Перейти к содержимому
Калькуляторы
Стали ли бы вы использовать описанное в начале темы устройство?  

51 пользователь проголосовал

  1. 1. Стали ли бы вы использовать описанное в начале темы устройство?

    • Железка бесполезна и вредна -- надо обходиться стандартными возможностями коммутаторов доступа
      15
    • Не стал бы -- и так справляемся.
      7
    • Стал бы при цене до 300р.
      15
    • Стал бы при цене от 300 до 500р.
      13
    • Стал бы при цене от 500 до 800р.
      1
    • Стал бы при цене от 800 до 1000р.
      0


Бесполезные рассуждения о микро-CPE почему такое еще никто не производит?

Почитав споры про vlan на пользователя vs привязка MAC-IP-Port, придумал железку. Теперь вот решил выяснить, хочу ли я слишком странного или можно все-таки убедить какую-нибудь фирму начать производство.

 

Описание желаемой железки:

 

Форм-фактор: размером с настенную Ethernet розетку. Вход -- контакты для кабеля провайдера, выход -- обычный Ethernet порт. Устанавливается в качестве розетки при прокладке абонентской линии. Питание: по PoE либо от коммутатора провайдера, либо от БП питания у абонента.

 

1) Железка умеет авторизировать 802.1x порт на коммутаторе провайдера.

 

Хочется с достаточной достоверностью быть уверенным, что вот в этот порт подключен этот абонент, а 802.1x мало

что из бытовых сетевых устройств умеет, да и настраивать его абоненту надо.

 

2) Устройство делает rewrite полей адреса передаваемых Ethernet кадров. У всех кадров, идущих от абонента к провайдеру, src mac

заменяется на mac железки. Для кадров, идущих со стороны провайдера производится обратное действие. Имеется в виду, что со стороны абонента виден только

один MAС адрес. Кому надо -- поставят маршрутизатор.

 

Что это дает:

a) Конфигурация всяких MAC binding-ов становится статична -- абонент может совершенно спокойно подключать любые устройства, и это не потребует переконфигурирования коммутаторов. Т.е. меньше нагрузка на Call-центр, не нужно реализовывать режим переавторизации MAC-а в информационной системе и тд. Того же можно добиться работая с VLAN-ами(тот самый vlan на пользователя), но это повышает требования к оборудованию доступа/ядра (нужно большое количество vlan-ов, Q-in-Q, какая-то система для конфигурирования этих самых vlan-ов, их терминации итд).

 

b)мы можем с достаточной уверенностью сказать (в сочетании с (1) и binding-ом MAC-ов на порту), что если пакет/кадр пришел с таким-то mac-ом -- то он от такого-то абонента. Причем это соответствие, как сказано выше, статично.

 

c)вычистив сеть можно добиться того, что вообще все адресное пространство MAС в сети оператора не зависит от оборудования абонента и появление незнакомого MAC -- признак ошибки, а не штатная ситуация.

 

3) IP возможности устройства -- минимальны. Ответить на ping, включить/выключить индикацию 'денег хочу', залить ключики для 802.1x. Все.

Изменено пользователем inkelyad

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть дешёвые роутеры, но они прогибаются под локальным траффиком. Так-что доп. условие: корректная работа на 100М

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием. Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).

Я бы посоветовал им либо менять все свичи на доступе на умеющие ацл, либо менять ядро на умееющее влан-на-юзера. И уж точно менять биллинг и технологию доступа. Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.

Для решения чисто технических заморочек, предложенный девайс конечно сильно бы помог такому оператору.

Изменено пользователем Alexandr Ovcharenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:) недавно познакомился с одним оператором, который юзает дот1х.

Я так понимаю, у них когда-то волевым решением Великого Стратега было постановлено - делаем акцесс на дот1х, поэтому теперь голова админов там забита поисками идей по устранению последствий недальновидности того самого Великого Стратега.

Если из вышенаписанного убрать дот1х (его ведь далеко не все операторы используют?), то проблема успешно решается существующим оборудованием.

(Глядя на тему "Разгильдяйство монтажников") Каким существующим оборудованием без 802.1x можно точно сказать, что вот за этим портом точно этот абонент? И проблемы у админов не из за того ли, что маки абонентов могут меняться?
Трудно сделать влан-на-юзера? Тогда можно делать с помощью ацл биндинг порт+IP на свичах доступа, и пусть тогда юзер на своем порту делает что угодно с МАС. Только вот засада - у этого оператора свичи на доступе не умеют ацл (и тут недоглядел Великий Стратег).
Собственно, придуманная мной железка как раз делает ненужными свичи доступа с L3 ACL.
Ибо с их дот1х при отсутствии денег на счете юзеру невозможно даже зайти в личный кабинет и проверить свой счет. Сидит такой юзер дома и думает - толи денег нет на счету, толи у провайдера что-то упало. И вынужден такой юзер парить моск своими звонками техсаппорту.
802.1x нужен только для того, чтобы узнать абонента. Закрывать порт при недостатке средств -- действительно криво. Но можно. Если на CPE большая красивая лампочка 'денег хочу' есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

802.1x умеет не только закрывать порт, но и перекладывать его по VLAN-ам. В частности, при неудачной авторизации перекидывать в вилан, в котором все пакеты на 80 порт будут завёрнуты на страничку "денег дай".
+1

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решение, когда порт абонента всегда авторизован(переадресовать/заблокировать можно и другим способом), а guest vlan используется для отлова посторонних кажется более логичным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?
Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

 

 

Изменено пользователем inkelyad

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но встает другой вопрос, а что делать с абонентским железом, которое не умеет 802.1x? Глупые роутеры и т.п.?
Читаем пункт (1). На порту коммутатора по 802.1x авторизируется моя "розетка". Оборудование абонента может быть сколь угодно глупым.

Да, я уже потом прочитал не по диагонали.

Тут как-то писали о вот таких железках, примерно: 3Com IntelliJack Switch NJ220, но цена ИМХО запредельная.

Изменено пользователем Dm1try

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я что-не понял на дом неуправляемое железо, а абоненту управляемое устройство?

на дом управляемое железо, которое умеет дот1х

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абоненту -- максимально дешевое, но позволяющее обойти неудобства схемы с MAC-Port binding(необходимость как-то сообщать системе провайдера о том что MAC новой железки нужно пропускать) так и схемы vlan на пользователя (необходимо как-то отслеживать, что в порт/vlan все еще подключен тот пользователь, что нужно + управление большем количеством vlan-ов)

 

А на дом -- любое управляемое, что позволяет сделать MAC-Port binding и изоляцию абонентских портов. Авторизовывать MAC-и по 802.1x можно и ближе к центру сети.

Изменено пользователем inkelyad

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Две проблемы:

1. Пропускная способность. Ну 100 выдержит, через три года гигабит понадобится, что тогда?

Поставим такую, что гигабит выдерживает. Вместе с заменой домового свича. Который и через 3 года не таким умным должен будет быть.

 

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Ничего. Так же как в схеме vlan на пользователя и чистого MAC binding-а

 

Работать жулик все равно сможет только "от лица" законного абонента.

Но судя по тому, что народ массово хочет отказываться от схем с PPP*, это никого уже не пугает.

Изменено пользователем inkelyad

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная железка. А каким способом программировать эту розетку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная железка. А каким способом программировать эту розетку?
перед установкой

tftp put <сертификат авторизации>

Обратно его, разумеется, вытащить уже нельзя.

 

Если розетка умнее, чем я описал, то после авторизации она вытаскивает свой конфиг-файл/мы заливаем его c сервера конфигурации.

Cертификат в розетке тогда используется еще и для проверки подписи этого конфига.

 

Можно еще делать так, как в DOCSIS с модемами делают, там их не нужно даже перед установкой программировать, но система намного более сложная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2. Что помешает абоненту до такой разетки воткнуть свич, и лазать незамеченным по сетке, в обход авторизаций?

Попадёт в гостевой VLAN, по DHCP получит гостевые настройки и не получит в принципе ничего, только его запросы, направленные в сторону 80 порта любого хоста успешно будут завёрнуты на страничку с объяснением:

Мы рады новым абонентам, но не рады нарушителям закона. Позвоните по телефону №№№№№ и объясните, как так получилось, что вы увидели это сообщение. Учтите, о вашем подключении извещена служба безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

цена железки ???? !!! идея очень хорошая и востребована, можна сделать два вида - на 100 мегабит и на 1Гигабит, потому как цена будет у гигабитки побольше.

при заказе 1000 штук - какая цена планируется ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

цена железки ???? !!! идея очень хорошая и востребована
Нет железки. Не выпускает никто. Вся тема затеяна для того, чтобы можно было ткнуть производителей сетевого оборудования пальцем и сказать: "народ будет покупать, почему не производите?"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да производят, производят. Но цена около 300-т баксов. Поэтому и не популярно. А те, кто мог бы заказать товарную партию, чтобы выйти на оптовые цены, не парятся и ставят L3 Ethernet на доступ, тот же FastWeb например. А когда ставишь на доступ L3, - все заморочки отпадают сразу же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Железку с минимально нужным фукционалом -- не производят. Все наровят CPE слишком умным сделать. И 300 баксов -- это большой перебор. За ~1500р нужный функционал на коленке делается(зашивается в DIR-300 нужный Linux, например).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DIR-300 склеит ласты на 100М, не надо сказок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

Изменено пользователем inkelyad

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так на то оно и 'наколеночное' решение. Все процессором общего назначения делается. В промышленном решении rewrite MAC-ов должен делаться примитивной и дешевой микрухой, а все остальное большой вычислительной мощности не требует.

 

Бред. Полный. Тупой.

 

 

Оставьте любые тупые идеи как-то ограничивать абонента. Это его территория и его сеть.

 

 

Абонету отдается /29 или даже /28 ( wifi, буки, умные мобильники, сетевые сториджи, LBook'и и прочая сетевая хрень).

 

C-VLAN.

 

Точка.

 

 

 

P.S.

Дом абонента полностью полноценен, уважаем, самодостаточен.

 

 

.

Изменено пользователем Voicemaster

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Белых IP тоже прикажете /28 абоненту насыпать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.