[Abram]

Вы все ещё делите мир и UA-IX?

ну у нас оно маркетинговой плюшкой осталось, и то потому что не мешает. я же говорю в общем о том, что шейпинг по направлениям не унифицировать...

Ну да.

Мне, например, сейчас шейпинг по направлениям нужен только для того, чтобы не резать IPTV (локалка тоже через BRAS бегает, да), который юникастом.

А так - в нынешних реалиях оно уже и не надо.

[roysbike]

Коллеги, помогите советом. Вообщем задачка такая, подумываю о внедрении IPoE(вместо PPPoE). Вопрос такой, accel работает в режиме L2, vlan-peer-user, адреса выдаю из радиуса. Как мне сделать, если пришел dhcp запрос в радиус из vlanN.N и этого клиента нет в базе, как отдать клиенту IP из спец пула?

Изменено 8 июня, 2014 пользователем roysbike

[NiTr0]

Как мне сделать, если пришел dhcp запрос в радиус из vlanN.N и этого клиента нет в базе, отдать клиенту IP и спец пула?

Биллингом может проще? :) Заодно будет можно и авторизовать потом клиента по логину-паролю через веб.

[roysbike]

Как мне сделать, если пришел dhcp запрос в радиус из vlanN.N и этого клиента нет в базе, отдать клиенту IP и спец пула?

Биллингом может проще? :) Заодно будет можно и авторизовать потом клиента по логину-паролю через веб.

Да скорее всего так и сделаю, тупо сделаю условие. А вы при смене mac-адреса кидаете на страницу регистрации?

 

Попробовал "прикинуть" ipoe к своему колхозу. Сразу оказалось, что биллинг (lanbilling) не умеет отдавать DHCP-Router-IP-Address. Атрибут можно конечно создать, но его значение будет общим для всех клиентов. Может ли accel как-то с этим справиться? Например, при отстутствии атрибута DHCP-Router-IP-Address выдавать первый адрес в сети или ip получать по радиусу, а router-ip через lua скрипт?

Для этого есть штатный красивый механизм в самом accel. Так что можно вообще не выдавать этот аттрибут, он сформируется для разных блоков IP автоматом согласно конфига.

Тестирую ip-unnumbered и адреса выдаются из радиуса,.Шлюз для клиентов весит на loopback. Как быть? Нельзя же вешать один и тот же IP на lo?

Изменено 5 июня, 2014 пользователем roysbike

[Dimka88]

мы от аккаунтинга отказались еще два года назад - полностью ушли на безлим ( тарифы 12, 20, 30, 50 Мбит )

Если я не ошибаюсь, то вы обязаны вести статистику, для предоставления данных спец службам по официальному запросу, и хранить вы её должны в течении 2 лет. Само постановление не видел, но все зависит в какой вы стране проживаете. Тут про РФ, на Украине похожее положение.

 

Тестирую ip-unnumbered и адреса выдаются из радиуса,.Шлюз для клиентов весит на loopback. Как быть? Нельзя же вешать один и тот же IP на lo?

 

На lo должен висеть один IP из пула, который и будет выступать GW для IP из этого пула.

Я вот до сих пор не могу работы провести, что бы перевести IP GW на lo. В данный момент использую ifcfg=1, таким образом accel-pppd прибивает GW один и тот же на разные eth.vlan.vlan, это конечно не правильно, но 1к сессий жует, в связке с OSPF еще.

Изменено 5 июня, 2014 пользователем Dimka88

[kayot]

Тестирую ip-unnumbered и адреса выдаются из радиуса,.Шлюз для клиентов весит на loopback. Как быть? Нельзя же вешать один и тот же IP на lo?

Зачем чего-то куда-то вещать?

Выдавайте клиенту в качестве шлюза или любой реальный IP сервера из этого же блока, или(если у сервера такого интерфейса нет) - добавьте на lo по одному адресу для каждого блока IP и выдавайте их.

[roysbike]

Тестирую ip-unnumbered и адреса выдаются из радиуса,.Шлюз для клиентов весит на loopback. Как быть? Нельзя же вешать один и тот же IP на lo?

Зачем чего-то куда-то вещать?

Выдавайте клиенту в качестве шлюза или любой реальный IP сервера из этого же блока, или(если у сервера такого интерфейса нет) - добавьте на lo по одному адресу для каждого блока IP и выдавайте их.

Реальный ip на бордере, к бордеру подключено на браса IPoE Accel. Пул один на всех, 172.30.0.0/16 . В атрибуте DHCP-Router-IP-Address прописано 172.30.0.1/32. Вопрос как быть на втором брасе? На lo тоже вешать 172.30.0.1/32? между бордером и брасом OSPF

[kayot]

Повесьте второму 172.30.0.2/32, никаких чудес и сложностей, особенно с серыми IP.

 

p.s. вешать одинаковые 'виртуальные' шлюзы серверам как для ppp пробовал, плохая идея. Начинаются гонки arp-ответов(машины с одним ip в одном влане) и вылезают просто феерические глюки.

Изменено 5 июня, 2014 пользователем kayot

[s.lobanov]

hw брасы отвечают на арпы только тем, кто есть в списке сабскрайберов. раз уж у accel есть своя реализация arp, то было бы неплохо запилить такую фичу

[kayot]

Proxy-arp там так и работает, отвечает на запросы только активным сессиям. Но сам сервер на запрос своих адресов отвечает всегда, я плохо представляю как тут accel может участвовать и есть ли в этом смысл.

[s.lobanov]

в линуксе же вроде можно выключать кернел арп на интерфейсе

[NiTr0]

А вы при смене mac-адреса кидаете на страницу регистрации?

Пока IPoE только на стенде немного покрутил. Планирую заворачивать в случае если новый ифейс (логин), либо у клиента засветился мак который висит у другого клиента...

[ichthyandr]

Если я не ошибаюсь, то вы обязаны вести статистику, для предоставления данных спец службам по официальному запросу, и хранить вы её должны в течении 2 лет. Само постановление не видел, но все зависит в какой вы стране проживаете. Тут про РФ, на Украине похожее положение.

аккаунтинг здесь причем?

[Dimka88]

аккаунтинг здесь причем?

Теперь понял, что вы имели под словом аккаунтинг, банальный подсчёт трафика. Вот подумалось, что вы сессии не логируете.

[roysbike]

Повесьте второму 172.30.0.2/32, никаких чудес и сложностей, особенно с серыми IP.

 

p.s. вешать одинаковые 'виртуальные' шлюзы серверам как для ppp пробовал, плохая идея. Начинаются гонки arp-ответов(машины с одним ip в одном влане) и вылезают просто феерические глюки.

Тут вопрос про атрибут DHCP-Router-IP-Address и отдавать хочу шлюз один для всех. Если у меня 2 браса, то как мне быть?

[kayot]

roysbike

См. предыдущую страницу.

 

А вы при смене mac-адреса кидаете на страницу регистрации?

Пока IPoE только на стенде немного покрутил. Планирую заворачивать в случае если новый ифейс (логин), либо у клиента засветился мак который висит у другого клиента...

Зачем абоненту вообще портить жизнь?

Если неизвестный интерфейс(считай кабель/порт) - кидать на авторизацию, иначе пусть работает с любым маком.

Изменено 6 июня, 2014 пользователем kayot

[NiTr0]

Зачем абоненту вообще портить жизнь?

Если неизвестный интерфейс(считай кабель/порт) - кидать на авторизацию, иначе пусть работает с любым маком.

Главным образом перестраховка от жопорукости монтажников. Не так много клиентов бегают с системником под мышкой к друзьям :)

[kayot]

NiTr0

Вспомни какой год на дворе. Ноутбуки кругом, люди бегают к соседям вирусы лечить и винды переставлять.

И даже роутеры настраивать :)

[Abram]

Зачем абоненту вообще портить жизнь?

Если неизвестный интерфейс(считай кабель/порт) - кидать на авторизацию, иначе пусть работает с любым маком.

Главным образом перестраховка от жопорукости монтажников.

Мы этот вопрос решили сменой монтажников. :) Сейчас запретили смену авторизации.

На случай, если порты всё-таки перепутаны (например, порезаны кабеля на доме, включали как могли) - вручную обнуляется авторизация по всему дому.

[kayot]

+1, в случае аврала на доме(срочная замена свича без возможности втыкать кабеля 1 к 1) - всем абонентам привязанным к этому коммутатору ставится cvlan=0 и идет их принудительная авторизация. Хотя реально у нас за год таких ситуаций не возникало, монтажники быстро понимают что просто так переставлять кабеля нельзя.

[roysbike]

roysbike

См. предыдущую страницу.

 

 

Если я не отдаю атрибут DCHP-Router-IP-address , то клиент не может получить IP. Отдаю IP из радиус.

[roysbike]

Как мне сделать, если пришел dhcp запрос в радиус из vlanN.N и этого клиента нет в базе, отдать клиенту IP и спец пула?

Биллингом может проще? :) Заодно будет можно и авторизовать потом клиента по логину-паролю через веб.

На уровне базы или радиуса сделать? Я пока не понял как красиво это сделать. Например , если в базе нет поля со значением vlan1500.1 (например учетку еще не создали , так как у клиента пока PPPoE) . Как мне отдать клиенту из пула IP , чтобы я его редирекнул на страницу регистрации.

2)Когда клиент всетаки попал на страницу регистрации , то при указании логина+пароль , от куда взять vlan с какого он пришел. выдрать из acct по ip?

 

 

Расскажите как у вас реализована схема

Изменено 8 июня, 2014 пользователем roysbike

[kayot]

Пару раз задавал это вопрос в ветке, задам еще разок.

top - 08:28:09 up 58 days, 18:35,  1 user,  load average: 0.78, 0.49, 0.52
Tasks: 127 total,   1 running, 126 sleeping,   0 stopped,   0 zombie
Cpu0  :  1.6%us,  5.7%sy,  0.0%ni, 87.6%id,  0.0%wa,  0.0%hi,  5.2%si,  0.0%st
Cpu1  :  2.0%us,  4.5%sy,  0.0%ni, 87.1%id,  0.0%wa,  0.0%hi,  6.5%si,  0.0%st
Cpu2  :  2.5%us,  7.8%sy,  0.0%ni, 83.8%id,  0.0%wa,  0.0%hi,  5.9%si,  0.0%st
Cpu3  :  1.1%us,  2.2%sy,  0.0%ni, 94.0%id,  0.0%wa,  0.0%hi,  2.7%si,  0.0%st
Cpu4  :  1.6%us,  5.2%sy,  0.0%ni, 83.4%id,  0.0%wa,  0.0%hi,  9.8%si,  0.0%st
Cpu5  :  0.0%us,  4.5%sy,  0.0%ni, 88.9%id,  0.0%wa,  0.0%hi,  6.5%si,  0.0%st
Mem:   6105260k total,  2903868k used,  3201392k free,   323556k buffers
Swap:  8191992k total,        0k used,  8191992k free,  1759044k cached

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
26468 root      20   0 1049m  28m 1948 S 45.9  0.5  21:14.93 accel-pppd
24776 named     20   0  512m 178m 3088 S  1.5  3.0 489:49.96 named
  19 root      20   0     0    0    0 S  0.5  0.0 251:08.66 ksoftirqd/3
  27 root      20   0     0    0    0 S  0.5  0.0 219:04.32 ksoftirqd/5

[root@ipoe1 accel-ppp]# dstat -n -N bond1 --net-packets
-net/bond1- -pkt/bond1-
recv  send|#recv #send
  0     0 |   0     0
 12M   33M|25.6k 32.7k

[root@ipoe1 accel-ppp]# accel-cmd show stat
sessions:
 starting: 0
 active: 1178
 finishing: 0
ipoe:
 starting: 0
 active: 1178
 delayed: 0

Чем занимается accel? Как это можно поглядеть? Сам сервис дает нагрузку сравнимую с собственно маршрутизацией/шейпингом..

Версия 1.8.0(сегодня обновил), стоявшая до этого прошлогодняя git-сборка вела себя точно так же.

Изменено 9 июня, 2014 пользователем kayot

[bos9]

Если я не отдаю атрибут DCHP-Router-IP-address , то клиент не может получить IP. Отдаю IP из радиус.

man accel-ppp.conf

[ipoe]
 gw-ip-address=x.x.x.x/mask
             Specifies address to be used as server ip address if radius can assign only client address. In such case if client address
             is matched network and mask then specified address and mask will be used. You can specify multiple such options.

 

Поделитесь идеологией vlan-per-user + qinq. В идеале порт агрегации на один коммутатор доступа, тогда все ясно - svlan на коммутатор, cvlan на клиента. А если за портом агрегации куст из нескольких свиче доступа, как поступаете? svlan на куст или по прежднему на коммутатор, но тогда нужен доступ с поддержкой qinq...

Изменено 9 июня, 2014 пользователем bos9

[xeb]

Чем занимается accel? Как это можно поглядеть?

попробуй perf

а лучше callgrind