого не знаю) умеет Packet Content Filtering(Пример 1 ,Пример 2 ) с помошью которого без напряга привязки ИП+МАК+ПОРТ, можно привязать ИП к порту. Все клиент авторизованный, если брать за аксиому клиент=ип. Эту фичу умеют DES-3028/3526 из "дешёвых" $334,00/ $384,00 (максимальная цена). Получаем ACL на доступе и всякие вкусняшки. Вопрос с отключением локалки решается на порту и в ядро трафф не идет :) DHCP option's позволяют настраивать клиенту сеть с минимальным участием. + Можно поднять в будущем сеть с Triple Play. Но не дешево...и часто избыточно, например где <17-24 портов нужно. Можно местами хитрить и ставить подешевле свичи на которых меньше портов, и вланами тянуть к L3 трафф, на нем же acl на влан прибиваем ИП-к. Если это наша сеть и Мы знаем куда суем пользователей, то проблем с авторизацией - не должно быть, так как ИП=пользователь. 2.802.1х По сравнению с предыдущим вариантом присутствует "эффект" авторизации + поддерживается более дешёвыми свичами, например 16портовым DES-3016(~147$), DES-3026(167$). То есть можно доступ удешевить. Правда тогда ACL нужно будит выше поднимать. Плюсом сюда можно отнести то, что Мы как бы знаем когда пользователь в сети, когда нет Плюсом таких подходов - давать инет по ИП, вижу в _простой_ поддержке альтернативные ОС, гавно-устройств :) Возможность резервирования устройств доступа %) ЗЫ: Считать трафф: netflow/sflow и т.п. Но Я бы пошёл дальше и не считал бы трафф, а просто ACL ограничивал скорость. Такой подход считаю перспективным, так как Рад выслушать...в том числе и критику... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 31 марта, 2009 · Жалоба 1.оборудование Dlink (насчет другого не знаю) умеет Packet Content Filtering(Пример 1 ,Пример 2 ) с помошью которого без напряга привязки ИП+МАК+ПОРТ, можно привязать ИП к порту.Все клиент авторизованный, если брать за аксиому клиент=ип. Эту фичу умеют DES-3028/3526 из "дешёвых" $334,00/ $384,00 (максимальная цена). Получаем ACL на доступе и всякие вкусняшки. Вопрос с отключением локалки решается на порту и в ядро трафф не идет :) DHCP option's позволяют настраивать клиенту сеть с минимальным участием. + Можно поднять в будущем сеть с Triple Play. Но не дешево...и часто избыточно, например где <17-24 портов нужно. Можно местами хитрить и ставить подешевле свичи на которых меньше портов, и вланами тянуть к L3 трафф, на нем же acl на влан прибиваем ИП-к. Если это наша сеть и Мы знаем куда суем пользователей, то проблем с авторизацией - не должно быть, так как ИП=пользователь. За привязку к МАС и вообще к абонентской аппаратуре - кастрировать паяльником через гланды!! Как и за РРРОЕ и прочие ВПНы с 802.1X! Показательно, на площади! С освещением в прессе и трансляцией по ТВ! Розетка с надписью "Интернет" должна поставлять (СЮРПРИЗ!!!) ИНТЕРНЕТ! Ткнул - и течёт, пока есть бабки. Хоть ноут, хоть ЕЕЕ, хоть холодильник! Сунул - работает! Если не работает, то нет денег. Если деньги есть, но не работает, то на следующее утро техдира волочь на площадь и кастрировать до асфиксии! Только массовые кастрации спасут отрасль! Уточняю: "нет денег - не работает" означает, что "пошёл на яндекс - увидел НЕТБАБЛА.HTML и формочку: Попросить кредит или активировать карту оплаты или др." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 31 марта, 2009 · Жалоба За привязку к МАС и вообще к абонентской аппаратуре - кастрировать паяльником через гланды!! Как и за РРРОЕ и прочие ВПНы!Показательно, на площади! С освещением в прессе и трансляцией по ТВ! Розетка с надписью "Интернет" должна поставлять (СЮРПРИЗ!!!) ИНТЕРНЕТ! Ткнул - и течёт, пока есть бабки. Хоть ноут, хоть ЕЕЕ, хоть холодильник! Сунул - работает! Если не работает, то нет денег. Если деньги есть, но не работает, то на следующее утро техдира волочь на площадь и кастрировать до асфиксии! Только массовые кастрации спасут отрасль! Уточняю: "нет денег - не работает" означает, что "пошёл на яндекс - увидел НЕТБАБЛА.HTML и формочку: Попросить кредит или активировать карту оплаты или др." не совсем точно. еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 31 марта, 2009 · Жалоба не совсем точно.еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем) За всякие ВПН - см. выше. Управление услугами у ЛЮДЕЙ делается в Личном Кабинете, доступном через обычный браузер. А за ВПНы - см. выше: до асфиксии, через гланды паяльником, на площади! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 31 марта, 2009 · Жалоба не совсем точно.еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем) За всякие ВПН - см. выше. Управление услугами у ЛЮДЕЙ делается в Личном Кабинете, доступном через обычный браузер. А за ВПНы - см. выше: до асфиксии, через гланды паяльником, на площади! опять не точно:) людям гораздо проще управлять интернетом, тыкая в иконку на рабочем столе проверено:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 31 марта, 2009 · Жалоба Поймаю в тёмном переулке и буду долго заставлять "сделать иконку на рабочем столе" моего сонерика! Пока не сделаешь - буду паяльником заставлять, через гланды. Когда осилишь - позову соседа с PS3 и "на сладкое" наладонником со вставляемой сетевушкой. В том, что паяльник протянет минимум неделю - уверен, а ты? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 31 марта, 2009 · Жалоба Поймаю в тёмном переулке и буду долго заставлять "сделать иконку на рабочем столе" моего сонерика! Пока не сделаешь - буду паяльником заставлять, через гланды. Когда осилишь - позову соседа с PS3 и "на сладкое" наладонником с вставляемой сетевушкой а для абонентов с "домашней сетью в квартире" - опция для расширения числа подключаемых домашних устройств >1 шт, и описание настроек роутеров на сайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 31 марта, 2009 · Жалоба Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-) Хотя мог просто настроить свой биллинг ;-) А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать. Кстати, кто тебе сказал про "сеть"? Я просто пришёл с работы и мне лень компьютер включать, поэтому просто сунул телефон прогноз погоды посмотреть. Просто провод переткнул. Нет никакой сети.... Я просто пытаюсь воспользоваться оплаченной услугой "Интернет", оказываемой мне через розетку с соответствующей маркировкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...