Jump to content
Калькуляторы

Автоматическое отключение от локальной сети тех, кто не платит абон. плату Опишите функционально как это должно по сути работать

А я снова с вами :) Привет Братья, Сёстра и .... :)

 

 

Сеть Метро Ethernet, внедряется VLAN на пользователя, VLAN на сервис.

 

Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца. Соответственно после того как пользователь потратил 5 гигабайт Интернет - всё Интернет закрывается. Далее после того как подошло время, перекрывается доступ к локальным ресурсам.

 

Денег пока на BRAS нет, предполагается использовать Линукс. Локальный трафик хочу чтобы гонялся через коммутатор ядра, Маршрутизация VLAN-ов также осуществляется коммутатором ядра. То есть всё практически в ядре. Централизованная система

 

 

Опишите в теории не смотря на то какой бы не был биллинг, как Вы функционально представляете себе процесс. как это будет происходить если сервер биллинга подключен к ядру и что дальше ?

 

 

 

В ядре стоит http://www.qtech.ru/catalog/corporate/47/info.htm

 

На группу 15 зданий http://www.qtech.ru/catalog/metro/46/chars.htm

 

в самих зданиях http://www.qtech.ru/catalog/metro/

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

qtech в ядро? Дерзко, я бы не рискнул

 

На счет биллинга - подойдет любой, умеющий запускать внешние скрипты по срабатыванию триггера, ведь все-равно эти скрипты писать придется самому.

Share this post


Link to post
Share on other sites
qtech в ядро? Дерзко, я бы не рискнул

 

На счет биллинга - подойдет любой, умеющий запускать внешние скрипты по срабатыванию триггера, ведь все-равно эти скрипты писать придется самому.

Любой понятие интересное :) стоит ли увлекаться Opensource ?

Share this post


Link to post
Share on other sites
Любой понятие интересное :) стоит ли увлекаться Opensource ?

Если нужен сертификат, то не стоит. На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.

Share this post


Link to post
Share on other sites
Любой понятие интересное :) стоит ли увлекаться Opensource ?

Если нужен сертификат, то не стоит. На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.

По сути в сертификате необходимости нет. Я в принципе заметил по отзывам на форумах, что в частности Ideco очень устойчив в работе, но как Вы отметили напильником его не доработаешь :) А я вообще напильником не владею. В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся.....а вдруг автор передумает больше им заниматься и что тогда :) ?

 

Share this post


Link to post
Share on other sites

про напильник - можно отдать это на аутсорс

заказы на написание скриптов размещать на фрилансерских сайтах, внедрение отдать либо своим админам, либо опять же фрилансеров нанять

можно не "тупо фрилансеров-одиночек", а заключить договор с аутсорс компанией. знаю по крайней мере одну, которая принимает оплату по вебмани и другим инет-деньгам

Share this post


Link to post
Share on other sites
про напильник - можно отдать это на аутсорс

заказы на написание скриптов размещать на фрилансерских сайтах, внедрение отдать либо своим админам, либо опять же фрилансеров нанять

можно не "тупо фрилансеров-одиночек", а заключить договор с аутсорс компанией. знаю по крайней мере одну, которая принимает оплату по вебмани и другим инет-деньгам

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?

 

Share this post


Link to post
Share on other sites
про напильник
Есть человек, который ставит задачу, есть тот, кто ее выполняет.....

Если первый со своей работой не справился - второй выполнить ее не сможет....

 

Когда-то, в конце 70-х - начале 80-х при каждой ЭВМ был человек на должности "постановшик задач"....

Воспринимайте.....

Share this post


Link to post
Share on other sites
про напильник
Есть человек, который ставит задачу, есть тот, кто ее выполняет.....

Если первый со своей работой не справился - второй выполнить ее не сможет....

 

Когда-то, в конце 70-х - начале 80-х при каждой ЭВМ был человек на должности "постановшик задач"....

Воспринимайте.....

Вот идей в голове у меня масса как это в теории должно работать. Но вот кто бы описал примерный опробованный сценарий. Не хочется мне изобретать велосипед :)

 

Share this post


Link to post
Share on other sites
Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца...
В теперешенее время умеет практически любой биллинг как из платных так и из бесплатных.

 

Любой понятие интересное :) стоит ли увлекаться Opensource ?
Если ты "с друзьями попить пивка да в контру погонять по сетке" тебе подойдет опенсоурс, если ты провайдер или намереваешься стать таким - купить с сертификатом, заодно и поддержку будешь иметь.

 

На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.
+1

А вообще, эта вещь тока для того чтобы поставить - и не думать ни о чем, ну или почти ни о чем.

 

А я вообще напильником не владею.

 

В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...

 

может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся

...а вдруг автор передумает больше им заниматься и что тогда :) ?

1. Тем хуже для тебя, но при таком количестве материалов в интернете я тебе удивляюсь 0_0

2. Пиздят те у кого руки из жопы растут, как правило.

3. Вот потому лучше купить.

 

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?
Тебе что тут на пальцах объяснять? Странные вопросы. Ты вообще коть какой мало мальски простой биллинг в глаза то видел?

Share this post


Link to post
Share on other sites
Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца...
В теперешенее время умеет практически любой биллинг как из платных так и из бесплатных.

 

Любой понятие интересное :) стоит ли увлекаться Opensource ?
Если ты "с друзьями попить пивка да в контру погонять по сетке" тебе подойдет опенсоурс, если ты провайдер или намереваешься стать таким - купить с сертификатом, заодно и поддержку будешь иметь.

 

На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.
+1

А вообще, эта вещь тока для того чтобы поставить - и не думать ни о чем, ну или почти ни о чем.

 

А я вообще напильником не владею.

 

В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...

 

может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся

...а вдруг автор передумает больше им заниматься и что тогда :) ?

1. Тем хуже для тебя, но при таком количестве материалов в интернете я тебе удивляюсь 0_0

2. Пиздят те у кого руки из жопы растут, как правило.

3. Вот потому лучше купить.

 

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?
Тебе что тут на пальцах объяснять? Странные вопросы. Ты вообще коть какой мало мальски простой биллинг в глаза то видел?

 

Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс. Теперь вопрос как более правильно выглядит это процесс может я что-то упустил ?

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

Автор нигде не написал, как у пользователя должно все работать в заблокированном режиме. А при текущей постановке задачи - shutdown на интерфейс пользователя пока он не оплатит - самый оптимальный вариант.

Share this post


Link to post
Share on other sites
Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс.

Выделенное реально, если каждому абоненту поставить по охраннику ;-)

 

А серьёзно: при отключении абонента на VLAN абонента ставится ACL, который разрешает заглянуть в биллинг и прочитать "Денег нет", после чего, например, ввести код с карты оплаты, чтобы доступ открылся. При активации абонента (деньги заплатились) ACL меняется на обычный.

 

Продвинутый вариант: "отключающий" ACL не запрещает выход в мир на 80 TCP порт, но на маршрутизаторе делается принудительный форвард этого порта в биллинг на страничку "денег нет!". Тогда куда бы абонент браузером ни пошёл, всё-равно в биллинг попадёт. При пополнении счёта всё исправляется обратно.

Share this post


Link to post
Share on other sites
Автор нигде не написал, как у пользователя должно все работать в заблокированном режиме. А при текущей постановке задачи - shutdown на интерфейс пользователя пока он не оплатит - самый оптимальный вариант.
Ну тут очевидное на заплатил денег пересылается на VLAN - где го простят заплатить бабулечки :)

 

 

Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс.

Выделенное реально, если каждому абоненту поставить по охраннику ;-)

 

А серьёзно: при отключении абонента на VLAN абонента ставится ACL, который разрешает заглянуть в биллинг и прочитать "Денег нет", после чего, например, ввести код с карты оплаты, чтобы доступ открылся. При активации абонента (деньги заплатились) ACL меняется на обычный.

 

Продвинутый вариант: "отключающий" ACL не запрещает выход в мир на 80 TCP порт, но на маршрутизаторе делается принудительный форвард этого порта в биллинг на страничку "денег нет!". Тогда куда бы абонент браузером ни пошёл, всё-равно в биллинг попадёт. При пополнении счёта всё исправляется обратно.

Возникают следующие вопросы

1) Интернет с подсчётом трафика, а локальная сеть по абон. плате. Интернет подключен к коммутатору ядра, как снимать статистику ? мои варианты snmp - дешевле, netflow - коммутаторы дороже.

2) ACL на коммутаторе максимум 3000-4000 правил, значит кол-во абонентов которых можно засадить на один коммутатор ограничится этим числом?

 

Share this post


Link to post
Share on other sites

Проще включить на коммутаторах DHCP Relay, DHCP Snooping и выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга. Выдавать в случае блокированного счёта не-роутящиеся адреса, иначе - нормальные.

 

Клиент в этом случае не сможет себе поставить какой-либо другой IP.

Share this post


Link to post
Share on other sites
Проще включить на коммутаторах DHCP Relay, DHCP Snooping и выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга. Выдавать в случае блокированного счёта не-роутящиеся адреса, иначе - нормальные.

 

Клиент в этом случае не сможет себе поставить какой-либо другой IP.

Идея хороша, а как снимать статистику по использованию Интернета с самого же коммутатора?

Share this post


Link to post
Share on other sites
Возникают следующие вопросы

1) Интернет с подсчётом трафика, а локальная сеть по абон. плате. Интернет подключен к коммутатору ядра, как снимать статистику ? мои варианты snmp - дешевле, netflow - коммутаторы дороже.

2) ACL на коммутаторе максимум 3000-4000 правил, значит кол-во абонентов которых можно засадить на один коммутатор ограничится этим числом?

1) NetFlow, sFlow, JFlow - работают с той или иной погрешностью, а с SNMP почитай внимательно, там далеко не каждая железка умеет "отдать данные с одновременным обнулением счётчика". Соответственно, чем выше скорости, тем выше погрешность, за счёт того, что между "считать цифру" и "обнулить" пролетает тем больше трафика, чем выше скорость. Так-что *Flow - необходимость. Придётся с этим просто смириться, если хочешь больших скоростей. Кстати, современные ASIC-и все так или иначе отдают статистику, так-что её отсутствие обычно недостаток софта.

 

(Альтернативный вариант: спокойно ждать roll-over счётчиков, но тогда надо, чтобы биллинг это корректно умел переваривать, хранил старое значение и знал максимальное значение счётчика)

 

2) Никто не мешает использовать один ACL "для нормального клиента" на вход для всех "нормальных клиентов". Т.е. у тебя будет N ACL-ей по количеству тарифных планов (точнее, политик безопасности для клиентов, возможно, что и один ACL для нескольких ТП) + M ACL-ей по количеству ограничений ("отключен", "отключен, но очень любимый, почту оставим" и т.п.) - вряд ли на всю сеть более десятка. Ну и, возможно, для себя и прочих исключения из общих правил ("директор", "суперадмин, везде лазит" и т.п.) Дифференциацию по абонентам у тебя делают настройки VLAN-ов, точнее их маршрутизирующих интерфейсов (SVI's если в терминах CISCO)

Share this post


Link to post
Share on other sites

ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Share this post


Link to post
Share on other sites
выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга.

Как его зовут?? Вопрос не праздный! Знаешь хоть один такой, чтобы умел и Opt82, и в базу лазать? Можно не бесплатно.

Share this post


Link to post
Share on other sites

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Share this post


Link to post
Share on other sites
/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

Share this post


Link to post
Share on other sites
ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Какой интересный молодой человек. Вы представляете себе, как работает DHCP Snooping? Коммутатор подслушивает не только выданный IP-адрес, но и Lease Time. Истечёт срок аренды вашего адреса, и так же закроется Вам доступ.

Share this post


Link to post
Share on other sites
выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга.

Как его зовут?? Вопрос не праздный! Знаешь хоть один такой, чтобы умел и Opt82, и в базу лазать? Можно не бесплатно.

Я взял за основу FreeRADIUS, у него есть модуль для работы в качестве DHCP-сервера, дописал свой - чтобы получать DCHP-запросы от DCHP-модуля и формировать ответы в зависимости от VID, Port и состояния аккаунта пользователя (FreeRADIUS умеет лазить в разные базы, включая MySQL, MSSQL, Oracle).

Share this post


Link to post
Share on other sites
/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

запускать его на 4к интерфесах - это решение безусловно интересное, но оно умеет лазить в базу. Через жопу, но умеет. модуль для LDAP в нем есть. Для тех, кому не нравится LDAP - можно покрутить OMAPI-шелл и скриптинг.

Share this post


Link to post
Share on other sites
ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Какой интересный молодой человек. Вы представляете себе, как работает DHCP Snooping? Коммутатор подслушивает не только выданный IP-адрес, но и Lease Time. Истечёт срок аренды вашего адреса, и так же закроется Вам доступ.

С какого перепугу? Не путаем снупинг с IP Source Guard?

 

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

запускать его на 4к интерфесах - это решение безусловно интересное, но оно умеет лазить в базу. Через жопу, но умеет. модуль для LDAP в нем есть. Для тех, кому не нравится LDAP - можно покрутить OMAPI-шелл и скриптинг.

Буду крайне признателен за ссылки на описание этого механизма, и, думаю, не я один.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this