Перейти к содержимому
Калькуляторы

Автоматическое отключение от локальной сети тех, кто не платит абон. плату Опишите функционально как это должно по сути работать

А я снова с вами :) Привет Братья, Сёстра и .... :)

 

 

Сеть Метро Ethernet, внедряется VLAN на пользователя, VLAN на сервис.

 

Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца. Соответственно после того как пользователь потратил 5 гигабайт Интернет - всё Интернет закрывается. Далее после того как подошло время, перекрывается доступ к локальным ресурсам.

 

Денег пока на BRAS нет, предполагается использовать Линукс. Локальный трафик хочу чтобы гонялся через коммутатор ядра, Маршрутизация VLAN-ов также осуществляется коммутатором ядра. То есть всё практически в ядре. Централизованная система

 

 

Опишите в теории не смотря на то какой бы не был биллинг, как Вы функционально представляете себе процесс. как это будет происходить если сервер биллинга подключен к ядру и что дальше ?

 

 

 

В ядре стоит http://www.qtech.ru/catalog/corporate/47/info.htm

 

На группу 15 зданий http://www.qtech.ru/catalog/metro/46/chars.htm

 

в самих зданиях http://www.qtech.ru/catalog/metro/

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

qtech в ядро? Дерзко, я бы не рискнул

 

На счет биллинга - подойдет любой, умеющий запускать внешние скрипты по срабатыванию триггера, ведь все-равно эти скрипты писать придется самому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

qtech в ядро? Дерзко, я бы не рискнул

 

На счет биллинга - подойдет любой, умеющий запускать внешние скрипты по срабатыванию триггера, ведь все-равно эти скрипты писать придется самому.

Любой понятие интересное :) стоит ли увлекаться Opensource ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Любой понятие интересное :) стоит ли увлекаться Opensource ?

Если нужен сертификат, то не стоит. На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Любой понятие интересное :) стоит ли увлекаться Opensource ?

Если нужен сертификат, то не стоит. На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.

По сути в сертификате необходимости нет. Я в принципе заметил по отзывам на форумах, что в частности Ideco очень устойчив в работе, но как Вы отметили напильником его не доработаешь :) А я вообще напильником не владею. В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся.....а вдруг автор передумает больше им заниматься и что тогда :) ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про напильник - можно отдать это на аутсорс

заказы на написание скриптов размещать на фрилансерских сайтах, внедрение отдать либо своим админам, либо опять же фрилансеров нанять

можно не "тупо фрилансеров-одиночек", а заключить договор с аутсорс компанией. знаю по крайней мере одну, которая принимает оплату по вебмани и другим инет-деньгам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про напильник - можно отдать это на аутсорс

заказы на написание скриптов размещать на фрилансерских сайтах, внедрение отдать либо своим админам, либо опять же фрилансеров нанять

можно не "тупо фрилансеров-одиночек", а заключить договор с аутсорс компанией. знаю по крайней мере одну, которая принимает оплату по вебмани и другим инет-деньгам

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про напильник
Есть человек, который ставит задачу, есть тот, кто ее выполняет.....

Если первый со своей работой не справился - второй выполнить ее не сможет....

 

Когда-то, в конце 70-х - начале 80-х при каждой ЭВМ был человек на должности "постановшик задач"....

Воспринимайте.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про напильник
Есть человек, который ставит задачу, есть тот, кто ее выполняет.....

Если первый со своей работой не справился - второй выполнить ее не сможет....

 

Когда-то, в конце 70-х - начале 80-х при каждой ЭВМ был человек на должности "постановшик задач"....

Воспринимайте.....

Вот идей в голове у меня масса как это в теории должно работать. Но вот кто бы описал примерный опробованный сценарий. Не хочется мне изобретать велосипед :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца...
В теперешенее время умеет практически любой биллинг как из платных так и из бесплатных.

 

Любой понятие интересное :) стоит ли увлекаться Opensource ?
Если ты "с друзьями попить пивка да в контру погонять по сетке" тебе подойдет опенсоурс, если ты провайдер или намереваешься стать таким - купить с сертификатом, заодно и поддержку будешь иметь.

 

На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.
+1

А вообще, эта вещь тока для того чтобы поставить - и не думать ни о чем, ну или почти ни о чем.

 

А я вообще напильником не владею.

 

В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...

 

может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся

...а вдруг автор передумает больше им заниматься и что тогда :) ?

1. Тем хуже для тебя, но при таком количестве материалов в интернете я тебе удивляюсь 0_0

2. ***ят те у кого руки из жопы растут, как правило.

3. Вот потому лучше купить.

 

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?
Тебе что тут на пальцах объяснять? Странные вопросы. Ты вообще коть какой мало мальски простой биллинг в глаза то видел?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоит следующая задача, считать трафик Интернет и ограничивать доступ пользователей к локальному обмену и отдельным услугам с, перебрасывая его на VLAN - "Личный кабинет" в зависимости от состояния счёта. К примеру пользователь положил на счёт 15 баксов у него есть 5 ГБ трафика Интернет и неограниченный трафик в локальную сеть, но до 1 числа текущего месяца...
В теперешенее время умеет практически любой биллинг как из платных так и из бесплатных.

 

Любой понятие интересное :) стоит ли увлекаться Opensource ?
Если ты "с друзьями попить пивка да в контру погонять по сетке" тебе подойдет опенсоурс, если ты провайдер или намереваешься стать таким - купить с сертификатом, заодно и поддержку будешь иметь.

 

На счет Ideco- субьективно, не понравилась. слишком "вещь в себе", дорабатывать напильником тяжело будет.
+1

А вообще, эта вещь тока для того чтобы поставить - и не думать ни о чем, ну или почти ни о чем.

 

А я вообще напильником не владею.

 

В тоже время про такие решения как UTM5, BGBilling, Lanbilling ничего хорошего на форумах не прочитал, все только и рассказывают об их страшных глюках и возникает вопрос...

 

может взять тогда Abilss.net.ua но и к нему ручки не сильно тянутся

...а вдруг автор передумает больше им заниматься и что тогда :) ?

1. Тем хуже для тебя, но при таком количестве материалов в интернете я тебе удивляюсь 0_0

2. ***ят те у кого руки из жопы растут, как правило.

3. Вот потому лучше купить.

 

Ну больше конкретики....А ваше мнение как процесс должен происходить... Описать можете :) ?
Тебе что тут на пальцах объяснять? Странные вопросы. Ты вообще коть какой мало мальски простой биллинг в глаза то видел?

 

Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс. Теперь вопрос как более правильно выглядит это процесс может я что-то упустил ?

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автор нигде не написал, как у пользователя должно все работать в заблокированном режиме. А при текущей постановке задачи - shutdown на интерфейс пользователя пока он не оплатит - самый оптимальный вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс.

Выделенное реально, если каждому абоненту поставить по охраннику ;-)

 

А серьёзно: при отключении абонента на VLAN абонента ставится ACL, который разрешает заглянуть в биллинг и прочитать "Денег нет", после чего, например, ввести код с карты оплаты, чтобы доступ открылся. При активации абонента (деньги заплатились) ACL меняется на обычный.

 

Продвинутый вариант: "отключающий" ACL не запрещает выход в мир на 80 TCP порт, но на маршрутизаторе делается принудительный форвард этого порта в биллинг на страничку "денег нет!". Тогда куда бы абонент браузером ни пошёл, всё-равно в биллинг попадёт. При пополнении счёта всё исправляется обратно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автор нигде не написал, как у пользователя должно все работать в заблокированном режиме. А при текущей постановке задачи - shutdown на интерфейс пользователя пока он не оплатит - самый оптимальный вариант.
Ну тут очевидное на заплатил денег пересылается на VLAN - где го простят заплатить бабулечки :)

 

 

Ну вот рассмотрю детали - как я себе представляю. У меня стоит в центре L3 коммутатор к нему скажем подключен какой-то биллинг я лично предполагаю, с учётом того что у меня VLAN на пользователя можно выдавать адресса из базы DHCP и коммутатор ядра будет DHCP-Relay. При этом если баланс у клиента положительный, то ему выдается адресс из пула адрессов которые роутятся, если отрицательный то из пула которые не роутятся. Главное чтобы клиент не мог сама себе задавать адресс.

Выделенное реально, если каждому абоненту поставить по охраннику ;-)

 

А серьёзно: при отключении абонента на VLAN абонента ставится ACL, который разрешает заглянуть в биллинг и прочитать "Денег нет", после чего, например, ввести код с карты оплаты, чтобы доступ открылся. При активации абонента (деньги заплатились) ACL меняется на обычный.

 

Продвинутый вариант: "отключающий" ACL не запрещает выход в мир на 80 TCP порт, но на маршрутизаторе делается принудительный форвард этого порта в биллинг на страничку "денег нет!". Тогда куда бы абонент браузером ни пошёл, всё-равно в биллинг попадёт. При пополнении счёта всё исправляется обратно.

Возникают следующие вопросы

1) Интернет с подсчётом трафика, а локальная сеть по абон. плате. Интернет подключен к коммутатору ядра, как снимать статистику ? мои варианты snmp - дешевле, netflow - коммутаторы дороже.

2) ACL на коммутаторе максимум 3000-4000 правил, значит кол-во абонентов которых можно засадить на один коммутатор ограничится этим числом?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще включить на коммутаторах DHCP Relay, DHCP Snooping и выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга. Выдавать в случае блокированного счёта не-роутящиеся адреса, иначе - нормальные.

 

Клиент в этом случае не сможет себе поставить какой-либо другой IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще включить на коммутаторах DHCP Relay, DHCP Snooping и выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга. Выдавать в случае блокированного счёта не-роутящиеся адреса, иначе - нормальные.

 

Клиент в этом случае не сможет себе поставить какой-либо другой IP.

Идея хороша, а как снимать статистику по использованию Интернета с самого же коммутатора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникают следующие вопросы

1) Интернет с подсчётом трафика, а локальная сеть по абон. плате. Интернет подключен к коммутатору ядра, как снимать статистику ? мои варианты snmp - дешевле, netflow - коммутаторы дороже.

2) ACL на коммутаторе максимум 3000-4000 правил, значит кол-во абонентов которых можно засадить на один коммутатор ограничится этим числом?

1) NetFlow, sFlow, JFlow - работают с той или иной погрешностью, а с SNMP почитай внимательно, там далеко не каждая железка умеет "отдать данные с одновременным обнулением счётчика". Соответственно, чем выше скорости, тем выше погрешность, за счёт того, что между "считать цифру" и "обнулить" пролетает тем больше трафика, чем выше скорость. Так-что *Flow - необходимость. Придётся с этим просто смириться, если хочешь больших скоростей. Кстати, современные ASIC-и все так или иначе отдают статистику, так-что её отсутствие обычно недостаток софта.

 

(Альтернативный вариант: спокойно ждать roll-over счётчиков, но тогда надо, чтобы биллинг это корректно умел переваривать, хранил старое значение и знал максимальное значение счётчика)

 

2) Никто не мешает использовать один ACL "для нормального клиента" на вход для всех "нормальных клиентов". Т.е. у тебя будет N ACL-ей по количеству тарифных планов (точнее, политик безопасности для клиентов, возможно, что и один ACL для нескольких ТП) + M ACL-ей по количеству ограничений ("отключен", "отключен, но очень любимый, почту оставим" и т.п.) - вряд ли на всю сеть более десятка. Ну и, возможно, для себя и прочих исключения из общих правил ("директор", "суперадмин, везде лазит" и т.п.) Дифференциацию по абонентам у тебя делают настройки VLAN-ов, точнее их маршрутизирующих интерфейсов (SVI's если в терминах CISCO)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга.

Как его зовут?? Вопрос не праздный! Знаешь хоть один такой, чтобы умел и Opt82, и в базу лазать? Можно не бесплатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Какой интересный молодой человек. Вы представляете себе, как работает DHCP Snooping? Коммутатор подслушивает не только выданный IP-адрес, но и Lease Time. Истечёт срок аренды вашего адреса, и так же закроется Вам доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

выдавать /30 адреса DCHP-сервером, умеющим спрашивать RADIUS/SQL-базу биллинга.

Как его зовут?? Вопрос не праздный! Знаешь хоть один такой, чтобы умел и Opt82, и в базу лазать? Можно не бесплатно.

Я взял за основу FreeRADIUS, у него есть модуль для работы в качестве DHCP-сервера, дописал свой - чтобы получать DCHP-запросы от DCHP-модуля и формировать ответы в зависимости от VID, Port и состояния аккаунта пользователя (FreeRADIUS умеет лазить в разные базы, включая MySQL, MSSQL, Oracle).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

запускать его на 4к интерфесах - это решение безусловно интересное, но оно умеет лазить в базу. Через жопу, но умеет. модуль для LDAP в нем есть. Для тех, кому не нравится LDAP - можно покрутить OMAPI-шелл и скриптинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ась? я получу ип один раз, потом пропишу его же статикой, и выдавайте мне через dhcp хоть 127.0.0.1.....

Без ACL на порту\на маршутизаторе вы ничего не сделаете.

Какой интересный молодой человек. Вы представляете себе, как работает DHCP Snooping? Коммутатор подслушивает не только выданный IP-адрес, но и Lease Time. Истечёт срок аренды вашего адреса, и так же закроется Вам доступ.

С какого перепугу? Не путаем снупинг с IP Source Guard?

 

/me использует обычный isc-dhcp плюс перловый скрипт, каждые 5 минут генерящий новый конфиг. В случае изменения md5 конфига - перестартовывается демон... И чем это плохо?

Абонентов - мало. Около 8к.

Понятно, это мы уже проходили. Меня интересовал именно база данных. В любой ипостаси. Когда речь идёт хотя бы о миллионе юзеров... Когда конфиг может меняться разными источниками, - возникает вопрос синхронизации, что напрямую приводит к базюке.

 

Кстати, попробуй его запустить на 4К интерфейсов. Стартует просто вечность 8-(

запускать его на 4к интерфесах - это решение безусловно интересное, но оно умеет лазить в базу. Через жопу, но умеет. модуль для LDAP в нем есть. Для тех, кому не нравится LDAP - можно покрутить OMAPI-шелл и скриптинг.

Буду крайне признателен за ссылки на описание этого механизма, и, думаю, не я один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.