[yakuzzza]

Технологий же! Сделали выделенный влан на пользователя и по нему гнать туннель до пппое-агрегатора - не находите ничего лешнего в виде туннеля? А пппое требует наса.

[kayot]

Согласен, одна из технологий лишняя. Но в любом случае схема лучше чем с просто pppoe и неуправляемой сетью и проще/дешевле чем с IPoE+unnumbered+opt 82.

[s.lobanov]

А вот спорный вопрос лишний оверхед или нет. Если vlan-per-user и в логах будет отображаться номер влана по подключению, то это жирный плюс, т.к. по нему можно будет однозначно идентифицировать абонента, а то так сиди гадай с какого порта было осуществлено подключение. Конечно, можно наворотить port security, прописать статически мак(и) абонента и т.д., но с vlan-per-user этого делать не нужно вообще. Да, и ещё исчезает необходимость установки L2 acl, чтоб абоненты не ставили себе mac pppoe-сервера(если не используется жёсткая привязка по маку) и не мешали работать соседям по влану(читай свитчу в схеме vlan-per-switch). Т.е. vlan-per-user+pppoe это наверное один из наилучших вариантов в плане безопасности

Изменено 11 сентября, 2010 пользователем s.lobanov

[yakuzzza]

802.1x - лучше в плане безопасности. Но не удобства. При вланперюзер считаю использование пппое/впн абсурдом.

Изменено 11 сентября, 2010 пользователем yakuzzza

[s.lobanov]

802.1x - лучше в плане безопасности. Но не удобства. При вланперюзер считаю использование пппое/впн абсурдом.

неудобства, редко используемо, не всё оборудование поддерживает и т.д. ну не приживается 802.1x почему-то...

 

согласитесь же, что аргументы про остуствие гемора с port security и/или L2 acl всё же чего-то стоят...

[yakuzzza]

802.1x - лучше в плане безопасности. Но не удобства. При вланперюзер считаю использование пппое/впн абсурдом.

неудобства, редко используемо, не всё оборудование поддерживает и т.д. ну не приживается 802.1x почему-то...

 

согласитесь же, что аргументы про остуствие гемора с port security и/или L2 acl всё же чего-то стоят...

802.1х просто в домосетях не очень используемо. А вот в корпоративе набирает обороты, особенно с выходом NPS в Windows 2008.

Конечно есть свой плюс и перестраховка. Но это по сути перестраховка от неумелых действий техподдержки и линейщиков. Воткнули не в ту дырку и попробуй потом без вспомогательных средств вычислить (я специально откинул дополнительные действия по снупингу мак биндингу ограничению маков на порту итд).

То есть в идеальных условиях в порт включается домохозяйство и на Л3 или на том же порту абонента ограничивается скорость. В плане техсаппорта самое удобное. Почти ничего не надо саппортить.

[kayot]

Есть в схемах авторизации по порту(влан или dhcp option 82+биндинги) одно НО. У нас к примеру вандалы частенько вырезают целые пучки витой пары клиентской, и саппорт восстанавливает их как придется(если обрезан жгут в 50 кабелей, восстановить 1 к одному нереально), перепутав порты. Как в таких случаях быть?

[s.lobanov]

kayot

Так а в любом случае у вас будет проблема, даже с pppoe, потому что когда абонент позвонит по какой-либо проблеме с интернетом, то вы даже не будете знать какой порт смотреть(приходят ли маки и прочую диагностику)

Изменено 11 сентября, 2010 пользователем s.lobanov

[kayot]

s.lobanov

Для чистого PPPoE есть 2 варианта, поднимается тоннель или нет. Если не подымается и на ближайшем свиче нет абонентского мака - бежит монтажник к ящику, если мак есть - саппорт начинает выяснять с абонентом какой фаервол тот поставил, процедура тоже стандартна.

А вот что делать если просто поменяли пару абонентов местами и те начали неправильно тарифицироваться - мне пока непонятно.

[s.lobanov]

Конечно есть свой плюс и перестраховка. Но это по сути перестраховка от неумелых действий техподдержки и линейщиков. Воткнули не в ту дырку и попробуй потом без вспомогательных средств вычислить (я специально откинул дополнительные действия по снупингу мак биндингу ограничению маков на порту итд).

ну так снупинг не мешает лёнингу, поэтому для того, чтобы защищаться от абонентов, которые себе ставят мак-адрес браса надо либо ставить L2 acl(и потом их менять при вводе нового браса с новым маком) или же прописывать мак статически и блокировать learning на порту. И тот и тот способ - лишние телодвижения(особенно второй, первый ещё можно пережить)

 

s.lobanov

Для чистого PPPoE есть 2 варианта, поднимается тоннель или нет. Если не подымается и на ближайшем свиче нет абонентского мака - бежит монтажник к ящику, если мак есть - саппорт начинает выяснять с абонентом какой фаервол тот поставил, процедура тоже стандартна.

А вот что делать если просто поменяли пару абонентов местами и те начали неправильно тарифицироваться - мне пока непонятно.

ага, только для этого надо выведать его мак, заставив набрать ifconfig /all и не дай бог несколько физических интерфейсов... многие-то cmd.exe с трудом запускают...

 

значит надо восстанавливать от квартир, соответствие номера квартиры-порта должно быть в базе, единственное не понятно, что делать, если от квартиры два линка идёт...

[yakuzzza]

Ну как всегда в любом случае ответ - правильно составленная документация и жесткое давление и влияние на техсаппорт в случае проебов с портами и недокументированием.

Кстати у нас на предприятии проблему передачи техсаппорту IP-адреса/имени машины/DNS/DHCP параметры решили так: политико

[yakuzzza]

Ну как всегда в любом случае ответ - правильно составленная документация и жесткое давление и влияние на техсаппорт в случае проебов с портами и недокументированием.

 

Кстати у нас на предприятии проблему передачи техсаппорту IP-адреса/имени машины/DNS/DHCP и проч. параметров решили так: доменной политикой распространяется софт, который добавляет на обои десктопа таблицу с основными IP-параметрами и прочей техинформацией. Работает просто супер. Тетки из бухгалтерии диктуют хоть мак хоть IP-адрес. Но это корпоратив и лирическое отступление от темы.

 

Думаю так. При IPoE важность документации будет расти.

По вопросу неправильной тарификации - это для меня единственный серьезный вопрос.

 

Подмена мака на мак браса (или л3 или роутера) абонентом: в случае вланперюзер важно это или нет? В случае IP unnumbered думаю важна, а вот в случае отсутствия IP unnumbered - нет. Поправьте, если не прав в этом. Кто сталкивался - поясните ситуацию. Заранее благодарен.

 

to s.lobanov: а зачем в 1 домохозяйство 2 и более линка? Может обязать ставить маршрутизатор или мыльницу 5-портовую внутри, а второму линку отказывать?

[s.lobanov]

to s.lobanov: а зачем в 1 домохозяйство 2 и более линка? Может обязать ставить маршрутизатор или мыльницу 5-портовую внутри, а второму линку отказывать?

ну есть отдельная песня в мультисервисных сетях, soho-роутеров с вланами 3,5 штуки по сути, ну и сами понимаете, что много трафика они могут непронатить, особенно при большой таблице трансляций.

 

абонент скажет, что хочу два 2 линка, плачу за каждую услугу отдельно(если предусмотрена скидка за несколько услуг) и хочешь-не хочешь придётся 2 линка кидать, значит на выходе из квартиры их "окрашивать" как-то надо

[s.lobanov]

Подмена мака на мак браса (или л3 или роутера) абонентом: в случае вланперюзер важно это или нет? В случае IP unnumbered думаю важна, а вот в случае отсутствия IP unnumbered - нет. Поправьте, если не прав в этом. Кто сталкивался - поясните ситуацию. Заранее благодарен.

в случае vlan-per-user без IP unnumbered, очевидно, что подмена мака не важна, точнее если абонент себе поставит мак-адрес браса(шлюза), то это совершенно никому не помешает, пусть делает что хочет, ставит себе какие угодно маки, L2 только между ним и брасом. единственное, что надо ограничивать - макс. число маков от абонента, чтоб он не смог переполнить таблицу мак-адресов, но это одна команда при первоначальной настройке

 

да и с ip unnumbered предположительно тоже ничего плохо не случится в случае подмены мака, но это надо проверять имхо

[vIv]

У нас к примеру вандалы частенько вырезают целые пучки витой пары клиентской, и саппорт восстанавливает их как придется(если обрезан жгут в 50 кабелей, восстановить 1 к одному нереально), перепутав порты. Как в таких случаях быть?

Надо нанять тех, кто умеет попадать нужным кабелем в нужный порт. А то того и гляди гомосятина всякая начнётся, если вообще не следить, что куда пихаешь.

[yakuzzza]

Гомосятина - это если с мужиками только уж. Там в любом случае гомосятина, как ни тыкай.

[vIv]

Гомосятина - это если с мужиками только уж. Там в любом случае гомосятина, как ни тыкай.

Ну я и говорю: если всё совать куда ни попадя без разбору

[yakuzzza]

Просто я даже выражение до вашего поста "совать куда ни попадя" ассоциировал только с женщинами.

[borin]

Спасибо всем откликнувшимся!!!

Почитал увидел +- решений vlan per user+pppoe и vlan на коммутатор+pppoe и больше склоняюсь к выбору vlan на коммутатор.

На счет IPoE, оборудование подбиралось с учетом того, чтоб будущем была возможность с минимальными затратами перейти на IPoE, на форуме много холивара на тему pppoe vs IPoE, но все же взвесив все плюсы и минусы на начальном этапе строительства выбрана технология pppoe....

Монтажники любящие "совать куда ни попадя" нафиг, нафиг... Будет конкретная наряд заявка, где черным по белому, в какой порт втыкать, порядок должен быть, да и на восстановление и диагностирование проблемы при таком подходе времени уйдет куда меньше.

[kayot]

borin

Если есть возможность сделать влан-на-юзера+pppoe - делайте, будет лучше чем просто влан на дом. Тем более если строить сеть с нуля..\

В последствии тоннели можно будет убрать легко и незаметно для клиента.

[yakuzzza]

Угу, только зачем тогда уж строить туннели. В 10 раз повторяю.