Бесполезные рассуждения о микро-CPE

[inkelyad]

Почитав споры про vlan на пользователя vs привязка MAC-IP-Port, придумал железку. Теперь вот решил выяснить, хочу ли я слишком странного или можно все-таки убедить какую-нибудь фирму начать производство.

 

Описание желаемой железки:

 

Форм-фактор: размером с настенную Ethernet розетку. Вход -- контакты для кабеля провайдера, выход -- обычный Ethernet порт. Устанавливается в качестве розетки при прокладке абонентской линии. Питание: по PoE либо от коммутатора провайдера, либо от БП питания у абонента.

 

1) Железка умеет авторизировать 802.1x порт на коммутаторе провайдера.

 

Хочется с достаточной достоверностью быть уверенным, что вот в этот порт подключен этот абонент, а 802.1x мало

что из бытовых сетевых устройств умеет, да и настраивать его абоненту надо.

 

2) Устройство делает rewrite полей адреса передаваемых Ethernet кадров. У всех кадров, идущих от абонента к провайдеру, src mac

заменяется на mac железки. Для кадров, идущих со стороны провайдера производится обратное действие. Имеется в виду, что со стороны абонента виден только

один MAС адрес. Кому надо -- поставят маршрутизатор.

 

Что это дает:

a) Конфигурация всяких MAC binding-ов становится статична -- абонент может совершенно спокойно подключать любые устройства, и это не потребует переконфигурирования коммутаторов. Т.е. меньше нагрузка на Call-центр, не нужно реализовывать режим переавторизации MAC-а в информационной системе и тд. Того же можно добиться работая с VLAN-ами(тот самый vlan на пользователя), но это повышает требования к оборудованию доступа/ядра (нужно большое количество vlan-ов, Q-in-Q, какая-то система для конфигурирования этих самых vlan-ов, их терминации итд).

 

b)мы можем с достаточной уверенностью сказать (в сочетании с (1) и binding-ом MAC-ов на порту), что если пакет/кадр пришел с таким-то mac-ом -- то он от такого-то абонента. Причем это соответствие, как сказано выше, статично.

 

c)вычистив сеть можно добиться того, что вообще все адресное пространство MAС в сети оператора не зависит от оборудования абонента и появление незнакомого MAC -- признак ошибки, а не штатная ситуация.

 

3) IP возможности устройства -- минимальны. Ответить на ping, включить/выключить индикацию 'денег хочу', залить ключики для 802.1x. Все.

Edited June 11, 2009 by inkelyad

[vIv]

Есть дешёвые роутеры, но они прогибаются под локальным траффиком. Так-что доп. условие: корректная работа на 100М

[Alexandr Ovcharenko]

:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием. Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).

Я бы посоветовал им либо менять все свичи на доступе на умеющие ацл, либо менять ядро на умееющее влан-на-юзера. И уж точно менять биллинг и технологию доступа. Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.

Для решения чисто технических заморочек, предложенный девайс конечно сильно бы помог такому оператору.

Edited June 11, 2009 by Alexandr Ovcharenko

[inkelyad]

:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием.

(Глядя на тему "Разгильдяйство монтажников") Каким существующим оборудованием без 802.1x можно точно сказать, что вот за этим портом точно этот абонент? И проблемы у админов не из за того ли, что маки абонентов могут меняться?

Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).

Собственно, придуманная мной железка как раз делает ненужными свичи доступа с L3 ACL.

Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.

802.1x нужен только для того, чтобы узнать абонента. Закрывать порт при недостатке средств -- действительно криво. Но можно. Если на CPE большая красивая лампочка 'денег хочу' есть.

[vIv]

802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".

[Dm1try]

802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".

+1

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?

 

 

 

[inkelyad]

Решение, когда порт абонента всегда авторизован(переадресовать/заблокировать можно и другим способом), а guest vlan используется для отлова посторонних кажется более логичным.

[inkelyad]

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?

Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

 

 

Edited June 11, 2009 by inkelyad

[Dm1try]

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?

Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

Да, я уже потом прочитал не по диагонали.

Тут как-то писали о вот таких железках, примерно: 3Com IntelliJack Switch NJ220, но цена ИМХО запредельная.

Edited June 11, 2009 by Dm1try

[BudushiyISP]

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

 

[911]

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

на дом управляемое железо, которое умеет дот1х

[inkelyad]

Абоненту -- максимально дешевое, но позволяющее обойти неудобства схемы с MAC-Port binding(необходимость как-то сообщать системе провайдера о том что MAC новой железки нужно пропускать) так и схемы vlan на пользователя (необходимо как-то отслеживать, что в порт/vlan все еще подключен тот пользователь, что нужно + управление большем количеством vlan-ов)

 

А на дом -- любое управляемое, что позволяет сделать MAC-Port binding и изоляцию абонентских портов. Авторизовывать MAC-и по 802.1x можно и ближе к центру сети.

Edited June 11, 2009 by inkelyad

[Ivan_83]

Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

[inkelyad]

Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

Поставим такую, что гигабит выдерживает. Вместе с заменой домового свича. Который и через 3 года не таким умным должен будет быть.

 

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Ничего. Так же как в схеме vlan на пользователя и чистого MAC binding-а

 

Работать жулик все равно сможет только "от лица" законного абонента.

Но судя по тому, что народ массово хочет отказываться от схем с PPP*, это никого уже не пугает.

Edited June 11, 2009 by inkelyad

[L-ZiX]

Интересная железка. А каким способом программировать эту розетку?

[inkelyad]

Интересная железка. А каким способом программировать эту розетку?

перед установкой

tftp put <сертификат авторизации>

Обратно его, разумеется, вытащить уже нельзя.

 

Если розетка умнее, чем я описал, то после авторизации она вытаскивает свой конфиг-файл/мы заливаем его c сервера конфигурации.

Cертификат в розетке тогда используется еще и для проверки подписи этого конфига.

 

Можно еще делать так, как в DOCSIS с модемами делают, там их не нужно даже перед установкой программировать, но система намного более сложная.

[vIv]

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Попадёт в гостевой VLAN, по DHCP получит гостевые настройки и не получит в принципе ничего, только его запросы, направленные в сторону 80 порта любого хоста успешно будут завёрнуты на страничку с объяснением:

Мы рады новым абонентам, но не рады нарушителям закона. Позвоните по телефону №№№№№ и объясните, как так получилось, что вы увидели это сообщение. Учтите, о вашем подключении извещена служба безопасности.

[martini]

цена железки ???? !!! идея очень хорошая и востребована, можна сделать два вида - на 100 мегабит и на 1Гигабит, потому как цена будет у гигабитки побольше.

при заказе 1000 штук - какая цена планируется ?

[inkelyad]

цена железки ???? !!! идея очень хорошая и востребована

Нет железки. Не выпускает никто. Вся тема затеяна для того, чтобы можно было ткнуть производителей сетевого оборудования пальцем и сказать: "народ будет покупать, почему не производите?"

 

[vIv]

Да производят, производят. Но цена около 300-т баксов. Поэтому и не популярно. А те, кто мог бы заказать товарную партию, чтобы выйти на оптовые цены, не парятся и ставят L3 Ethernet на доступ, тот же FastWeb например. А когда ставишь на доступ L3, - все заморочки отпадают сразу же.

[inkelyad]

Железку с минимально нужным фукционалом -- не производят. Все наровят CPE слишком умным сделать. И 300 баксов -- это большой перебор. За ~1500р нужный функционал на коленке делается(зашивается в DIR-300 нужный Linux, например).

[vIv]

DIR-300 склеит ласты на 100М, не надо сказок!

[inkelyad]

так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

Edited June 12, 2009 by inkelyad

[Voicemaster]

так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

 

Бред. Полный. Тупой.

 

 

Оставьте любые тупые идеи как-то ограничивать абонента. Это его территория и его сеть.

 

 

Абонету отдается /29 или даже /28 ( wifi, буки, умные мобильники, сетевые сториджи, LBook'и и прочая сетевая хрень).

 

C-VLAN.

 

Точка.

 

 

 

P.S.

Дом абонента полностью полноценен, уважаем, самодостаточен.

 

 

.

Edited June 12, 2009 by Voicemaster

[firefly]

Белых IP тоже прикажете /28 абоненту насыпать?