Deac Опубликовано 17 февраля, 2011 · Жалоба Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).Но пока всё это на стадии обкатки и х.з. что получится. Вы удивитесь, но коробки от Alcatel, Juniper, Cisco и RedBack прекрасно взаимодействуют с биллингом через RADIUS в IPoE модели. Это только те, про которые я знаю. И как минимум три из этих вендоров умеют это уже года 4-ре :) Я не знаю, когда IPoE научился Alcatel, возможно, что еще раньше. Это я к тому, что стадия обкатки, уже в прошлом :) Рад за этих вендоров! :) А как там дела с кастомными атрибутами? А с масштабированием и резервированием? В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба А как там дела с кастомными атрибутами?А с масштабированием и резервированием? В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера. по перечисленным вопросам дела гораздо лучше чем у тазиков с бесплатными линуксами Deac, будьте добры, озвучьте масштаб операторской сети, решение для которой на PPPoE вы считаете приемлемым, учитывая ваш опыт эксплуатации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба Привязка к порту НЕ даёт персонификации юзера, она даёт персонификацию ПОРТА, что совсем не одно и тоже. :)если у вас ведется строгий учет портов и монтажники не беспределят на подключениях, то фактически вы имеете персонификацию абонента. телефонисты ж не практикуют логины/пароли, и ктвшники тоже, и домофонщики вроде все правильно делают. а уж что из себя представляет абонент - вас волновать не должно. включит он хитрожопый роутер или какой-нибудь хакинтош - вас волновать не должно. вас должно волновать то, что абонент должен получить то, за что он платит. и без лишней для него, и вобщем то для вас тоже, головной боли. по сути абоненту от вас нужно только одно - чтоб он воткнул ваш кабель в свой хренодевайс, и все заработало. без лишних телодвижений. телевизионщики ж не ставят мегаацкие тюнеры, и телефонисты миниатс не присобачивают в квартире абонента. почему же вы должны абоненту предлагать костыли, если современные технологии позволяют обходиться без них?! Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).проснитесь, на дворе уже 2010ые, уже все не просто допили, но и проверили - работает же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 · Жалоба Привязка к порту НЕ даёт персонификации юзера, она даёт персонификацию ПОРТА, что совсем не одно и тоже. :)если у вас ведется строгий учет портов и монтажники не беспределят на подключениях, то фактически вы имеете персонификацию абонента. телефонисты ж не практикуют логины/пароли, и ктвшники тоже, и домофонщики вроде все правильно делают. а уж что из себя представляет абонент - вас волновать не должно. включит он хитрожопый роутер или какой-нибудь хакинтош - вас волновать не должно. вас должно волновать то, что абонент должен получить то, за что он платит. и без лишней для него, и вобщем то для вас тоже, головной боли. по сути абоненту от вас нужно только одно - чтоб он воткнул ваш кабель в свой хренодевайс, и все заработало. без лишних телодвижений. телевизионщики ж не ставят мегаацкие тюнеры, и телефонисты миниатс не присобачивают в квартире абонента. почему же вы должны абоненту предлагать костыли, если современные технологии позволяют обходиться без них?! Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).проснитесь, на дворе уже 2010ые, уже все не просто допили, но и проверили - работает же. Ну вот типичный пример, для большого города. Съёмная квартира. Живут несколько жильцов. Отношения скажем так, "соседские". :) В суп ещё не писают, но платить за другого уже не готовы. В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ. А в случае с IPoE, any ideas? На дворе 2011-е, а вопрос с кастомными атрибутами всё ещё открыт. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 17 февраля, 2011 · Жалоба Deac +1 за диск darkagent купил нет бук вот у нас на сайте есть инструкция как настроить зайдите и посмотрите (или скрипт рабочий лежит) человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 17 февраля, 2011 · Жалоба Ну вот типичный пример, для большого города.другой пример.кто то отрезал провод и прикрутил свой. клиент может и не сразу в тех поддержку обратиться и обрыв провода у него не сразу обнаружится кто то будет на халяву пользоваться инетом, а кто оплатил думать че делать, потом догадается позвонить в техподдержку. там изумленные увидят что линк есть ну типо все норм у вас наверное сетевушка роутер или еще что глючит. час будут общаться. много раз абонент будет перезванивать. потом вышлют мастера. мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой. то есть кто то воровал интенет.. заявление в милицию еще там чего. зы хотя мне всегда хочется чтоб взял компьютер воткнул проводок получил белые ип вот тебе и инет :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 · Жалоба А как там дела с кастомными атрибутами?А с масштабированием и резервированием? В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера. по перечисленным вопросам дела гораздо лучше чем у тазиков с бесплатными линуксами Deac, будьте добры, озвучьте масштаб операторской сети, решение для которой на PPPoE вы считаете приемлемым, учитывая ваш опыт эксплуатации? Тазики то причём. :) Все вменяемые вендоры имеют PPPoE в арсенале и отказываться не собираются. Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE. Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой. Добавляем концентратор - нагрузка на каждый уменьшается, ещё добавляем - ещё уменьшается, без лишних телодвижений и абсолютно прозрачно для юзера. Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у. Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба Ну вот типичный пример, для большого города.Съёмная квартира. Живут несколько жильцов. Отношения скажем так, "соседские". :) В суп ещё не писают, но платить за другого уже не готовы. В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ. А в случае с IPoE, any ideas? решение от имени жильца, прожившего некоторое время в съемной квартире большого города: устанавливается один абонентский роутер и Интернет раздается по соседям кабелем или вайфаем на всех один тариф и один договор, абонентская плата вскладчину хотя встречались абоненты-индивидуумы, когда в одной квартире живут два родных брата, но каждый настаивал, чтобы протянуть отдельный провод. так что случаи разные бывают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 (изменено) · Жалоба А в случае с IPoE, any ideas?управление услугами из личного кабинета? или например возможность на порту варианта смены абонента? т.е. один временно приостанавливает через услугу, а другой с документами приходит и оформляет времянку.вариантов можно придумать кучу. вы до сих пор абонентов на тупых мыльницах подключаете? или в таких случаях L2 smart/intelligent уже ? человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работаетили же человек втыкает провод, включает компостер, и по dhcp получил адреса. а дальше... все работает - а уж белые или серые через нат - он определяет через управление услугами. и никакая зараза уже тебе не помешает - особенно та что кушает виндовые библиотеки на темы сокетов и пр. Изменено 17 февраля, 2011 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 · Жалоба Ну вот типичный пример, для большого города.Съёмная квартира. Живут несколько жильцов. Отношения скажем так, "соседские". :) В суп ещё не писают, но платить за другого уже не готовы. В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ. А в случае с IPoE, any ideas? решение от имени жильца, прожившего некоторое время в съемной квартире большого города: устанавливается один абонентский роутер и Интернет раздается по соседям кабелем или вайфаем на всех один тариф и один договор, абонентская плата вскладчину хотя встречались абоненты-индивидуумы, когда в одной квартире живут два родных брата, но каждый настаивал, чтобы протянуть отдельный провод. так что случаи разные бывают Вот в складчину - не прокатывает, обычно один/несколько не платят, а пользоваться - пользуются. И хрен с ними что сделаешь, т.к. идея о том, что можно и "не платить", обычно, приходит в голову самому технически продвинутому. И протягивать кучу проводов - не вариант, сегодня одни жильцы - завтра другие, послезавтра - третий(типа семья), да и тыкать будут эти провода "как получится". А в случае с IPoE, any ideas?управление услугами из личного кабинета? или например возможность на порту варианта смены абонента? т.е. один временно приостанавливает через услугу, а другой с документами приходит и оформляет времянку.вариантов можно придумать кучу. вы до сих пор абонентов на тупых мыльницах подключаете? или в таких случаях L2 smart/intelligent уже ? человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работаетили же человек втыкает провод, включает компостер, и по dhcp получил адреса. а дальше... все работает - а уж белые или серые через нат - он определяет через управление услугами. и никакая зараза уже тебе не помешает - особенно та что кушает виндовые библиотеки на темы сокетов и пр. "Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :) И приходим к варианту прибивания MAC-а к порту, т.е. откат от DHCP opt. х.з.ч., ну и нах огород городить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба "Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :)воткнули двое куда? вы им поставите тупой свитч? тогда это ваши проблемы, скупой платит дважды. они купили тупой свитч и воткнулись в него? тогда это ихняя головная боль, пускай сами разбираются между собой. ситуация не безвыходная, просто нужно включить мозг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 (изменено) · Жалоба "Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :)воткнули двое куда? вы им поставите тупой свитч? тогда это ваши проблемы, скупой платит дважды. они купили тупой свитч и воткнулись в него? тогда это ихняя головная боль, пускай сами разбираются между собой. ситуация не безвыходная, просто нужно включить мозг. Да, поставили тупой свитч, только поставили не мы, а они сами. Им же сказали: "интернет из розетки". Втыкай и всё! Они так и делают. Просто один не платит и пользуется, а второй платит и звонит в техподдержку, требует ОПЛАЧЕННУЮ услугу: "интернет из розетки"! :) Может и в суд подать, не на соседа, сосед то НИКАКИХ законов не нарушает. Изменено 17 февраля, 2011 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 февраля, 2011 · Жалоба мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.то есть кто то воровал интенет.. заявление в милицию еще там чего. Нормальное решение: улики есть, причём материальные, можно хватать за шкирку и тягать в обезьянник.А теперь представьте, что кто-то перехватил логин/пароль. Улики электронные (логи у провайдера), причём в них фигурирует в качестве идентификатора только МАС-адрес, который несложно поменять. В самом лучшем случае - можно установить коммутатор, с которого заходил злоумышленник. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба другой пример.кто то отрезал провод и прикрутил свой. клиент может и не сразу в тех поддержку обратиться и обрыв провода у него не сразу обнаружится кто то будет на халяву пользоваться инетом, а кто оплатил думать че делать, потом догадается позвонить в техподдержку. там изумленные увидят что линк есть ну типо все норм у вас наверное сетевушка роутер или еще что глючит. час будут общаться. много раз абонент будет перезванивать. потом вышлют мастера. мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой. то есть кто то воровал интенет.. заявление в милицию еще там чего. Решается функцией Port Security (или ее аналогами), когда на коммутаторе доступа МАС-адрес абонента привязывается к порту коммутатора автоматически при подключении. При подключение иных устройств с другим МАС-адресом трафик блокируется и происходит сигнализация в систему мониторинга SNMP trap'ом. Понятное дело абонент рано или поздно захочет сменить устройство - решается пунктом в договоре об извещении оператора и звонком в тех.поддержку, которая обнуляет МАС на порту. Тут выбор оператора - что хочется больше, безопасность или удобство. -- С уважением, Андрей Захаров team@metroethernet.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 (изменено) · Жалоба мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.то есть кто то воровал интенет.. заявление в милицию еще там чего. Нормальное решение: улики есть, причём материальные, можно хватать за шкирку и тягать в обезьянник.А теперь представьте, что кто-то перехватил логин/пароль. Улики электронные (логи у провайдера), причём в них фигурирует в качестве идентификатора только МАС-адрес, который несложно поменять. В самом лучшем случае - можно установить коммутатор, с которого заходил злоумышленник. Выясняется "на месте", юзер просто не сможет зайти второй раз под одним логином. И да, по коммутатору определяется злоумышленник. Вот уж что не проблема - так это воровство логинов, по крайней мере пока. А в случае с перекруткой провода, юзер просто заявит - "так и було"! Типа все вопросы к монтажникам и хрен что докажешь. Изменено 17 февраля, 2011 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE.Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой. вариант А - модульное шасси с картами расширения вариант Б - кластеризация вариант В - сегментирование Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у.Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp. так все таки - вы говорите от имени указанных "более-менее крупных операторов", доказывая, что туннели лучше IPoE, или высказываете свою личную точку зрения основанную на домовой сети в несколько сот абонентов с неуправляемым доступом? для второго варианта безоговорочно pppoe рулит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 17 февраля, 2011 · Жалоба Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :) спасибо за 5 копеек :) может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним заранее спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 17 февраля, 2011 (изменено) · Жалоба Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE.Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой. вариант А - модульное шасси с картами расширения вариант Б - кластеризация вариант В - сегментирование Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у.Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp. так все таки - вы говорите от имени указанных "более-менее крупных операторов", доказывая, что туннели лучше IPoE, или высказываете свою личную точку зрения основанную на домовой сети в несколько сот абонентов с неуправляемым доступом? для второго варианта безоговорочно pppoe рулит :) Ни один вариант ничего конкретного не предлагает, особенно "модульное шасси" :) Физически концентраторы PPPoE м.б. расположены в разных точках города и при этом работать "как один", абсолютно прозрачно для юзера. Тем более для кроссвендорного варианта, кот. для PPPoE - вообще не проблема. Я говорю и как сотрудник и как пользователь и просто, как житель города, где IPoE не прижился. Понятно что читать всё - "слишком многа букафф", но уж пару страниц пролистать можно, хотя бы по диагонали. Я ничего не доказываю, я жду практического примера, когда PPPoE "не срабатывает", технологически. Примеры "несрабатывания" IPoE я уже привёл, пачку, часть - вообще неразрешимых. Жду аналогов для PPPoE, давно жду... Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :) спасибо за 5 копеек :) может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним заранее спасибо Мммм, как всё запущено! :) А сегментировать сеть не пробовали? А ещё ACL есть, даже на недорогих свитчах. Изменено 17 февраля, 2011 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 17 февраля, 2011 · Жалоба Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :) спасибо за 5 копеек :) может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним заранее спасибо Есть варианты, в зависимости от архитектуры сети - сегментация трафика, контент фильтрация пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба Ни один вариант ничего конкретного не предлагает, особенно "модульное шасси" :) вы сами спросили о схеме конкретные варианты для конкретных задач если интересуют линейки оборудования модульных шасси для BRAS - Redback SE600/800/1200, ASR1000 Мммм, как всё запущено! :) А сегментировать сеть не пробовали? А ещё ACL есть, даже на недорогих свитчах. при использовании IPoE такой проблемы не стоит и бороться с ней не нужно, хотел деликатно обратить на это внимание ;) Я говорю и как сотрудник и как пользователь и просто, как житель города, где IPoE не прижился. хорошо, что не как житель планеты Земля ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 17 февраля, 2011 · Жалоба Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 17 февраля, 2011 · Жалоба Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?теоретически проблем не должно быть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azakharov Опубликовано 17 февраля, 2011 · Жалоба Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров? детализируйте вопрос плз, что имеется ввиду Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 февраля, 2011 · Жалоба Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?А это зачем? Заходит юзер в свой кабинет, и там рулит...IPoE может существовать всего в двух вариантах: привязка IP-MAC-порт коммутатора (по DHCP и никак иначе) и "вилан-на-юзера". Всё остальное - махровое пионерство. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...