[Stak]

мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN.

А для чего используется DCHP option 82 ?

Ну например для авторизации пользователя на ISG. cм тут: http://forum.nag.ru/forum/index.php?showto...mp;#entry374617

[Stak]

Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл

 

Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как?

В случае использования ПППоЕ L3 коммутатор не нужен, все идет через BRAS. Либо кроме BRAS часть локального траффика идет через Л3 (но это из разряда извращений).

По второму вопросу - а с чего вы взяли что там есть авторизация??? Адреса выдаются с DHCP сервера на основании адреса гейтвея. и т.к. в каждом влане он свой, то и адреса выдаются из соотв. пулов DHCP. А дальше управление траффиком производится на основании этих известных адресов.

[BudushiyISP]

Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл

 

Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как?

мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN.

А для чего используется DCHP option 82 ?

Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей?

 

Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл

 

Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как?

В случае использования ПППоЕ L3 коммутатор не нужен, все идет через BRAS. Либо кроме BRAS часть локального траффика идет через Л3 (но это из разряда извращений).

По второму вопросу - а с чего вы взяли что там есть авторизация??? Адреса выдаются с DHCP сервера на основании адреса гейтвея. и т.к. в каждом влане он свой, то и адреса выдаются из соотв. пулов DHCP. А дальше управление траффиком производится на основании этих известных адресов.

Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ?

[Stak]

НИКАК не будет. Только если биллинг конфиги вашего DHCP сервера поправит чтоб таким вланам адреса не выдавались.

[BudushiyISP]

НИКАК не будет. Только если биллинг конфиги вашего DHCP сервера поправит чтоб таким вланам адреса не выдавались.

Т.е. связь получается одностороняя, биллинг постоянно посылает DHCP новую информацию ?

А Интернет допустим я пустил через Микротик ну или FreeBSD, ему биллинг тоже шлёт в одностронне порядке конфиги? а с учётом трафика Интернет проблем не будет?

[4vlad]

Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей?

 

Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ?

1) от локалки сейчас не отключаем (только отключением порта) Интернет через подключение по VPN\PPPOE .

2) DCHP сервер запрашивает у биллинга (radius) , какой IP выдать клиенту по его MAC адресу (либо биллинг переписывает таблицы DCHP сервера - точно не могу сказать).

Изменено 8 февраля, 2009 пользователем 4vlad

[BudushiyISP]

Т.е. Вы даёте 1 IP интерфейс на VLAN и в этом VLANe группа пользователей и потом как от локалки или же от Интернета отключаете пользователей?

 

Вот по второму вопросу мне и не понятно. Каким образом биллинг будет отключать тех кто не уплатил от локалки разве DHCP сервер может разговаривать с биллингом, опыт такой есть ?

1) от локалки сейчас не отключаем (только отключением порта) Интернет через подключение по VPN\PPPOE .

2) DCHP сервер запрашивает у биллинга (radius) , какой IP выдать клиенту по его MAC адресу (либо биллинг переписывает таблицы DCHP сервера - точно не могу сказать).

Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная.

 

[jab]

Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная.

Достаточно снять IP с интерфейса на агрегирующем свиче.

[BudushiyISP]

Ну чтобы на порту отключать надо чтобы коммутаторы в зданиях умели snmp или прочую херовину для управления удаленного. Однако если сотни коммутаторов и всем рассылать новые конфиги. Схема при VLAN на пользователя что-то не актуальная.

Достаточно снять IP с интерфейса на агрегирующем свиче.

Итак получается следующее:

 

Район у меня маленький - 1000 пользователей как я писал выше, значит в центре ставлю L3 на нём терминую VLAN-ы, к нему подключаю Микротик (FreeBSD) через который буду пускать внешний трафик.

 

1) Каждый VLAN - это отдельный IP интерфейс и соответственно отдельный юзер в своём VLAN-e.

2) Получается следующее биллинг передаёт конфигурацию DHCP по Radius и он выдаёт ему адрес, который скажем чудесно работает в локалке.

3) и в это же время биллинг отправляет Микротик (FreeBSD) информацию открыть файерволл для доступа этого доброго человека в Интернет

4) На основе данных полученных от Микротик (FreeBSD) биллинг отключает пользователя от Интернета, но он продолжает пользоваться локалкой

5) Когда абонент не уплатит за локалку биллинг отправляет DHCP конфиг с помощью которого работа в локалке уже не возможна.

 

 

Правильно ли я понял ?

 

 

[SmokerMan]

Что-то я не пойму... То ты сварочник из-за бюджета купить не можешь, то влан на абонента проектируешь... Не сходится что-то :-)

[Konstantin Klimchev]

Как перебрасывать VLAN-ы до BRAS и пускать через него локалку и Интернет - оно понятно. Только не ясно а зачем тогда в схеме с BRAS применяют L3 коммутатор, если он просто собирает оптику? смысл

 

Тут обсуждалась данная схемка вот тут http://forum.nag.ru/forum/index.php?showto...46413&st=20 и на этой странице и там я заметил ключевую фразу "Sergey_Taurus, вы плохо слушаете. Option 82 вам использовать не нужно! Вы будете использовать опцию DHCP Relay т.е. роутер сам будет запрашивать у DHCP сервера какой IP выдать абоненту на данном IP интерфейсе. Никакие VID вам анализировать не нужно." Всё это вводить меня в тупик не ясен процесс организации DHCP авторизации и его связи с биллингом без Option 82? как?

мы используем DHCP relay в схеме с VLAN до дома и одним SVI на VLAN.

А для чего используется DCHP option 82 ?

Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса.

Изменено 9 февраля, 2009 пользователем Konstantin Klimchev

[Stak]

Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса.

Необязательно железки доступа. Можно идентифицировать по полному комплекту порт-влан на аггрегации.

 

[leveler]

Когда VLAN на дом (на доступа) option 82 используют для определения порта железки доступа, с которой пришел запрос на получение адреса.

Необязательно железки доступа. Можно идентифицировать по полному комплекту порт-влан на аггрегации.

Используя Option-82?

[jab]

Что-то я не пойму... То ты сварочник из-за бюджета купить не можешь, то влан на абонента проектируешь... Не сходится что-то :-)

Ну сварочник на 1000 юзеров не особо и нужен. Пачку китайских сплайсов в зубы - и вперед.

[Stak]

Используя Option-82?

Да. Добавляя Option-82 на свиче агрегации. Пример тут: http://ciscovod.blogspot.com/2009/02/cisco-isg.html

[BudushiyISP]

Используя Option-82?

Да. Добавляя Option-82 на свиче агрегации. Пример тут: http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Советуешь с Huawei, H3C связываться в ядро и на доступ ?

 

 

 

[Stak]

Советуешь с Huawei, H3C связываться в ядро и на доступ ?

Вы это уже спрашивали в другой теме. Повторяю: на доступ дорого, плюс некоторые вам озвучивали что есть проблемы с БП на них. На ядро - мне лично доводилось использовать 9500 Н3С серию в такой роли. Имхо - так себе, функционал за теже деньги что у 6500 намного меньше, ip unnumbered не поддерживается, netflow, nat, mpls - на отдельных модулях (на обычных картах МПЛС не поддерживается, нужны специальные). Вообщем хорошая Л2-Л3 молотилка , не более.

[weldpua2008]

Немного вклинюсь...

• Я думаю что в правильно спроектированной и настроенной схеме 98% времени схема работает и изменениям не подлежит.
• Вся затея предоставления услуги является неким компромиссом между вложением денег.возвращением денег, предоставляемыми услугами и конкурентными преимуществами

Так вот, если проектировать или изменять сеть или предоставление услуг СЕЙЧАС, то Я думаю что нужно задуматься - а что будет дальше?

Мои соображения:

 

Уже сейчас есть встроенные сетёвки 1Гбит,винты по 1Тбайт, и процы за 3ГГц.

Последствия: если тянуть в ядро, то нефиговым оно должно быть, скорее всего это мертвый подход.

 

Уже сейчас свободно люди получают 5/5Мбит за четь больше 10$.

Последствия: это значит, что в ближайшие 5-10 лет могут так же свободно получать и 100Мбит. От даилапа до 5/5Мбит, примерно столько и прошло.А это значит, что схемы, аля PPPoE,PPPtP - вырождаются, если только вдруг не придумают что-то. Раньше Сервер на P4 мог держать 1000 чел в онлайне и шейпить им 512-1Мбит, теперь он физически столько не потянет ибо у Него должен быть интерфейс 5Гбит(при честном трафике :) )

Короче тут важно то. что с увеличением скорости на клиента количество серверов доступа прийдется увеличивать и придумать как между ними балансировать, ведь Мы можем подключить на 1-н 1000 качающих 50Мбит/сек, а может 200 - 1Гбит.

 

Для себя вижу 2-а выхода:

1.оборудование Dlink (насчет другого не знаю) умеет Packet Content Filtering(Пример 1 ,Пример 2 ) с помошью которого без напряга привязки ИП+МАК+ПОРТ, можно привязать ИП к порту.

Все клиент авторизованный, если брать за аксиому клиент=ип. Эту фичу умеют DES-3028/3526 из "дешёвых" $334,00/ $384,00 (максимальная цена).

Получаем ACL на доступе и всякие вкусняшки. Вопрос с отключением локалки решается на порту и в ядро трафф не идет :) DHCP option's позволяют настраивать клиенту сеть с минимальным участием. + Можно поднять в будущем сеть с Triple Play.

Но не дешево...и часто избыточно, например где <17-24 портов нужно.

Можно местами хитрить и ставить подешевле свичи на которых меньше портов, и вланами тянуть к L3 трафф, на нем же acl на влан прибиваем ИП-к.

 

Если это наша сеть и Мы знаем куда суем пользователей, то проблем с авторизацией - не должно быть, так как ИП=пользователь.

 

2.802.1х По сравнению с предыдущим вариантом присутствует "эффект" авторизации + поддерживается более дешёвыми свичами, например 16портовым DES-3016(~147$), DES-3026(167$). То есть можно доступ удешевить. Правда тогда ACL нужно будит выше поднимать.

Плюсом сюда можно отнести то, что Мы как бы знаем когда пользователь в сети, когда нет

 

Плюсом таких подходов - давать инет по ИП, вижу в _простой_ поддержке альтернативные ОС, гавно-устройств :) Возможность резервирования устройств доступа %)

ЗЫ:

Считать трафф: netflow/sflow и т.п. Но Я бы пошёл дальше и не считал бы трафф, а просто ACL ограничивал скорость.

 

Такой подход считаю перспективным, так как

 

Рад выслушать...в том числе и критику...

 

[vIv]

1.оборудование Dlink (насчет другого не знаю) умеет Packet Content Filtering(Пример 1 ,Пример 2 ) с помошью которого без напряга привязки ИП+МАК+ПОРТ, можно привязать ИП к порту.

Все клиент авторизованный, если брать за аксиому клиент=ип. Эту фичу умеют DES-3028/3526 из "дешёвых" $334,00/ $384,00 (максимальная цена).

Получаем ACL на доступе и всякие вкусняшки. Вопрос с отключением локалки решается на порту и в ядро трафф не идет :) DHCP option's позволяют настраивать клиенту сеть с минимальным участием. + Можно поднять в будущем сеть с Triple Play.

Но не дешево...и часто избыточно, например где <17-24 портов нужно.

Можно местами хитрить и ставить подешевле свичи на которых меньше портов, и вланами тянуть к L3 трафф, на нем же acl на влан прибиваем ИП-к.

 

Если это наша сеть и Мы знаем куда суем пользователей, то проблем с авторизацией - не должно быть, так как ИП=пользователь.

За привязку к МАС и вообще к абонентской аппаратуре - кастрировать паяльником через гланды!! Как и за РРРОЕ и прочие ВПНы с 802.1X!

Показательно, на площади! С освещением в прессе и трансляцией по ТВ!

 

Розетка с надписью "Интернет" должна поставлять (СЮРПРИЗ!!!) ИНТЕРНЕТ! Ткнул - и течёт, пока есть бабки. Хоть ноут, хоть ЕЕЕ, хоть холодильник! Сунул - работает! Если не работает, то нет денег. Если деньги есть, но не работает, то на следующее утро техдира волочь на площадь и кастрировать до асфиксии!

 

Только массовые кастрации спасут отрасль!

 

Уточняю: "нет денег - не работает" означает, что "пошёл на яндекс - увидел НЕТБАБЛА.HTML и формочку: Попросить кредит или активировать карту оплаты или др."

[4vlad]

За привязку к МАС и вообще к абонентской аппаратуре - кастрировать паяльником через гланды!! Как и за РРРОЕ и прочие ВПНы!

Показательно, на площади! С освещением в прессе и трансляцией по ТВ!

 

Розетка с надписью "Интернет" должна поставлять (СЮРПРИЗ!!!) ИНТЕРНЕТ! Ткнул - и течёт, пока есть бабки. Хоть ноут, хоть ЕЕЕ, хоть холодильник! Сунул - работает! Если не работает, то нет денег. Если деньги есть, но не работает, то на следующее утро техдира волочь на площадь и кастрировать до асфиксии!

 

Только массовые кастрации спасут отрасль!

 

Уточняю: "нет денег - не работает" означает, что "пошёл на яндекс - увидел НЕТБАБЛА.HTML и формочку: Попросить кредит или активировать карту оплаты или др."

не совсем точно.

еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем)

[vIv]

не совсем точно.

еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем)

За всякие ВПН - см. выше.

Управление услугами у ЛЮДЕЙ делается в Личном Кабинете, доступном через обычный браузер. А за ВПНы - см. выше: до асфиксии, через гланды паяльником, на площади!

[4vlad]

не совсем точно.

еще лучше, если именно так ведет себя "локальная сеть", а интернет вкл/откл по желанию абонента (самое простое - VPN туннелем)

За всякие ВПН - см. выше.

Управление услугами у ЛЮДЕЙ делается в Личном Кабинете, доступном через обычный браузер. А за ВПНы - см. выше: до асфиксии, через гланды паяльником, на площади!

опять не точно:)

людям гораздо проще управлять интернетом, тыкая в иконку на рабочем столе

проверено:)

[vIv]

Поймаю в тёмном переулке и буду долго заставлять "сделать иконку на рабочем столе" моего сонерика! Пока не сделаешь - буду паяльником заставлять, через гланды. Когда осилишь - позову соседа с PS3 и "на сладкое" наладонником со вставляемой сетевушкой. В том, что паяльник протянет минимум неделю - уверен, а ты? ;-)

[4vlad]

Поймаю в тёмном переулке и буду долго заставлять "сделать иконку на рабочем столе" моего сонерика! Пока не сделаешь - буду паяльником заставлять, через гланды. Когда осилишь - позову соседа с PS3 и "на сладкое" наладонником с вставляемой сетевушкой

а для абонентов с "домашней сетью в квартире" - опция для расширения числа подключаемых домашних устройств >1 шт, и описание настроек роутеров на сайте.

[vIv]

Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)

Хотя мог просто настроить свой биллинг ;-)

 

А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать.

 

Кстати, кто тебе сказал про "сеть"? Я просто пришёл с работы и мне лень компьютер включать, поэтому просто сунул телефон прогноз погоды посмотреть. Просто провод переткнул. Нет никакой сети.... Я просто пытаюсь воспользоваться оплаченной услугой "Интернет", оказываемой мне через розетку с соответствующей маркировкой.