Какой биллинг так умеет

BudushiyISP · September 28, 2009

Хотел бы услышать совета, какой из биллингов умеет производить авторизацию по маку+айпи по следующему сценарию

Изначально все пользователи в гостевой сети

Монтажник приходит к пользователю у него контракт с его логином и паролём

После завершения монтажных работ пользователь при открытии любой страницы попадает на портал авторизаци

ввводит логин и пароль получает айпи и система запоминает его мак. Т.е. происходит связка мак+айпи

В соедущий раз эти данные не запрашиваются

До того момента, пока пользователь не сменил мак.

И где так можно ?

Andrеw · September 28, 2009

это все равно что вырезать гланды через задний проход

я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно.

BudushiyISP · September 28, 2009

это все равно что вырезать гланды через задний проход

я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно.

Простите что странного в данном сценарии? Я этот сценарий взял с некоммерческого биллинга и он работает. Нужен такой же, но на коммерческом

Andrеw · September 28, 2009

дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например:

У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае?

Что будет, если кто-то поставит себе ip и mac соседа?

Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку?

BudushiyISP · September 28, 2009

дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например:
У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае?

Что будет, если кто-то поставит себе ip и mac соседа?

Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку?

Доступ на управляемых свитчах DES-3028, я почему не захотел использовать Опцию 82, только по причине того, что если человека несколько компьютеров в доме и например каждый член семьи хочет платить отдельно, поэтому каждый вводил свой логин и пароль и соответственно регестрируется.

Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.

Просто не хочется тунелей PPPoe.

КузярБ · September 28, 2009

Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.
Просто не хочется тунелей PPPoe.

Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а.

BudushiyISP · September 28, 2009

Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.
Просто не хочется тунелей PPPoe.

Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а.

У D-link работает.Только я всеравно не вижу коммерческого биллинга умеющего работать именно по такому сценарию

st_re · September 28, 2009

А как отрабатывать

До того момента, пока пользователь не сменил мак.

? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ?

BudushiyISP · September 28, 2009

А как отрабатывать
До того момента, пока пользователь не сменил мак.
? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ?

Да блокировать можно как угожно и на доступе мак+айпи биндинг и в агрегации ацл-ами. С этти труда нет. Вопросто только в осуществлении автоматизации данной привязки. а все вопросы безопасности весьма успешно решаются.

Negator · September 28, 2009

За деньги можно сделать все что угодно

И даже ваш функционал прикрутить ко многим биллингам

Но соглашусь с Andrеw

это изврат

Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули)

Вы уверены что это вам реально нужно?

satboy · September 28, 2009

как понять изврат? Хочеш 10 компов - ставь роутер или ставь на всех одинаковый мак/ip..

А вообще - идеальный способ привязки - статус ставим активен, сам подхватывает маску/ip если вбит IP или на странице авторизации вбиваем номер договора и автоматом на этот mac будет идти IP такой-то.

контакты на биллинг, который примерно так работает - отправил в личку.

BudushiyISP · September 28, 2009

За деньги можно сделать все что угодно
И даже ваш функционал прикрутить ко многим биллингам

Но соглашусь с Andrеw

это изврат

Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули)

Вы уверены что это вам реально нужно?

Ну в принципе Вы правы откажусь я от этой затеи. Кому надо пусть себе роутер ставит. А логин и пароль буду использовать для регистрация порта абонента - привязки к нему İP и всё. Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.

satboy · September 28, 2009

Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.

почему одну? хоть 10, на каждый комп..

У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :)

Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт

зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :)

Edited September 28, 2009 by satboy

BudushiyISP · September 28, 2009

Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.
почему одну? хоть 10, на каждый комп..
У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :)

Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт

зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :)

Да у нас коммуналки полностью ликвидированы. Ни одной осталось. Все в отдельных квартирах живут.

Надо мне почитать закон о телекоммуникациях. Но видимо Вы правы каждый гражданини с адрессом проживания имеет право получать услугу отдельно.

Davion · September 29, 2009

Не вижу никаких проблем, костыль для нетап утм написать, и будет регаться и авторизовываться, как захотите))) а если заплатите писателю денег то будет вам комерческий продукт)

dk_ · September 29, 2009

У нас в «Гидре» так можно сделать с помощью штатного API. Задача несложная.

shicoy · September 29, 2009

BudushiyISP, вопрос, как вы собираетесь переадресовывать запросы с порта без привязки на портал регистрации мака?

jp1111 · September 29, 2009

И где так можно ?

Правильно Вам подсказывают коллега, не надо велосипед придумывать, уже все за Вас придумали. Во-первых есть способ отказаться от туннелей с привязкой к порту вот так http://www.lanbilling.ru/dhcp_radius.html

Во-вторых, ту ситуацию под которую Вы расчитываете "свой" алгоритм массовой назвать рот не открывается.

Edited September 29, 2009 by jp1111

BudushiyISP · September 30, 2009

Ух ребята, благо письмом мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть. Всё можно использовать Abills или Nodenу.

micros · September 30, 2009

О nodeny на форуме не лестно отзывались. Поищите

BudushiyISP · September 30, 2009

О nodeny на форуме не лестно отзывались. Поищите

Кто это о Nodeny не лестно? я сам его использую пока бесплатную версию. Очень продуманный билинг.

Просто нужно модуля там мне нет и поэтому пока, что обычный PPPoE, VLAN на пользователя. Т.е. два сценария подключения. PPPoE хочу избавиться, VLAN именно на пользователя мне не нужен. Хочу именно сценарий описанный выше. Почему именно этот сценарий ? чтобы пользователя сделать мобильным и меньше следить за портами. Где ввёл свой логин и пароль там и прошёл регистрацию и пользуются.

Вот так то :)

LostSoul · September 30, 2009

Как делал я ( без привязки к биллингу вообще )

-Стоит отдельный сервер. На свитчах D-LINK включен IP-MAC-Binding на всех абонентских портах.

-При обнаружении свитчем неавторизованной связи MAC-IP-Port свитч отсылает SNMP Trap на выделенный сервер.

-Сервер проверяет связку по своей базе данных, и в случае если данный IP или MAC еще не занят каким-то абонентом - сохраняет информацию в базу данных и прописывает IP-MAC-связку в свитче.

То есть с точки зрения монтажника выглядит так -- он приходит к абоненту с уже прописанным в договоре IP и настраивает его на компьютере абонента. Дальше IP привязывается на свитче и в базе данных абсолютно прозрачно.

У технической поддержки есть страница поисковых запросов к базе с историй привязок IP к портам и коммутаторам ( вместе с геобазой коммутаторов ) , а так же история отказов в привязке. При обращении абонента у них есть единственная кнопка "разрушить привязку". Если абонент например сетевую плату поменял или его в другой порт переткнули.

В реальности там конечно сложнее и есть ряд тонкостей и вспомогательных скриптов разных. Но общая суть такая.

jp1111 · September 30, 2009

мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть.

Коллеги! Да это ж БОМБА :) .... если это правда :), к сожалению, это врядли. Вы сами-то верите в альтруизм нашего государства? Ррррраз, в один день, и отказались от института сертификации. Испытательные лаборатории, органы, управление - все уволились теперь ?

Я Вас расстрою коллега. Сказки закончились. Еще в детстве. Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу.

abutkeev · September 30, 2009

Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу.

Кстати, может подскажете, где в 152 ФЗ и связанной с ним нормативке написано хоть слово про обязательную сертификацию. Трижды всё прочитал - не нашел.

Max P · September 30, 2009

да он вообще не в России :)

Sign In

Какой биллинг так умеет

Recommended Posts

BudushiyISP

Andrеw

BudushiyISP

Andrеw

BudushiyISP

КузярБ

BudushiyISP

st_re

BudushiyISP

Negator

satboy

BudushiyISP

satboy

BudushiyISP

Davion

dk_

shicoy

jp1111

BudushiyISP

micros

BudushiyISP

LostSoul

jp1111

abutkeev

Max P

Join the conversation