[ghost]

Есть сеть - DHCP и PPPoE. тарифы как дешевые так и дорогие. Локалка бесплатна. Пользователи широких тарифов организовывают у себя прокси/нат и фактически перепродают трафик пользователям с узкими тарифами. Есть ли соображения по методам борьбы?

Нарезаете на абонента например 200 сессий (tcp) одновременно - и пусть перепродает хоть до одури - чем больше компов за ним будет сидеть - тем менее комфортно все это будет работать.

 

Чем выше тариф - тем больше количество сессий.

Дааа. А любители торрентов, скайпа (он может в момент времени наплодить до сотни сессий в разные места, если стал supernode), держания блога\форума\хомяка на своей машине - идут в сад? :)

BRAS- cisco 2821, IOS -12.4T, нарезка количества одновременных соединений - через Zone Based Firewall.

При 100 одновременных PPPoE соединений и трафике 40/20Мбит загрузка проца - около 75-80 процентов.

Любители торрентов - ограничивают количество одновременных сессий.

 

При тарифе юрлица - количество увеличено до 4000 сессий, если берется постоянный IP - количество увеличено до 2000.

 

ZBF режет в обоих направлениях - т.е. сессии инициированные с абонента и на абонента - разные сессии, так что держания блога\форума\хомяка на своей машине спокойно переживают 200 сессий на динамическом IP и 2000 на постоянном...

На первых порах были жалобы, но быстро отпали - в договооре есть пункт о неиспользовании "домашнего" подключения в коммерческих целях (запрещена перепродажа), все жалобщики оказались... начинающими строителями домовых сетей с сетками от 5 компов и более - были посланы в сад в связи с нарушением условий договора.

 

Изменено 8 апреля, 2009 пользователем ghost

[eugen3]

Есть сеть - DHCP и PPPoE. тарифы как дешевые так и дорогие. Локалка бесплатна. Пользователи широких тарифов организовывают у себя прокси/нат и фактически перепродают трафик пользователям с узкими тарифами. Есть ли соображения по методам борьбы?

Нарезаете на абонента например 200 сессий (tcp) одновременно - и пусть перепродает хоть до одури - чем больше компов за ним будет сидеть - тем менее комфортно все это будет работать.

 

Чем выше тариф - тем больше количество сессий.

Дааа. А любители торрентов, скайпа (он может в момент времени наплодить до сотни сессий в разные места, если стал supernode), держания блога\форума\хомяка на своей машине - идут в сад? :)

BRAS- cisco 2821, IOS -12.4T, нарезка количества одновременных соединений - через Zone Based Firewall.

При 100 одновременных PPPoE соединений и трафике 40/20Мбит загрузка проца - около 75-80 процентов.

Любители торрентов - ограничивают количество одновременных сессий.

 

При тарифе юрлица - количество увеличено до 4000 сессий, если берется постоянный IP - количество увеличено до 2000.

 

ZBF режет в обоих направлениях - т.е. сессии инициированные с абонента и на абонента - разные сессии, так что держания блога\форума\хомяка на своей машине спокойно переживают 200 сессий на динамическом IP и 2000 на постоянном...

На первых порах были жалобы, но быстро отпали - в договооре есть пункт о неиспользовании "домашнего" подключения в коммерческих целях (запрещена перепродажа), все жалобщики оказались... начинающими строителями домовых сетей с сетками от 5 компов и более - были посланы в сад в связи с нарушением условий договора.

Интересно, через радиус атрибуты можно ограничивать число одновременных сессий?

[ghost]

Решений можно придумать несколько, в нашем случае - создал несколько зон, и интерфейс помещается в нужную зону.

[Magnum72]

Ну у меня так и сделано в момент поднятия туннеля проверяется с какого адреса пришел запрос и если не с того с которого ожидалось, то выдается из динамического пула левый ип который завернут на стрничку с надписью "Проверьте внутренний адрес", конфиг могу скинуть если надо

Жень, через FreeRadius сделал? Если да, то конфигу в студию =)

Да через него, но от него это мало зависит :)

На циске строчкой "vpdn aaa attribute nas-ip-address vpdn-nas" заставляем ее пихать в переменную которая она умеет экспортировать собственно адрес откуда к ней коннектится

 

 

 

[vadya]

Решений можно придумать несколько, в нашем случае - создал несколько зон, и интерфейс помещается в нужную зону.

А можно точнее..

У меня ситуация домашние юзеры, юр, вафай.

домашние - ходят через pppoe, локалка там же.

юр - ип+мак, pppoe.

WiFi - ип+мак

 

Как лучше сделать в моей ситуации?

желательно чтоб домашние остались через пппое.

[mschedrin]

Надо юзерам неплательщикам блочить локальную сеть на порту и будут все платиь.

[IvanI]

Надо юзерам неплательщикам блочить локальную сеть на порту и будут все платиь.

Блочить неплательщикам надо все кроме веб интерфейса билинга, чтоб могли зайти, посмотреть баланс и оплатить.

[SvS]

Проще блочить всё (выключать порт). А баланс по телефону узнают, если захотят.

У нас это автоматически не делается, но стоило пару дней хорошенько "пошманать" коммутаторы - в офисе сразу очередь на оплату выстроилась ;)

[ghost]

Решений можно придумать несколько, в нашем случае - создал несколько зон, и интерфейс помещается в нужную зону.

А можно точнее..

У меня ситуация домашние юзеры, юр, вафай.

домашние - ходят через pppoe, локалка там же.

юр - ип+мак, pppoe.

WiFi - ип+мак

 

Как лучше сделать в моей ситуации?

желательно чтоб домашние остались через пппое.

Проблема-то в чем?

Кого-куда ограничивать надо?

[Fog]

отключайте неплательщиков на порту . тогда смысл перепродажи исчезнет. кто захочет платить основной тариф и плюс левак?

хотя если у вас есть тарифы только локал тогда труба дело.