Jump to content
Калькуляторы
Стали ли бы вы использовать описанное в начале темы устройство?  

51 members have voted

  1. 1. Стали ли бы вы использовать описанное в начале темы устройство?

    • Железка бесполезна и вредна -- надо обходиться стандартными возможностями коммутаторов доступа
      15
    • Не стал бы -- и так справляемся.
      7
    • Стал бы при цене до 300р.
      15
    • Стал бы при цене от 300 до 500р.
      13
    • Стал бы при цене от 500 до 800р.
      1
    • Стал бы при цене от 800 до 1000р.
      0


Бесполезные рассуждения о микро-CPE почему такое еще никто не производит?

Почитав споры про vlan на пользователя vs привязка MAC-IP-Port, придумал железку. Теперь вот решил выяснить, хочу ли я слишком странного или можно все-таки убедить какую-нибудь фирму начать производство.

 

Описание желаемой железки:

 

Форм-фактор: размером с настенную Ethernet розетку. Вход -- контакты для кабеля провайдера, выход -- обычный Ethernet порт. Устанавливается в качестве розетки при прокладке абонентской линии. Питание: по PoE либо от коммутатора провайдера, либо от БП питания у абонента.

 

1) Железка умеет авторизировать 802.1x порт на коммутаторе провайдера.

 

Хочется с достаточной достоверностью быть уверенным, что вот в этот порт подключен этот абонент, а 802.1x мало

что из бытовых сетевых устройств умеет, да и настраивать его абоненту надо.

 

2) Устройство делает rewrite полей адреса передаваемых Ethernet кадров. У всех кадров, идущих от абонента к провайдеру, src mac

заменяется на mac железки. Для кадров, идущих со стороны провайдера производится обратное действие. Имеется в виду, что со стороны абонента виден только

один MAС адрес. Кому надо -- поставят маршрутизатор.

 

Что это дает:

a) Конфигурация всяких MAC binding-ов становится статична -- абонент может совершенно спокойно подключать любые устройства, и это не потребует переконфигурирования коммутаторов. Т.е. меньше нагрузка на Call-центр, не нужно реализовывать режим переавторизации MAC-а в информационной системе и тд. Того же можно добиться работая с VLAN-ами(тот самый vlan на пользователя), но это повышает требования к оборудованию доступа/ядра (нужно большое количество vlan-ов, Q-in-Q, какая-то система для конфигурирования этих самых vlan-ов, их терминации итд).

 

b)мы можем с достаточной уверенностью сказать (в сочетании с (1) и binding-ом MAC-ов на порту), что если пакет/кадр пришел с таким-то mac-ом -- то он от такого-то абонента. Причем это соответствие, как сказано выше, статично.

 

c)вычистив сеть можно добиться того, что вообще все адресное пространство MAС в сети оператора не зависит от оборудования абонента и появление незнакомого MAC -- признак ошибки, а не штатная ситуация.

 

3) IP возможности устройства -- минимальны. Ответить на ping, включить/выключить индикацию 'денег хочу', залить ключики для 802.1x. Все.

Edited by inkelyad

Share this post


Link to post
Share on other sites

Есть дешёвые роутеры, но они прогибаются под локальным траффиком. Так-что доп. условие: корректная работа на 100М

Share this post


Link to post
Share on other sites

:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием. Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).

Я бы посоветовал им либо менять все свичи на доступе на умеющие ацл, либо менять ядро на умееющее влан-на-юзера. И уж точно менять биллинг и технологию доступа. Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.

Для решения чисто технических заморочек, предложенный девайс конечно сильно бы помог такому оператору.

Edited by Alexandr Ovcharenko

Share this post


Link to post
Share on other sites
:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием.

(Глядя на тему "Разгильдяйство монтажников") Каким существующим оборудованием без 802.1x можно точно сказать, что вот за этим портом точно этот абонент? И проблемы у админов не из за того ли, что маки абонентов могут меняться?
Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).
Собственно, придуманная мной железка как раз делает ненужными свичи доступа с L3 ACL.
Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.
802.1x нужен только для того, чтобы узнать абонента. Закрывать порт при недостатке средств -- действительно криво. Но можно. Если на CPE большая красивая лампочка 'денег хочу' есть.

Share this post


Link to post
Share on other sites

802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".

Share this post


Link to post
Share on other sites
802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".
+1

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?

 

 

 

Share this post


Link to post
Share on other sites

Решение, когда порт абонента всегда авторизован(переадресовать/заблокировать можно и другим способом), а guest vlan используется для отлова посторонних кажется более логичным.

Share this post


Link to post
Share on other sites
Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?
Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

 

 

Edited by inkelyad

Share this post


Link to post
Share on other sites
Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?
Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

Да, я уже потом прочитал не по диагонали.

Тут как-то писали о вот таких железках, примерно: 3Com IntelliJack Switch NJ220, но цена ИМХО запредельная.

Edited by Dm1try

Share this post


Link to post
Share on other sites

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

 

Share this post


Link to post
Share on other sites

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

на дом управляемое железо, которое умеет дот1х

Share this post


Link to post
Share on other sites

Абоненту -- максимально дешевое, но позволяющее обойти неудобства схемы с MAC-Port binding(необходимость как-то сообщать системе провайдера о том что MAC новой железки нужно пропускать) так и схемы vlan на пользователя (необходимо как-то отслеживать, что в порт/vlan все еще подключен тот пользователь, что нужно + управление большем количеством vlan-ов)

 

А на дом -- любое управляемое, что позволяет сделать MAC-Port binding и изоляцию абонентских портов. Авторизовывать MAC-и по 802.1x можно и ближе к центру сети.

Edited by inkelyad

Share this post


Link to post
Share on other sites

Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Share this post


Link to post
Share on other sites
Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

Поставим такую, что гигабит выдерживает. Вместе с заменой домового свича. Который и через 3 года не таким умным должен будет быть.

 

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Ничего. Так же как в схеме vlan на пользователя и чистого MAC binding-а

 

Работать жулик все равно сможет только "от лица" законного абонента.

Но судя по тому, что народ массово хочет отказываться от схем с PPP*, это никого уже не пугает.

Edited by inkelyad

Share this post


Link to post
Share on other sites

Интересная железка. А каким способом программировать эту розетку?

Share this post


Link to post
Share on other sites
Интересная железка. А каким способом программировать эту розетку?
перед установкой

tftp put <сертификат авторизации>

Обратно его, разумеется, вытащить уже нельзя.

 

Если розетка умнее, чем я описал, то после авторизации она вытаскивает свой конфиг-файл/мы заливаем его c сервера конфигурации.

Cертификат в розетке тогда используется еще и для проверки подписи этого конфига.

 

Можно еще делать так, как в DOCSIS с модемами делают, там их не нужно даже перед установкой программировать, но система намного более сложная.

Share this post


Link to post
Share on other sites
2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Попадёт в гостевой VLAN, по DHCP получит гостевые настройки и не получит в принципе ничего, только его запросы, направленные в сторону 80 порта любого хоста успешно будут завёрнуты на страничку с объяснением:

Мы рады новым абонентам, но не рады нарушителям закона. Позвоните по телефону №№№№№ и объясните, как так получилось, что вы увидели это сообщение. Учтите, о вашем подключении извещена служба безопасности.

Share this post


Link to post
Share on other sites

цена железки ???? !!! идея очень хорошая и востребована, можна сделать два вида - на 100 мегабит и на 1Гигабит, потому как цена будет у гигабитки побольше.

при заказе 1000 штук - какая цена планируется ?

Share this post


Link to post
Share on other sites
цена железки ???? !!! идея очень хорошая и востребована
Нет железки. Не выпускает никто. Вся тема затеяна для того, чтобы можно было ткнуть производителей сетевого оборудования пальцем и сказать: "народ будет покупать, почему не производите?"

 

Share this post


Link to post
Share on other sites

Да производят, производят. Но цена около 300-т баксов. Поэтому и не популярно. А те, кто мог бы заказать товарную партию, чтобы выйти на оптовые цены, не парятся и ставят L3 Ethernet на доступ, тот же FastWeb например. А когда ставишь на доступ L3, - все заморочки отпадают сразу же.

Share this post


Link to post
Share on other sites

Железку с минимально нужным фукционалом -- не производят. Все наровят CPE слишком умным сделать. И 300 баксов -- это большой перебор. За ~1500р нужный функционал на коленке делается(зашивается в DIR-300 нужный Linux, например).

Share this post


Link to post
Share on other sites

DIR-300 склеит ласты на 100М, не надо сказок!

Share this post


Link to post
Share on other sites

так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

Edited by inkelyad

Share this post


Link to post
Share on other sites
так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

 

Бред. Полный. Тупой.

 

 

Оставьте любые тупые идеи как-то ограничивать абонента. Это его территория и его сеть.

 

 

Абонету отдается /29 или даже /28 ( wifi, буки, умные мобильники, сетевые сториджи, LBook'и и прочая сетевая хрень).

 

C-VLAN.

 

Точка.

 

 

 

P.S.

Дом абонента полностью полноценен, уважаем, самодостаточен.

 

 

.

Edited by Voicemaster

Share this post


Link to post
Share on other sites

Белых IP тоже прикажете /28 абоненту насыпать?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this