Jump to content
Калькуляторы

Какой биллинг так умеет Автоматическая привязка мака к айпи

Хотел бы услышать совета, какой из биллингов умеет производить авторизацию по маку+айпи по следующему сценарию

 

Изначально все пользователи в гостевой сети

Монтажник приходит к пользователю у него контракт с его логином и паролём

После завершения монтажных работ пользователь при открытии любой страницы попадает на портал авторизаци

ввводит логин и пароль получает айпи и система запоминает его мак. Т.е. происходит связка мак+айпи

В соедущий раз эти данные не запрашиваются

До того момента, пока пользователь не сменил мак.

 

И где так можно ?

 

 

 

Share this post


Link to post
Share on other sites

это все равно что вырезать гланды через задний проход

 

я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно.

Share this post


Link to post
Share on other sites
это все равно что вырезать гланды через задний проход

 

я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно.

Простите что странного в данном сценарии? Я этот сценарий взял с некоммерческого биллинга и он работает. Нужен такой же, но на коммерческом

Share this post


Link to post
Share on other sites

дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например:

У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае?

 

Что будет, если кто-то поставит себе ip и mac соседа?

Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку?

 

Share this post


Link to post
Share on other sites
дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например:

У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае?

 

Что будет, если кто-то поставит себе ip и mac соседа?

Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку?

Доступ на управляемых свитчах DES-3028, я почему не захотел использовать Опцию 82, только по причине того, что если человека несколько компьютеров в доме и например каждый член семьи хочет платить отдельно, поэтому каждый вводил свой логин и пароль и соответственно регестрируется.

Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.

Просто не хочется тунелей PPPoe.

 

Share this post


Link to post
Share on other sites
Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.

Просто не хочется тунелей PPPoe.

Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а.

 

Share this post


Link to post
Share on other sites
Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.

Просто не хочется тунелей PPPoe.

Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а.

У D-link работает.Только я всеравно не вижу коммерческого биллинга умеющего работать именно по такому сценарию

Share this post


Link to post
Share on other sites

А как отрабатывать

До того момента, пока пользователь не сменил мак.
? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ?

Share this post


Link to post
Share on other sites
А как отрабатывать
До того момента, пока пользователь не сменил мак.
? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ?

Да блокировать можно как угожно и на доступе мак+айпи биндинг и в агрегации ацл-ами. С этти труда нет. Вопросто только в осуществлении автоматизации данной привязки. а все вопросы безопасности весьма успешно решаются.

 

Share this post


Link to post
Share on other sites

За деньги можно сделать все что угодно

И даже ваш функционал прикрутить ко многим биллингам

 

Но соглашусь с Andrеw

это изврат

 

Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули)

Вы уверены что это вам реально нужно?

 

Share this post


Link to post
Share on other sites

как понять изврат? Хочеш 10 компов - ставь роутер или ставь на всех одинаковый мак/ip..

 

А вообще - идеальный способ привязки - статус ставим активен, сам подхватывает маску/ip если вбит IP или на странице авторизации вбиваем номер договора и автоматом на этот mac будет идти IP такой-то.

 

 

контакты на биллинг, который примерно так работает - отправил в личку.

Share this post


Link to post
Share on other sites
За деньги можно сделать все что угодно

И даже ваш функционал прикрутить ко многим биллингам

 

Но соглашусь с Andrеw

это изврат

 

Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули)

Вы уверены что это вам реально нужно?

Ну в принципе Вы правы откажусь я от этой затеи. Кому надо пусть себе роутер ставит. А логин и пароль буду использовать для регистрация порта абонента - привязки к нему İP и всё. Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.

 

Share this post


Link to post
Share on other sites
Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.
почему одну? хоть 10, на каждый комп..

У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :)

 

Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт

 

зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :)

Edited by satboy

Share this post


Link to post
Share on other sites
Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.
почему одну? хоть 10, на каждый комп..

У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :)

 

Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт

 

зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :)

Да у нас коммуналки полностью ликвидированы. Ни одной осталось. Все в отдельных квартирах живут.

 

 

Надо мне почитать закон о телекоммуникациях. Но видимо Вы правы каждый гражданини с адрессом проживания имеет право получать услугу отдельно.

 

Share this post


Link to post
Share on other sites

Не вижу никаких проблем, костыль для нетап утм написать, и будет регаться и авторизовываться, как захотите))) а если заплатите писателю денег то будет вам комерческий продукт)

Share this post


Link to post
Share on other sites

У нас в «Гидре» так можно сделать с помощью штатного API. Задача несложная.

Share this post


Link to post
Share on other sites

BudushiyISP, вопрос, как вы собираетесь переадресовывать запросы с порта без привязки на портал регистрации мака?

 

 

Share this post


Link to post
Share on other sites
И где так можно ?
Правильно Вам подсказывают коллега, не надо велосипед придумывать, уже все за Вас придумали. Во-первых есть способ отказаться от туннелей с привязкой к порту вот так http://www.lanbilling.ru/dhcp_radius.html

Во-вторых, ту ситуацию под которую Вы расчитываете "свой" алгоритм массовой назвать рот не открывается.

Edited by jp1111

Share this post


Link to post
Share on other sites

Ух ребята, благо письмом мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть. Всё можно использовать Abills или Nodenу.

Share this post


Link to post
Share on other sites

О nodeny на форуме не лестно отзывались. Поищите

Share this post


Link to post
Share on other sites
О nodeny на форуме не лестно отзывались. Поищите
Кто это о Nodeny не лестно? я сам его использую пока бесплатную версию. Очень продуманный билинг.

Просто нужно модуля там мне нет и поэтому пока, что обычный PPPoE, VLAN на пользователя. Т.е. два сценария подключения. PPPoE хочу избавиться, VLAN именно на пользователя мне не нужен. Хочу именно сценарий описанный выше. Почему именно этот сценарий ? чтобы пользователя сделать мобильным и меньше следить за портами. Где ввёл свой логин и пароль там и прошёл регистрацию и пользуются.

Вот так то :)

 

Share this post


Link to post
Share on other sites

Как делал я ( без привязки к биллингу вообще )

 

-Стоит отдельный сервер. На свитчах D-LINK включен IP-MAC-Binding на всех абонентских портах.

-При обнаружении свитчем неавторизованной связи MAC-IP-Port свитч отсылает SNMP Trap на выделенный сервер.

-Сервер проверяет связку по своей базе данных, и в случае если данный IP или MAC еще не занят каким-то абонентом - сохраняет информацию в базу данных и прописывает IP-MAC-связку в свитче.

 

То есть с точки зрения монтажника выглядит так -- он приходит к абоненту с уже прописанным в договоре IP и настраивает его на компьютере абонента. Дальше IP привязывается на свитче и в базе данных абсолютно прозрачно.

 

У технической поддержки есть страница поисковых запросов к базе с историй привязок IP к портам и коммутаторам ( вместе с геобазой коммутаторов ) , а так же история отказов в привязке. При обращении абонента у них есть единственная кнопка "разрушить привязку". Если абонент например сетевую плату поменял или его в другой порт переткнули.

 

В реальности там конечно сложнее и есть ряд тонкостей и вспомогательных скриптов разных. Но общая суть такая.

 

Share this post


Link to post
Share on other sites
мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть.
Коллеги! Да это ж БОМБА :) .... если это правда :), к сожалению, это врядли. Вы сами-то верите в альтруизм нашего государства? Ррррраз, в один день, и отказались от института сертификации. Испытательные лаборатории, органы, управление - все уволились теперь ?

Я Вас расстрою коллега. Сказки закончились. Еще в детстве. Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу.

Share this post


Link to post
Share on other sites

Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу.

Кстати, может подскажете, где в 152 ФЗ и связанной с ним нормативке написано хоть слово про обязательную сертификацию. Трижды всё прочитал - не нашел.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this