[micros]

Влан на клиента по моему актуален при более тупом аксессе, не поддерживающем дхцп релей с опцией 82, ацл-и и т.п. (например рубитеки).

+1024

 

Рас уж закуплено умный доступ, используйте по назначению. (option 82, relay, dhcp snoop)

 

п.с. сами работаем на vlan-per-user. На доступе des-2108 кое где 3026 с option 82 дел не имел,

вопрос к аудитории: а разве в в схеме с dhcp snooping, opt 82 и ACL нужны где то виланы кроме как управляющие (для оборудования провайдера)?

 

[Дятел]

не очень понял противопоставление VLAN-per-user и option 82. По-моему, они чудесно дополняют друг друга.....

[nnm]

Не так все было... Совсем не так... ©

 

Отвечу.

Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР.

Скорее потому, что лет 10-ть назад, когда DSL начинался не было способа взаимодействия с билингом, кроме RADIUS. И никакая Ethernet-коробка этот RADIUS не умела. Поэтому и PPPoX.

 

И, кстати, DSLAM в детстве, когда телефонисты учились ADSL-ю, был тупым мультиплексором, поэтому у них в ADSL и живёт АТМ, - чтобы тупо пробросить всех абонентов по SDH куда-то далеко, где стоит огромный терминатор, один на много-много АТС-ок. А аналога Q-in-Q тогда ещё не было.

Наоборот. DSL сделали ATM-ным т.к. тогда казалось, что ATM это безумно перспективно. Ну и как следствие DSLAM стали MUX. А Q-in-Q для ATM нафиг не нужен т.к. там пространство VC очень большое.

 

Кстати, РРР в виде РРРоЕ для них уже прогресс, почти революция. В самом детстве они вообще траффик считать не умели, умели только "включение на такой-то скорости", когда на DSLAM-е конфигурировалась полоса и на этом всё обслуживание абонента заканчивалось. Канал дали - и ладно, теперь будем месячную абонентку считать. А когда захотелось что-то сложнее, чем "тупо дать канал", - ooops!! - в технологии-то ничего и не предусмотрено! - пришлось городить второй слой, в итоге имеем IP over Ethernet over ATM over DSL, всем привет!

Это потому, что среди всего прочего целились на бизнес, который может захотеть clear channel и гонять по нему какой-то SNA. :)

 

А исче PPPoE используеццо для того, чтобы когда у вас умирает и перезагружаеццо BRAS на 10K абонентов не нужно было каждому из них говорить мантру: 'Введите в командной строке ipconfig /release ipconfig /renew' :)

[vIv]

А исче PPPoE используеццо для того, чтобы когда у вас умирает и перезагружаеццо BRAS на 10K абонентов не нужно было каждому из них говорить мантру: 'Введите в командной строке ipconfig /release ipconfig /renew' :)

VRRP это хорошо, согласен ;-)

Но вообще довольно тяжело добиться, чтобы насовсем сдохла железка, в которой всё зарезервированно. А железки, на которых висят тысячи клиентов, принято резервировать.

[_Wolf_]

... а в гости так ни кто и не пригласил :-)

[vIv]

написал в личку

[Alone_Stranger]

... а в гости так ни кто и не пригласил :-)

Ну если ты в Питере - могу с нашим начальством поговорить, авось тебе че-нибудь расскажут-покажут.

Могу и сам поводить, но за мной только layer 1 на сети. Хотя абонентов - под 8к физиков и под 200 юриков, среди них крупные торговые сети.

 

Пиши в личку.

[vIv]

Вообще в гости напрашиваться "просто так" не очень вежливо. Хорошо бы придумать, или хотя бы предложить вместе обдумать какую-то взаимную пользу такого контакта. Не нравоучение, а совет, не обижайтесь. Наверняка у вас есть опыт ковыряния железок или решения проблем, которого нет у того, к кому вы в гости хотите. Предложите это. ISP-шный бизнес очень территориально привязан и "мелкий чувак" , образно, "с той стороны Урала" может совершенно неожиданно рассказать ТАКОЕ, о чём никто и не догадывался. Поэтому живое общение с коллегами, которые не конкуренты на твоей же территории, - может быть очень продуктивно.

 

Личный пример: я как-то в Волгограде с парнями языком зацепился и стал им рассказывать, как правильно выбирать говносвичи, они мне в ответ прочитали аж на три дня лекцию с практическими демострациями по выбору симплексного интернета и установке антенн, когда нет мачт, а "чердак и так сыпется", т.е. во дворе на всяких непонятных бетонных конструкциях типа детсада, между деревьев, и как эти деревья правильно обпиливать и с кем это согласовывать ;-)

[BudushiyISP]

Хорошо, а как анализировать кто он клиент конкретный при VLAN на пользователя без Опции 82, и удобно ли это?

Изменено 9 июля, 2009 пользователем BudushiyISP

[nnm]

А исче PPPoE используеццо для того, чтобы когда у вас умирает и перезагружаеццо BRAS на 10K абонентов не нужно было каждому из них говорить мантру: 'Введите в командной строке ipconfig /release ipconfig /renew' :)

VRRP это хорошо, согласен ;-)

Ага, только он не спасает :(

 

Но вообще довольно тяжело добиться, чтобы насовсем сдохла железка, в которой всё зарезервированно. А железки, на которых висят тысячи клиентов, принято резервировать.

Железки как правило прекращают оказывать сервис не потому, что в них что-то сгорело, а потому, что кривой софт что-то там не то сделал и упал :( Так что резервирование не особо помогает...

Изменено 9 июля, 2009 пользователем nnm

[_Wolf_]

Вообще в гости напрашиваться "просто так" не очень вежливо. Хорошо бы придумать, или хотя бы предложить вместе обдумать какую-то взаимную пользу такого контакта. Не нравоучение, а совет, не обижайтесь. Наверняка у вас есть опыт ковыряния железок или решения проблем, которого нет у того, к кому вы в гости хотите. Предложите это. ISP-шный бизнес очень территориально привязан и "мелкий чувак" , образно, "с той стороны Урала" может совершенно неожиданно рассказать ТАКОЕ, о чём никто и не догадывался. Поэтому живое общение с коллегами, которые не конкуренты на твоей же территории, - может быть очень продуктивно.

 

Личный пример: я как-то в Волгограде с парнями языком зацепился и стал им рассказывать, как правильно выбирать говносвичи, они мне в ответ прочитали аж на три дня лекцию с практическими демострациями по выбору симплексного интернета и установке антенн, когда нет мачт, а "чердак и так сыпется", т.е. во дворе на всяких непонятных бетонных конструкциях типа детсада, между деревьев, и как эти деревья правильно обпиливать и с кем это согласовывать ;-)

Про "просто так" речь и не шла... я не просто так в самом начале упомянул - "на уровне организации". Прошу прощения, если был понят не правильно. Я прекрасно понимаю, что "проводить семинар для чайников" ни кому из реально работающих совершенно не интересно. Только боюсь, что "поделиться взаимообразно" нам пока нечем... Операторы "традиционной телефонии", причем лично я с этим практически не связан. Предоставляем доступ по ADSL. Но на нем стало уже "тесно". Вот решили развиваться в сторону Ethernet. На "свободных волокнах" начали строить сеть аналогового КТВ... в этом вопросе есть люди, перешедшие из других организаций и достаточно опытные как в технических вопросах, так и договорных отношениях с каналами.

 

Собственно поэтому в вопросе PPPoE vs CVLAN плюсы-минусы первого нам вполне известны и прочувствованы. Поэтому рассказывать о его прелестях нам не за чем. Пусть вопрос выбора между этими двумя методами для нас пока и не решен окончательно, но вот именно для этого и хочется "из первых рук" узнать об опыте применения "Vlan per user", прикинуть, сравнить что это нам дает и что за собой влечет.

 

О вариантах технической реализации в плане конфигурации оборудования у меня по итогам чтения этого форума определенное представление сложилось уже давно. А вот что касается точек применения политик, формирования и схем предоставления услуг, и в первую очередь аутентификации/авторизации - для меня "огромное белое пятно".

 

Мне вовсе не хотелось перетаскивать сюда "из соседних веток" очередной холивар на эту тему. Лично мне нравится идея "воткнул и работай". Но окончательные решения принимаю не я, а людей, которые не первый год предоставляют доступ через ADSL\PPPoE с явным вводом логина/пароля преубедить, мягко говоря, очень сложно... а с моим уровнем компетенции и практически невозможно.

Изменено 9 июля, 2009 пользователем Wolf-psk

[vIv]

Хорошо, а как анализировать, кто он клиент конкретный при VLAN на пользователя без Опции 82, и удобно ли это?

Opt82 используется только дл подсказки DHCP серверу, какие настройки отдать спрашивающему. Это не супермегаанализ, а просто выборка из набора настроек, кому что подсказывать.

 

Эта модель как-раз и вкусна железобетонной надёжностью. Или у клиента всё правильно, или у него нет связности. Только два варианта.

 

Есть только два возможных варианта:

1) он находится в нужном диапозоне разрешённых ему IP адресов (один или более), и

2) трафик от него дальше BRAS не выходит, потому-что дропается

Причём независимо от того, какие у него настройки, он не способен нагадить другим абонентам, потому что живёт в своей виртуальной локалке (VLAN).

 

2 Wolf-psk: а тупо сошлись на Juniper:

http://www.nag.ru/2006/0920/0920.shtml

http://www.nag.ru/2006/1001/1001.shtml

[vIv]

Железки как правило прекращают оказывать сервис не потому, что в них что-то сгорело, а потому, что кривой софт что-то там не то сделал и упал :( Так что резервирование не особо помогает...

У вас какие-то неправильные правила ;-(

 

 

На "свободных волокнах" начали строить сеть аналогового КТВ... в этом вопросе есть люди, перешедшие из других организаций и достаточно опытные как в технических вопросах, так и договорных отношениях с каналами.

Тихонечко на ушко намекаю: если у вас есть люди, которые умеют договариваться с каналами, - с вами 80% провайдеров России будут счастливы пообщаться и сами коньячку и шашлычку подгонят, чтобы разговор легче лился ;-) Вот вам и предлог для общения ;-)

А ты говорил, "говорить не о чем" ;-)

 

А вот что касается точек применения политик, формирования и схем предоставления услуг, и в первую очередь аутентификации/авторизации - для меня "огромное белое пятно".

Авторизация и аутентификация - это тупо провод в квартиру. Есть опция в виде 802.1X или её копия в виде веб-авторизации через перехват пакетов. Это как-раз самый решёный момент. А вот с приминением политик... тут всё очень грустно. Либо самодельный комбайн (см. вышеприведённые ссылки на БРАСологию), либо мегадевайсы типа Juniper E-series или CISCO 10/12К

[_Wolf_]

А вот что касается точек применения политик, формирования и схем предоставления услуг, и в первую очередь аутентификации/авторизации - для меня "огромное белое пятно".

Авторизация и аутентификация - это тупо провод в квартиру. Есть опция в виде 802.1X или её копия в виде веб-авторизации через перехват пакетов. Это как-раз самый решёный момент. А вот с приминением политик... тут всё очень грустно. Либо самодельный комбайн (см. вышеприведённые ссылки на БРАСологию), либо мегадевайсы типа Juniper E-series или CISCO 10/12К

.1X - это первое же, что еще в самом начале мне пришло в голову. На первый взгляд - красиво. Но по недолгому размышлению - проблем и потенциальных звонков в техсуппорт светит куда поболе, чем с pppoe.

Насчет мега-девайсов... как в этом свете видится например Cisco SCE-2000? Я не разобрался пока конкретно методах ее действия. Но если пользовательт однозначно ассоциирован с IP-адресом/подсетью - то не может ли она непосредственно управлять трафиком без посредничества ISG? Просвятите...

Изменено 9 июля, 2009 пользователем Wolf-psk

[vIv]

Это к цискарям вопрос. До недавнего времени у них всё было очень грустно, но, вроде-бы, в последнее время они начали активно рыть в эту сторону. Надо цисководов спросить.

[chainick]

> .1X - это первое же, что еще в самом начале мне пришло в голову.

 

Я вам, как успешно внедривший это чудо (без обиняков, чудо) скажу - нельзя его никогда пользователяи провайдера ставить. Это удел копроратов, там - да, окупает себя на все 100. Но только не пользователям!

[vIv]

И корпораты его тоже не любят, особенно те, которые с виндовс-доменом. а у виндовс и линукс физиков какие проблемы? Нам, правда, пришлось делать скрипт для вкрячивания настроек соединения, но для параноиков это было даже в чём-то плюсом.

[chainick]

> И корпораты его тоже не любят, особенно те, которые с виндовс-доменом.

Поясните.

 

> а у виндовс и линукс физиков какие проблемы

Ну есть проблемы.

 

Ну, например, генту последний, в гостевом влане живет 30 секунд и теряет соединение. Не лечится.

 

иДенеб живет до первой блокировки сессии, после чего нужно руками делать реконнект.

 

Если в виндовсе используется дефолтная(!) авторизация по имени+учетке ПК, по РДП зайти невозможно, это форсит реавторизацию -> потеря соединения. Не лечится. (правда обещали что-то "in future undefined release")

 

Из двух одинаковых шетитонных шаси с одинаковым иосом и супом полностью идентичным!! конфигом, первый шлет NAS port-type, а второй - хрен. Требуется подточка напильником на радиусе.

 

Такие дела.

 

А вот с АД, как ни странно, все в порядке. По крайней мере с виндовс-станциями. И, что странно, виндовс-7 работает идеально просто, ни одного обращения.

[grfmaniak]

Отвечу.

Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР.

Потому что кроме безлимитов, существуют помегабайтные тарифы, на которых людям весьма не нравится, что их мегабайты улетают сразу после включения компа (в случае отсутствия логина и пароля).

[vIv]

> И корпораты его тоже не любят, особенно те, которые с виндовс-доменом.

Поясните.

 

[skip]

 

А вот с АД, как ни странно, все в порядке. По крайней мере с виндовс-станциями. И, что странно, виндовс-7 работает идеально просто, ни одного обращения.

Значит, починили. Рад слышать. Раньше там была беда с тем, что пока порт закрыт - винды не могут авторизовать сессию, если авторизовать сами винды, то по сессии вилан не удаётся выбрать, винды уже авторизовались

[white_crow]

Отвечу.

Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР.

Потому что кроме безлимитов, существуют помегабайтные тарифы, на которых людям весьма не нравится, что их мегабайты улетают сразу после включения компа (в случае отсутствия логина и пароля).

Да, а ещё многим людям нравиться иметь логин и пароль, чтобы сестра, брат, бабушка, сын, дочка не лазили, если дедушка плохо себя вёл и если мама не разрешает...

И можно иметь несколько логинов дома... (сестра отдельно, брат и папа отдельно)...

И папа всегда может пароль сменить, чтобы сын-онанист - не порево качал, а учил физику и пока не сдаст зачот, фиг новый пароль папа ему даст....

Потому речь идёт о деньгах...Поэтому - это гадость авторизовывать по порту, по IP.....

 

_____

В биллинге для маленьких провайдеров, который я юзаю - Ideco - есть авторизация по агенту. (у меня перевалило за 3000 физиков).

Очень удобная штука. Людям нравиться. она ещё и баланс показывает и сообщения от админа шмаляет. Ещё там есть вариант авторизации по IP, VPN/PPPoE, агент+ip, Web, Web+ip.....

Я доволен. Люди тоже. Вообще, лучше иметь гибкость при способах авторизации. Если клиент хочет - пусть будет по IP, если надо VPN с шифрованием - пускай, Web - на здоровье,

агент - по умолчанию....

Ну а в целом мне нравиться схема с более умным доступом, где можно жёстко залочить айпишнеги на порту. И тут же по snmp управлять портом клиента (скорость, ACL, фильтры IGMP)/Всегда удобно следить, кто матом ругался на форуме или пароли брутом подбирал к чужому аккаунту. И нет зависимости от одной центральной молотилки в центре за 70 касарей (не охота держать резерв такой дорогой).

Хотя есть мнение наоборот - лучше тупой доступ - там воруют свичи, вандализм, сырость, обслуживание сложнее, ящики, замки, электропитание, счётчики, бесперебойники, вентиляторы. Проще в центр молотилку умную под бок взять и на ней всё рулить (и одну на резерв, хотя всю не надо - -она же модульная....). И её никто не украдёт.

тут надо считать - скока абонентов может быть в перспективе. Т.е. при каком-то количестве в абонентской базе - стоимсоть умного доступа начнёт превышать стоимсть молотилки в центре. И не забывать про важность не только начальной стоимости , но и стоимсоти обслуживания....

Ну и молотилку в центр нефиг брать - если людей не много в перспективе....

Так что политика и экономика.....

И если вроде и хочется выбрать схему с более умным центром - но нет начальных денег - тогда постепенно, на ходу, развиваиься, винигрет лепить. Почти как все. Ибо не у многих есть сразу инвестици, бизнес план и т.д.....

[vIv]

Да, а ещё многим людям нравиться иметь логин и пароль, чтобы сестра, брат, бабушка, сын, дочка не лазили, если дедушка плохо себя вёл и если мама не разрешает...

И можно иметь несколько логинов дома... (сестра отдельно, брат и папа отдельно)...

И папа всегда может пароль сменить, чтобы сын-онанист - не порево качал, а учил физику и пока не сдаст зачот, фиг новый пароль папа ему даст....

1) Есть тысяча способов ДОБАВЛЯТЬ пароли, начиная с приснопамятного 802.1X, кончая гибкими моделями управления в кабинете пользователя, где можно эти пароли навешивать хоть гроздьями.

2) Возможность к беспарольному доступу привинтить ещё разные ДОПОЛНИТЕЛЬНЫЕ плюшки - это опция, доп. сервис. Если же наличие пароля железобетонно отлито в базовую модель оказания услуги, то дёргаться некуда. Возможность манёвра - всегда лучше, чем её отсутствие.

 

Потому речь идёт о деньгах...Поэтому - это гадость авторизовывать по порту, по IP.....

Тоталитаризм и замшелость - вот гадость. Прекраснейший пример дуболомного выполнения управления услугами - Мегафон. После исчерпания баланса это дурилко ПЕРЕСТАЁТ сообщать баланс. При этом даже в момент отключения не сообщает об исчерпании средств. (особенно это заметно на фоне БиЛайна, который СМСку шлёт уже при переходе баланса через уровень $10) То-есть ВДРУГ связь кончилась, "всё поломалось!", - и только звонок в колл-центр (странно, что эту возможность тоже не отрубает) даёт возможность выяснить, что Мегафон ещё в принципе жив, это у абонента бабло кончилось.

 

Правильный пример гибкого подхода я видел в примере внедрения SNA на базе 802.1X с дополнительными агентами на клиентах. Правда, это только для энтерпрайза, но как идея:

даже если клиент не смог по 802.1X авторизоваться и попал в гостевую VLAN, даже если его агент не подтвердил чистоты клиентского ПК, - даже в этом случае, вроде бы "тотального провала" предпринимаются меры по форварду его трафика на специальный портал, где он может связаться с техподдержкой, скачать агента, инструкции по исправлению настроек 802.1X, свежий антивирус и т.д.

То-есть не нахер посылают, а до последнего стараются вытянуть клиентский комп в нормальное состояние, причём с максимальным применением средств автоматизации, чтобы саппорт не напрягать.

 

Вот это, на мой взгляд, правильный подход.

[vIv]

Потому что кроме безлимитов, существуют помегабайтные тарифы, на которых людям весьма не нравится, что их мегабайты улетают сразу после включения компа (в случае отсутствия логина и пароля).

Спасибо за подачу! ;-)

 

Вот, кстати, прекраснейший пример возможности и невозможности введения РАЗНЫХ подходов!

 

Вариант номер раз: доступ по РРРоЕ.

Свежекупленный комп нуждается в том, чтобы выкачать РРРоЕ клиента. Но не может этого сделать, так-как для выкачивания клиента надо иметь связность, а она появится только ПОСЛЕ установки клиента.

ИМЕЕМ: ЖОПУ без вариантов

 

Вариант номер два: доступ по IPoE.

Свежекупленный комп без лишних телодвижений оказывается в интернете.

ОПЦИЯ: абонент не хочет, чтобы сразу после включения комп был в интернете. Решение: на абонентском портале делается КНОПОЧКА "Включить/Выключить Интернет". При этом возможность доступа к порталу остаётся даже при выключеном Интернете.

ОПЦИЯ2: абонент не хочет, чтобы эту кнопочку мог нажимать кто угодно (дети, родители, и т.д.). Решение: на кнопочку навешивается парольная защита.

ОПЦИЯ3: абонент хочет, чтобы можно было нажать кнопочку "Интернета на 2 минуты" без пароля (чтобы можно было прогноз погоды глянуть, но много-много Интернета было бы не доступно), но чаще, чем раз в два часа её нажать было нельзя. Решение: [это очень сложное решение я расписывать не буду ;-) ]

ИМЕЕМ: массу вариантов

[4vlad]

Вариант номер два: доступ по IPoE.

Свежекупленный комп без лишних телодвижений оказывается в интернете.

ОПЦИЯ: абонент не хочет, чтобы сразу после включения комп был в интернете. Решение: на абонентском портале делается КНОПОЧКА "Включить/Выключить Интернет". При этом возможность доступа к порталу остаётся даже при выключеном Интернете.

ОПЦИЯ2: абонент не хочет, чтобы эту кнопочку мог нажимать кто угодно (дети, родители, и т.д.). Решение: на кнопочку навешивается парольная защита.

ОПЦИЯ3: абонент хочет, чтобы можно было нажать кнопочку "Интернета на 2 минуты" без пароля (чтобы можно было прогноз погоды глянуть, но много-много Интернета было бы не доступно), но чаще, чем раз в два часа её нажать было нельзя. Решение: [это очень сложное решение я расписывать не буду ;-) ]

ИМЕЕМ: массу вариантов

правильный ответ будет - абонент после включения в розетку оказывается в "правильной" внутренней сети провайдера, откуда уже все что нужно закачивается/настраивается и пр.пр.

а в интернет - по паролю в любом случае (технологически самая простая реализация PPPoE/PPtP)

[white_crow]

Нету у меня никакого тоталитаризма:

Баланс агент показывает даже когда он отрицательный.

Предупреждает заранее красивой картинкой в трее о наступлении минуса...("порог предупреждения" легко настраивается).

Агента скачать можно всегда. Все внутренние серваки видны всегда, как тока воткнулся в порт и получил свой постоянный IP адрес согласно договора.

При достижении минуса блокируются только платные сети.

Внутрення борода, типа сайта , форума и другой фигни - всегда доступны при втыкании в порт. Качай себе интрукции, памятки, антивирусные базы, спроси помощи в чате, форуме. Даже аська бесплатная у меня... (правда стоит на всякий случай ограничение на 50 метров в месяц, дальше платно - чтобы не охреневали : ))) Потому как есть способы файло лить через асю ввиде текстовый сообщений : )))

Отступление по методам авторизации всегда есть. Я же сказал - всё гибко - надо тебе авторизация по порту (по IP) - держи. Надо VPN - держи. Надо агент - держи....

Всё гибко. Возможность манёвра всегда есть. Никакой замшелости. И в то же время всегда логи приятно изучать - когда знаешь - IP адрес чётко привязан к порту.....

У пользователя есть выбор способа авторизации - свободный. Об этом в памятке и на форуме и в договоре написано....

Так что всё ок....