ivan999 Опубликовано 31 января, 2011 · Жалоба Начинаю заранее задумываться. Меня смущает использование тунелей в сети, из-за простоты аккаунтинга и авторизации - и радиус прикручен хорошо. И белый адрес выдать в тунель - много мозга не нужно. Пока все еще немного безлимитов у нас в регионе (дорого) - ВПН со своими паролями для помегобайтных тарифов - незаменимая весчь. Но в перспективе все равно придем к безлимитам и большим скоростям - тогда прощай VPN. Пока четко не знаю, как не юзая NAT и раздавая белые IP динамически - вешать статистику на нужного юзера. Как управлять доступом - нужно управлять фаерволом на "шлюзе" - а IP у юзеров - динамический. Значит биллинг должен быть связан с DHCP, или даже сам должен раздавать адреса через DHCP? А как со спецслужбами - как юзера асоциировать с договором, не собирая MAC адреса и не роясь в логах DHCP? Или лучше статически раздавать белые IP по Опции82 и не париться? (тогда конечно - все просто - но нужно иметь IP адресов больше чем клиентов и с запасом на новых юзеров, чтобы в сети маршрутизацию не перенастраивать постоянно) Знаю, что многие работают давно без тунелей и/или без NAT - поделитесь концепцией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 31 января, 2011 (изменено) · Жалоба ivan999хз половина хомяков в руси (даже больше) сидят на VPN c белым ип и н жалуются...:) Изменено 31 января, 2011 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bay Опубликовано 1 февраля, 2011 · Жалоба Или лучше статически раздавать белые IP по Опции82 и не париться? (тогда конечно - все просто - но нужно иметь IP адресов больше чем клиентов и с запасом на новых юзеров, чтобы в сети маршрутизацию не перенастраивать постоянно) Не нужно. Для этого агрегатор должен уметь интерфейс без ip-адреса. У cisco это "ip unnumbered". Допустим, сеть по схеме "vlan на свитч". У тебя есть сеть сеть 1.2.3.0/24, которую ты полностью отдаешь клиентам. Выделяешь шлюз 1.2.3.254, вешаешь его на loopback. И для всех интерфейсов, на которых висят пользователи, указываешь использование адреса этого loopback. Пользователям адрес отдается с маской сети /24 Что-то типа: interface Loopback0 ip address 1.2.3.254 255.255.255.0 interface Vlan1234 ip unnumbered Loopback0 interface Vlan1235 ip unnumbered Loopback0 interface Vlan1236 ip unnumbered Loopback0 ... и маршрутами отправляешь ip-адреса клиентов в нужный влан. ip route 1.2.3.1 255.255.255.255 Vlan1234 ip route 1.2.3.2 255.255.255.255 Vlan1235 ip route 1.2.3.3 255.255.255.255 Vlan1236 ... Таким образом, у тебя не расходуется блок адресов на каждого клиента (шлюз, маска, броадкаст). Но таблица маршрутов будет большой :) Как вариант, сразу забить адреса за вланом. Тогда для свитча на 24 порта можно пользовать такую маршрутизацию: ip route 1.2.3.0 255.255.255.240 Vlan1234 ip route 1.2.3.17 255.255.255.255 Vlan1234 ip route 1.2.3.18 255.255.255.255 Vlan1234 ip route 1.2.3.19 255.255.255.255 Vlan1234 ip route 1.2.3.20 255.255.255.255 Vlan1234 ip route 1.2.3.21 255.255.255.255 Vlan1234 ip route 1.2.3.22 255.255.255.255 Vlan1234 ip route 1.2.3.23 255.255.255.255 Vlan1234 ip route 1.2.3.24 255.255.255.255 Vlan1234 Ну или всякие вариации на тему :) PS. Мы пока раздаем серые адреса, но сразу блоками по 4 (все для абонента). Один vlаn - один маршрут для сети с маской 255.255.255.128. Вся кошка обрабатывает сеть с маской 255.255.192.0. "И не паримся" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 1 февраля, 2011 · Жалоба Более менее понятно - совсем забыл про ip unnumbered. Выход есть. Если сильно надо буит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 1 февраля, 2011 · Жалоба Не нужно. Для этого агрегатор должен уметь интерфейс без ip-адреса. У cisco это "ip unnumbered".Допустим, сеть по схеме "vlan на свитч". У тебя есть сеть сеть 1.2.3.0/24, которую ты полностью отдаешь клиентам. Надо только не забыть поставить 253-портовый свич ;-)Или сеточку не на один свич намазывать ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 1 февраля, 2011 · Жалоба это зач Надо только не забыть поставить 253-портовый свич ;-)Или сеточку не на один свич намазывать ;-) это зачем ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 1 февраля, 2011 · Жалоба это зачНадо только не забыть поставить 253-портовый свич ;-)Или сеточку не на один свич намазывать ;-) это зачем ? Ну посчитай. Если ты выделяешь вилан с /24 на свич, а в свиче 24 порта/абонента. Даже если выдавать по 3 адреса на абонента - всё-равно останутся неиспользованные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 1 февраля, 2011 · Жалоба ясно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
