Jump to content
Калькуляторы

IEEE 802.1X плюсы и минусы Операторское применение стандарта

Недавно узнал про сей хитрый стандарт, который применяют некоторые небольшие провайдеры для авторизации пользователей. Широкого распространения я не увидел, думаю из-за стоимости коммутаторов поддерживающих сей стандарт.

Вопрос следующий: в чем плюсы и минусы применения его (можно в сравнении с PPPoE)? Может кто-то работает с ним?

Edited by Psih[AL]

Share this post


Link to post
Share on other sites

Крайне скуден перечень абонентского железа (всякие WiFi/SOHO-роутеры). Остальные недостатки не так критичны.

 

Share this post


Link to post
Share on other sites
Крайне скуден перечень абонентского железа (всякие WiFi/SOHO-роутеры). Остальные недостатки не так критичны.

беспроводное оборудование меня не интересует. Например Zyxel 2024A поддерживает данный стандарт. Каковы особенности построения проводной сети на основе 802.1X?

Share this post


Link to post
Share on other sites
беспроводное оборудование меня не интересует.

Это оно вас не интересует, а ваших абонентов - очень даже. И если абонент не сможет подключить к вашей сети с 802.1X свой говнороутер с вайфаем (т.к. на говнороутерах 802.1X клиент работает далеко не всегда), то либо добавит геморроя вашей техподдержке, либо найдёт другого провайдера.

Share this post


Link to post
Share on other sites
беспроводное оборудование меня не интересует.
Это оно вас не интересует, а ваших абонентов - очень даже. И если абонент не сможет подключить к вашей сети с 802.1X свой говнороутер с вайфаем (т.к. на говнороутерах 802.1X клиент работает далеко не всегда), то либо добавит геморроя вашей техподдержке, либо найдёт другого провайдера.

один минус найден, подумаем над этим... еще минусы. Интересуют преимущества над PPPoE

Share this post


Link to post
Share on other sites

Да и компьютеры тоже не совсем тривиально подключить, честно скажем.

Короче: проще забить, чем заморачиваться.

Можно использовать в криминальных районах и для явно того желающих клиентов.

Share this post


Link to post
Share on other sites
Да и компьютеры тоже не совсем тривиально подключить, честно скажем.

Короче: проще забить, чем заморачиваться.

Можно использовать в криминальных районах и для явно того желающих клиентов.

Вы не поняли. Хотим вместо PPPoE использовать. Настроить подключение компьютера гораздо проще, чем PPPoE. Хочется реальные плюсы и минусы, а не так: "лучше не заморачиваться".

 

ИМХО PPPoE да Ethernet-провайдинга далек от идеала...

Share this post


Link to post
Share on other sites

Настроить подключение компьютера гораздо проще, чем PPPoE.

Сами пробовали? Например на Win2K? Или на несвежей WinXP? Проверочный выстрел в голову: ноутбук, с уже вшитым сертификатом для авторизации на работе. Пробовали туда второй вариант авторизации прилепить?

 

Короче, вредно это, неудобно. Для массового использования неприменимо. Да и PPPoE ваш тоже давно выкинуть на свалку и закопать.

 

Гуглите по форуму в сторону слов: BRAS, VLAN-per-Customer

http://www.nag.ru/2006/0920/0920.shtml

http://www.nag.ru/2006/1001/1001.shtml

Share this post


Link to post
Share on other sites

Ну это незначительные минусы, один на 10к. Тем более есть пути решения. Кто использовал?

Share this post


Link to post
Share on other sites
Сами пробовали? Например на Win2K? Или на несвежей WinXP? Проверочный выстрел в голову: ноутбук, с уже вшитым сертификатом для авторизации на работе. Пробовали туда второй вариант авторизации прилепить?
Кроме сертификатов авторизует как по мак так и через веб, правда не знаю как в других в железках а в прокурвах без проблем.

 

У меня, там где на клиентах прокурвы стоят по маку авторизует.

Share this post


Link to post
Share on other sites

http://www.lanbilling.ru/article_sflow_8021x.html

 

Даже спорить не хочу. С 2004 года слежу за этим протоколом. Хотите набивать шишки сами - набивайте. Что мог - сказал, убеждать не буду, лень.

Share this post


Link to post
Share on other sites

с точки зрения оператора хорошее техническое решение, но с точки зрения обслуживания пользователя, не все ПО поддерживает этот протокол... Win9х МЕ 2000 ХР(до SP1) разные предустановленные линухи, роутеры... все это "хреново совместимо" с этим протоколом...

Share this post


Link to post
Share on other sites

Проще перечислить тех, кто совместим, причём не всегда нормально

Share this post


Link to post
Share on other sites

Я не знаю как у вас в Москве-Питере, но у нас я еще ни разу на компе пользователя не видет Вин9х, 2к или Линукс непонятный.

Один большой минус нашли - возможная несовместимость оборудования/ПО клиента со стандартом. Давайте найдем другие конкретные плюсы/минусы...

Если есть операторы работающие по такой схеме, надо понять почему они это делают

Share this post


Link to post
Share on other sites

Есть два приемлимых варианта

Вам не нужно выдавать динамические İP

Тогда модуль İPN во многих биллингах авторизация по маку. Казалось бы у клиента надо спрашивать иак, но нет. Сначала клиент попадает к гостевую сеть, потом вводит логин и пароль через веб интерфейс, после чего всё его мак запоминается и прикрепляется нужный айпи.

Второй вариант это использование динамического портала İSG от циски, там воообще все красиво. И выдача динамических айпи и собственно читайте здесь

http://abills.net.ua/wiki/doku.php/abills:...es:cisco_isg:ru

 

Share this post


Link to post
Share on other sites

И что там читать? :)

 

===

Эта страница ещё не существует

Вы перешли по ссылке на тему, для которой ещё не создана страница. Если позволяют Ваши права доступа, Вы можете создать её, нажав на кнопку «Создать страницу».

===

Share this post


Link to post
Share on other sites

дот1Х мы очень успешно внедрили в офисах. Эта фишка идеальна для офисов, особенно, если есть домен и стандарты АРМ. Полгода нареканий нет.

 

Но ставить ее в поля, клиентам? Только если у вас есть склонность к извращениям, к ОЧЕНЬ сильным извращениям!

Edited by chainick

Share this post


Link to post
Share on other sites

multinex работает на этом.. протоколе.. не знаю во всех ли "своих" городах но работает.

 

Как уже было сказано - это неудобно для клиента. У нас в городе указанный оператор специально мучал zyxel чтобы те выпустили прошивку для своих роутеров с поддержкой радиуса.. те выпустили, еще вроде d'link, с их слов, чего то там тоже стряпал.

 

Итог: если у вас ХР СП2 и 1 ПК то все хорошо.

 

А если у вас СП3 :) или виста, или игровая консоль с интернетом? ;0)

Для СП3 и Висты есть лекарство от майкрософта, не уточнял его суть, но проблему, как говорят пользователи, не решает. Их решает odissey клиент, программка такая для авторизации по MD5, но она платная. Её по идее монтажники ставят,с кряком естественно xD

 

+ Если у вас дома появился второй комп или ноут, что сейчас характерно - и вы обычный рядовой абонент (ламер т.е.) вам нужно купить роутер, отнести его в офис провайдера, там его перешьют и тогда будет счастье.

 

А ведь роутер - именно определенной модели ;0) т.е. чтобы абонета быстрее подключить нужно иметь роутеров у себя (провайдера)....

Ну и так далее, все из этого вытекающее...

 

Провайдеры на нем работают, но как мне кажется это полная противоположность идее с 1 кнопкой ("чтобы было хорошо")

DHCP внутри vlan ИЛИ совместно с option 82 куда интересней.

 

IMHO

 

з.ы. ах да, еще из плюсов - можно после авторизации абонента его порт в определенный vlan посадить автоматически.

Share this post


Link to post
Share on other sites

А если у вас СП3 :) или виста, или игровая консоль с интернетом? ;0)

Как раз СП3 и виста работают идеально. В отличие от предыдущих версий.

Share this post


Link to post
Share on other sites
Как раз СП3 и виста работают идеально. В отличие от предыдущих версий.

Если не ошибаюсь частенько возникает проблема когда имя и пароль нужно снова и снова вводить, или последние обновления от майкрософта решают эту проблему? в т.ч. и для Vistax64 ?

 

Я имею ввиду именно поддержку MD5 авторизацию системой, без установки доп. ПО

Share this post


Link to post
Share on other sites

Собираемся ставить Зухели с поддержкой стандарта и радиус-клиентом... поэтому тему и создал. Операционки нормально справляются с поставленной задачей (ХР2,3, Виста, 7, остальные у нас экзотика). А вот с роутерами действительно трабла, надо подумать здесь...

 

MD5 авторизация именно используется? или можно другие варианты?

 

Давайте побеседуем еще на эту тему, хочется все тонкости познать :)

Share this post


Link to post
Share on other sites

Если даже pppoe, которое в виндах настраивается тремя ответами на вопросы типа "хотите подключиться к инетрнет?", вызывает ступор у клиентов, то 802.1x - это проще сразу повешаться, выпив яду для надежности.

Share this post


Link to post
Share on other sites

Если не ошибаюсь частенько возникает проблема когда имя и пароль нужно снова и снова вводить, или последние обновления от майкрософта решают эту проблему? в т.ч. и для Vistax64 ?

Протектед ЕАР имеете ввиду? 600 клиентов полет нормальный. С 2000 тоже были проблемы, когда она не могла выйти из карантинного влана.

Share this post


Link to post
Share on other sites
600 клиентов полет нормальный

Т.е. все же с операционками проблема есть но решаема.

 

Из роутеров вот что советуют

Dlink DIR 120 (320 WI-FI)

Zyxel P-330 EE

TP-link TL WR642G, 542 (WI-FI) R860,460

http://www.tp-link.com/products/router.asp

еще есть http://level-one.ru/ , как говорят они все знают 802.1х

 

Как видим железо есть но его маловато, и зиксели это примерно 2500 рублей за указанный девайс.

 

п.с. Коммутаторы у зикселя - нечего так, но дорогие, по крайней мере заметно дороже длинка с аналогичным функционалом.

Форум у них тоже интересный - личная переписка с сотрудником сапорта, который принял ваш тиккет.

Как тут уже писалось, если проблема в софте - то ее долго фиксят.

Например ES-2024-A, модель с радиусом, виланами и двумя гигабитами стоит больше 10К, за эти же деньги можно купить старый добрый DES-3526.

Еще многие используют под радиус des-3026, как у него с глюками -хз, у нас vlan'ы на них работают, вроде нормально, в грозу разве что по 4 порта гореть любят :0)

 

хотя чего это я, загляните в тему неподалеку про выбор коммутатора.

 

Share this post


Link to post
Share on other sites

Если в кратце, то стандарт вполне себе живучий, со своими плюсами и минусами, тот кто говорит, что его использовать нельзя на больших сетках, просто не умеет их готовить :) У нас на сети несколько десятков килохомячков так авторизуются, если что :)

 

Из очевидных плюсов по сравнению с тем же pppoe:

- не надо никакого терминирующего оборудования, тут чистый эзернет

- пользователь под своими реквизитами может выйти из любой части сети

- гибкое управление скоростями, qos, доступом на порту свича абонента

 

Из минусов:

- первый и самый главный: сложность настройки у клиента. pppoe в этом плане гораздо проще. Однако решается написанием собственного суппликанта под свои нужды, это студент и пару месяцев работы :)

- приходится ставить на access умные свичи, хотя с другой стороны это и плюс, так что можно это и в плюс добавить

- мало железных роутеров под это дело

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this