[Гoсть]

вот о том то и речь что зверя не аутентифицируем

А зачем (с)?

Телефонисты вон, сто лет не аути..это самое. ;-) И ничего, живут...

Жили. Скора совсем помрут глядишь ;)

Аутипофигация © НАГ :)) нужна для мобильности услуг, хотяб в пределах сети оператора.

 

тьфу-тьфу....бог миловал, мы сразу нормальное покупаем,

Гхм... И это в кризис... :-) Только позавидовать, да.

Кризис то как и нужен чтоб все соплисты поотсыхали кхуям... :-) Зависть - плохое чувство, да.

 

[Nag]

Аутипофигация © НАГ :)) нужна для мобильности услуг, хотяб в пределах сети оператора.

Гхм. И большой спрос на мобильность услуг в кабельных сетях? ;-)

 

ЗЫ. Заметь, я еще даже не прошу огласить полный список продаваемых услуг. ;-)))

[BudushiyISP]

Коллеги я предложил разработчику биллинга Abills два варианта по внедрению VLAN на пользователя:

 

Сеть до 1000 абонантов

 

Первый вариант

 

1) Пользователь делает одну единственную настройку - получить IP адрес автоматически. На доступе ничего кроме 802.1q в сторону агрегации не используется (никаких DHCP Snooping и Option 82). Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). L3 Свичина агрегации работает в режиме DHCP Relay, запросе от релея к серверу передается ip интерфейс получивший первоначальный запрос, а он привязан к влану) и передают запрос на отдельно стоящий центральный DHCP сервер, который выдает юзеру определенный серый IP адрес.

 

2) Локалка вкл\выкл ACL'ами на агрегации. Гарантией что ACL отключит кого надо и отключенный юзер не сможет взять чужой адрес, является сама по себе схема VLAN на пользователя и терминация VLAN'ов интерфейсами с /30 подсетями.

 

3) Интернет должен считаться, но в дополнительной авторизации смысла думаю нет.

 

Он ответил:

1) Не понятно как будет считаться трафик Интернет, если IP Будет меняться ?

2) Блокировка именно Интернета тут не возможна! Почему

 

Второй Вариант

 

1) Пользователь делает одну единственную настройку - получить IP адрес автоматически. На доступе ничего кроме 802.1q в сторону агрегации не используется (никаких DHCP Snooping и Option 82). Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29). L3 Свичина агрегации работает в режиме DHCP Relay, запросе от релея к серверу передается ip интерфейс получивший первоначальный запрос, а он привязан к влану) и передают запрос на отдельно стоящий центральный DHCP сервер, который выдает юзеру определенный серый IP адрес.

 

2) Локалка вкл\выкл ACL'ами на агрегации. Гарантией что ACL отключит кого надо и отключенный юзер не сможет взять чужой адрес, является сама по себе схема VLAN на пользователя и терминация VLAN'ов интерфейсами с /30 подсетями.

 

3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация

 

На это он ответил: Нормально.

 

 

Теперь у меня вопросы:

Сеть вся абсолютная звезда все сведено, в центр.

 

1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей?

2) VLAN-ы я вдре должны удаляться и появляться при помощи биллинга?

3) Коммутаторы в зданиях можно ли предварительно настроить прописав все VLAN-ы и по какому-то протоколу их передать наверх в ядро? (какому)

4) Видите ли Вы Смысл в Микротике в моей схеме или можно каким -то образом всё-таки считать траффик Интернет по нетфлоу и точно для конкретного пользователя ?

 

 

 

 

 

 

[Bambuk]

3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация

а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб?

веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна.

 

 

[ingress]

3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация

а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб?

веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна.

они поставят микротик на холодильник, и холодильник начнёт вводить логин с паролем :D

[jab]

 

Городить вилан на рыло, и потом еще и веб-авторизацию вставлять, что-то в консерватории не то.

[Bambuk]

надо продвигать что-нибудь типа такого http://tools.ietf.org/html/draft-pruss-dhcp-auth-dsl-03

[jab]

 

Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией.

Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков.

 

 

[ingress]

Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией.

Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков.

с удивлением слышу эти слова от человека проповедующего сквозное L2 + PC с PPPoE в качестве "брасов" :)

[jab]

Есть агрегирующая L3 железка, на которой заранее созданы терминирующие vlan IP-интерфейсы с прописанными адресами и маршрутизацией.

Биллингу достаточно просто включать выключать порт на свиче доступа в нужный vlan тегированием. Все, больше не нужно ничего. Разве что гостевой vlan для неплательщиков.

с удивлением слышу эти слова от человека проповедующего сквозное L2 + PC с PPPoE в качестве "брасов" :)

У меня действительно L2 ядро, неуправляемый access и агрегация PPPoE на PC. Но если бы пять лет назад на меня свалился поток халявного инвесторского бабла - возможно я бы

сделал и vlan на рыло способом, который описан выше.

[BudushiyISP]

3) В Интернет выходит через Микротик там и трафик считается. Путём ввода пароля - веб авторизация

а если надо чтоб без участия человека доступ в инет поднимался? например телевизор или холодильник человек захотел подключить. кто там будет каждый раз вводить логин и пароль в веб?

веб авторизация хороша для всяких там вирелес хотспотов с карточками, но для FTTx, на мой взгляд, она не очень удобна.

Да вообще я с вами согласен, веб-=авторизация не удобна. По сути получается, что авторизация отдельная для Интернета не нужна. Но как решается проблема нехватки IP-интерфейсов при VLAN на пользователя? Почему разработчик биллинга задаётся вопросом как он будет считать трафик Интернета ?

 

 

 

[Bambuk]

правильным он вопросом задается. если трафик считать не там где поднимается "сессия", то погрешность будет большая. а в случае dhcp и IP интерфейсов "сессий" вообще нет. т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет. поэтому если надо считать трафик, то PPPoE и radius accounting. там что прошло через сессию, то и посчиталось, все честно. если очень хочется для IP сессий, то ISG. если у вас все равно все в центр приходит звездой, поставьте туда какой-нить ASR1002/ESP10, на 1000 сессий его более чем хватит.

[muchacho]

Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29).

1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей?

Так где всётаки терминировать? В ядре - или с4500/с6500, или что-нибудь что умеет что-то типа supervlan. На агрегации - с3560 должно хватить на 1000.

[BudushiyISP]

Каждый юзер в своем влане, который терминируется в L3 на первом же свиче агрегации в /30 (или /29).

1) Как решается нехватка IP интерфейсов для пользователей при внедрении схемы VLAN на пользователя или можете посоветовать конкретную модель в ядро до 1000 пользователей?

Так где всётаки терминировать? В ядре - или с4500/с6500, или что-нибудь что умеет что-то типа supervlan. На агрегации - с3560 должно хватить на 1000.

И хватит ли IP-интерфейсов на все VLAN-ы на с3560 ?

 

[leveler]

Кстати, про PPPoE+Netflow+Accouning. Есть одна прикольная штука. По крайней мере в нашем биллинге. Если абонент включится, резко чего-нибудь качнёт и отключится, то трафик ему не сосчитается. ) Связано с тем, что проходит стоп пакет, а Netflow ещё не дошёл. Но это надо быть очень умным пользователем. Да и анлимы уже - а там Netflow по сути не нужен (хотя есть мнение, что провайдер его там должен хранить - типа для правоохранительных органов).

[BudushiyISP]

Вот логическая схема. Что в ней не верно подключено или не верно обозначено ?

[Stak]

C виду обычная такая схема, пригодна для небольших сетей с серой адресацией) Только с взаимодействием компонентов вам ещё долго разбираться, судя по комментариям))))))

[BudushiyISP]

C виду обычная такая схема, пригодна для небольших сетей с серой адресацией) Только с взаимодействием компонентов вам ещё долго разбираться, судя по комментариям))))))

Почему она непригодна для большей сети? Я думаю если каждый в своём VLAN зачем дополнительная авторизация?

[Stak]

Гдавным образом потому, что использутся /29 на юзера --> нужно использовать серые адреса и НАТ --> НАТ на большую производительность стоит больших денег (cм. cisco ACE например), ну и прочие мелочи, типа отсутствия резервирования ключевых узлов и то что на 3560 рекомендовано имхо 8 svi (т.е. хз как он себя поведет при 1К svi под нагрузкой и с использованием других функций, типа АЦЛ например) .

Про дополнительную авторизацию я ничего не говорил)

[BudushiyISP]

Гдавным образом потому, что использутся /29 на юзера --> нужно использовать серые адреса и НАТ --> НАТ на большую производительность стоит больших денег (cм. cisco ACE например), ну и прочие мелочи, типа отсутствия резервирования ключевых узлов и то что на 3560 рекомендовано имхо 8 svi (т.е. хз как он себя поведет при 1К svi под нагрузкой и с использованием других функций, типа АЦЛ например) .

Про дополнительную авторизацию я ничего не говорил)

Откровенно говоря я и сделал ставку что данное оборудование, пойдёт на сеть до 1000 пользователей.

По сути моя задачи сводится к тому, что я хочу:

а) Чтобы каждый пользователь был в своём VLAN-e

б) Иметь возможность считать траффик Интернет

в) Отключать локалку при неуплате абонентной оплаты

 

Данная схема эти задачи реализует? и что может в ней не так?

 

 

[jab]

т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет.

Stateful firewall либо NAT.

 

[BudushiyISP]

т.е. любой флуд извне будет посчитан вне зависимости от того в онлайне пользователь или нет.

Stateful firewall либо NAT.

Т.е. Вы считаете можно вообще обойтись без Микротике?

 

[jab]

Т.е. Вы считаете можно вообще обойтись без Микротике?

Конечно, купите старший PIX, и всего делов.

[BudushiyISP]

Т.е. Вы считаете можно вообще обойтись без Микротике?

Конечно, купите старший PIX, и всего делов.

Вы имеете ввиду циску 4500 поддерживающую нетфлоу?

[jab]

Вы имеете ввиду циску 4500 поддерживающую нетфлоу?

Нет, ASA55xx