Перейти к содержимому
Калькуляторы

IEEE 802.1X плюсы и минусы Операторское применение стандарта

Недавно узнал про сей хитрый стандарт, который применяют некоторые небольшие провайдеры для авторизации пользователей. Широкого распространения я не увидел, думаю из-за стоимости коммутаторов поддерживающих сей стандарт.

Вопрос следующий: в чем плюсы и минусы применения его (можно в сравнении с PPPoE)? Может кто-то работает с ним?

Изменено пользователем Psih[AL]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Крайне скуден перечень абонентского железа (всякие WiFi/SOHO-роутеры). Остальные недостатки не так критичны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Крайне скуден перечень абонентского железа (всякие WiFi/SOHO-роутеры). Остальные недостатки не так критичны.

беспроводное оборудование меня не интересует. Например Zyxel 2024A поддерживает данный стандарт. Каковы особенности построения проводной сети на основе 802.1X?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

беспроводное оборудование меня не интересует.

Это оно вас не интересует, а ваших абонентов - очень даже. И если абонент не сможет подключить к вашей сети с 802.1X свой говнороутер с вайфаем (т.к. на говнороутерах 802.1X клиент работает далеко не всегда), то либо добавит геморроя вашей техподдержке, либо найдёт другого провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

беспроводное оборудование меня не интересует.
Это оно вас не интересует, а ваших абонентов - очень даже. И если абонент не сможет подключить к вашей сети с 802.1X свой говнороутер с вайфаем (т.к. на говнороутерах 802.1X клиент работает далеко не всегда), то либо добавит геморроя вашей техподдержке, либо найдёт другого провайдера.

один минус найден, подумаем над этим... еще минусы. Интересуют преимущества над PPPoE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и компьютеры тоже не совсем тривиально подключить, честно скажем.

Короче: проще забить, чем заморачиваться.

Можно использовать в криминальных районах и для явно того желающих клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и компьютеры тоже не совсем тривиально подключить, честно скажем.

Короче: проще забить, чем заморачиваться.

Можно использовать в криминальных районах и для явно того желающих клиентов.

Вы не поняли. Хотим вместо PPPoE использовать. Настроить подключение компьютера гораздо проще, чем PPPoE. Хочется реальные плюсы и минусы, а не так: "лучше не заморачиваться".

 

ИМХО PPPoE да Ethernet-провайдинга далек от идеала...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настроить подключение компьютера гораздо проще, чем PPPoE.

Сами пробовали? Например на Win2K? Или на несвежей WinXP? Проверочный выстрел в голову: ноутбук, с уже вшитым сертификатом для авторизации на работе. Пробовали туда второй вариант авторизации прилепить?

 

Короче, вредно это, неудобно. Для массового использования неприменимо. Да и PPPoE ваш тоже давно выкинуть на свалку и закопать.

 

Гуглите по форуму в сторону слов: BRAS, VLAN-per-Customer

http://www.nag.ru/2006/0920/0920.shtml

http://www.nag.ru/2006/1001/1001.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это незначительные минусы, один на 10к. Тем более есть пути решения. Кто использовал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сами пробовали? Например на Win2K? Или на несвежей WinXP? Проверочный выстрел в голову: ноутбук, с уже вшитым сертификатом для авторизации на работе. Пробовали туда второй вариант авторизации прилепить?
Кроме сертификатов авторизует как по мак так и через веб, правда не знаю как в других в железках а в прокурвах без проблем.

 

У меня, там где на клиентах прокурвы стоят по маку авторизует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.lanbilling.ru/article_sflow_8021x.html

 

Даже спорить не хочу. С 2004 года слежу за этим протоколом. Хотите набивать шишки сами - набивайте. Что мог - сказал, убеждать не буду, лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

с точки зрения оператора хорошее техническое решение, но с точки зрения обслуживания пользователя, не все ПО поддерживает этот протокол... Win9х МЕ 2000 ХР(до SP1) разные предустановленные линухи, роутеры... все это "хреново совместимо" с этим протоколом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще перечислить тех, кто совместим, причём не всегда нормально

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не знаю как у вас в Москве-Питере, но у нас я еще ни разу на компе пользователя не видет Вин9х, 2к или Линукс непонятный.

Один большой минус нашли - возможная несовместимость оборудования/ПО клиента со стандартом. Давайте найдем другие конкретные плюсы/минусы...

Если есть операторы работающие по такой схеме, надо понять почему они это делают

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть два приемлимых варианта

Вам не нужно выдавать динамические İP

Тогда модуль İPN во многих биллингах авторизация по маку. Казалось бы у клиента надо спрашивать иак, но нет. Сначала клиент попадает к гостевую сеть, потом вводит логин и пароль через веб интерфейс, после чего всё его мак запоминается и прикрепляется нужный айпи.

Второй вариант это использование динамического портала İSG от циски, там воообще все красиво. И выдача динамических айпи и собственно читайте здесь

http://abills.net.ua/wiki/doku.php/abills:...es:cisco_isg:ru

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И что там читать? :)

 

===

Эта страница ещё не существует

Вы перешли по ссылке на тему, для которой ещё не создана страница. Если позволяют Ваши права доступа, Вы можете создать её, нажав на кнопку «Создать страницу».

===

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дот1Х мы очень успешно внедрили в офисах. Эта фишка идеальна для офисов, особенно, если есть домен и стандарты АРМ. Полгода нареканий нет.

 

Но ставить ее в поля, клиентам? Только если у вас есть склонность к извращениям, к ОЧЕНЬ сильным извращениям!

Изменено пользователем chainick

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

multinex работает на этом.. протоколе.. не знаю во всех ли "своих" городах но работает.

 

Как уже было сказано - это неудобно для клиента. У нас в городе указанный оператор специально мучал zyxel чтобы те выпустили прошивку для своих роутеров с поддержкой радиуса.. те выпустили, еще вроде d'link, с их слов, чего то там тоже стряпал.

 

Итог: если у вас ХР СП2 и 1 ПК то все хорошо.

 

А если у вас СП3 :) или виста, или игровая консоль с интернетом? ;0)

Для СП3 и Висты есть лекарство от майкрософта, не уточнял его суть, но проблему, как говорят пользователи, не решает. Их решает odissey клиент, программка такая для авторизации по MD5, но она платная. Её по идее монтажники ставят,с кряком естественно xD

 

+ Если у вас дома появился второй комп или ноут, что сейчас характерно - и вы обычный рядовой абонент (ламер т.е.) вам нужно купить роутер, отнести его в офис провайдера, там его перешьют и тогда будет счастье.

 

А ведь роутер - именно определенной модели ;0) т.е. чтобы абонета быстрее подключить нужно иметь роутеров у себя (провайдера)....

Ну и так далее, все из этого вытекающее...

 

Провайдеры на нем работают, но как мне кажется это полная противоположность идее с 1 кнопкой ("чтобы было хорошо")

DHCP внутри vlan ИЛИ совместно с option 82 куда интересней.

 

IMHO

 

з.ы. ах да, еще из плюсов - можно после авторизации абонента его порт в определенный vlan посадить автоматически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если у вас СП3 :) или виста, или игровая консоль с интернетом? ;0)

Как раз СП3 и виста работают идеально. В отличие от предыдущих версий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как раз СП3 и виста работают идеально. В отличие от предыдущих версий.

Если не ошибаюсь частенько возникает проблема когда имя и пароль нужно снова и снова вводить, или последние обновления от майкрософта решают эту проблему? в т.ч. и для Vistax64 ?

 

Я имею ввиду именно поддержку MD5 авторизацию системой, без установки доп. ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собираемся ставить Зухели с поддержкой стандарта и радиус-клиентом... поэтому тему и создал. Операционки нормально справляются с поставленной задачей (ХР2,3, Виста, 7, остальные у нас экзотика). А вот с роутерами действительно трабла, надо подумать здесь...

 

MD5 авторизация именно используется? или можно другие варианты?

 

Давайте побеседуем еще на эту тему, хочется все тонкости познать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если даже pppoe, которое в виндах настраивается тремя ответами на вопросы типа "хотите подключиться к инетрнет?", вызывает ступор у клиентов, то 802.1x - это проще сразу повешаться, выпив яду для надежности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если не ошибаюсь частенько возникает проблема когда имя и пароль нужно снова и снова вводить, или последние обновления от майкрософта решают эту проблему? в т.ч. и для Vistax64 ?

Протектед ЕАР имеете ввиду? 600 клиентов полет нормальный. С 2000 тоже были проблемы, когда она не могла выйти из карантинного влана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

600 клиентов полет нормальный

Т.е. все же с операционками проблема есть но решаема.

 

Из роутеров вот что советуют

Dlink DIR 120 (320 WI-FI)

Zyxel P-330 EE

TP-link TL WR642G, 542 (WI-FI) R860,460

http://www.tp-link.com/products/router.asp

еще есть http://level-one.ru/ , как говорят они все знают 802.1х

 

Как видим железо есть но его маловато, и зиксели это примерно 2500 рублей за указанный девайс.

 

п.с. Коммутаторы у зикселя - нечего так, но дорогие, по крайней мере заметно дороже длинка с аналогичным функционалом.

Форум у них тоже интересный - личная переписка с сотрудником сапорта, который принял ваш тиккет.

Как тут уже писалось, если проблема в софте - то ее долго фиксят.

Например ES-2024-A, модель с радиусом, виланами и двумя гигабитами стоит больше 10К, за эти же деньги можно купить старый добрый DES-3526.

Еще многие используют под радиус des-3026, как у него с глюками -хз, у нас vlan'ы на них работают, вроде нормально, в грозу разве что по 4 порта гореть любят :0)

 

хотя чего это я, загляните в тему неподалеку про выбор коммутатора.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если в кратце, то стандарт вполне себе живучий, со своими плюсами и минусами, тот кто говорит, что его использовать нельзя на больших сетках, просто не умеет их готовить :) У нас на сети несколько десятков килохомячков так авторизуются, если что :)

 

Из очевидных плюсов по сравнению с тем же pppoe:

- не надо никакого терминирующего оборудования, тут чистый эзернет

- пользователь под своими реквизитами может выйти из любой части сети

- гибкое управление скоростями, qos, доступом на порту свича абонента

 

Из минусов:

- первый и самый главный: сложность настройки у клиента. pppoe в этом плане гораздо проще. Однако решается написанием собственного суппликанта под свои нужды, это студент и пару месяцев работы :)

- приходится ставить на access умные свичи, хотя с другой стороны это и плюс, так что можно это и в плюс добавить

- мало железных роутеров под это дело

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.