Jump to content
Калькуляторы

перехожу на IPoE история про биллинг, cisco и Vlan на пользователя

Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).

Но пока всё это на стадии обкатки и х.з. что получится.

Вы удивитесь, но коробки от Alcatel, Juniper, Cisco и RedBack прекрасно взаимодействуют с биллингом через RADIUS в IPoE модели. Это только те, про которые я знаю. И как минимум три из этих вендоров умеют это уже года 4-ре :) Я не знаю, когда IPoE научился Alcatel, возможно, что еще раньше.

Это я к тому, что стадия обкатки, уже в прошлом :)

Рад за этих вендоров! :)

 

А как там дела с кастомными атрибутами?

А с масштабированием и резервированием?

В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера.

 

Share this post


Link to post
Share on other sites
А как там дела с кастомными атрибутами?

А с масштабированием и резервированием?

В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера.

по перечисленным вопросам дела гораздо лучше чем у тазиков с бесплатными линуксами

 

Deac, будьте добры, озвучьте масштаб операторской сети, решение для которой на PPPoE вы считаете приемлемым, учитывая ваш опыт эксплуатации?

 

 

Share this post


Link to post
Share on other sites
Привязка к порту НЕ даёт персонификации юзера, она даёт персонификацию ПОРТА, что совсем не одно и тоже. :)
если у вас ведется строгий учет портов и монтажники не беспределят на подключениях, то фактически вы имеете персонификацию абонента. телефонисты ж не практикуют логины/пароли, и ктвшники тоже, и домофонщики вроде все правильно делают.

а уж что из себя представляет абонент - вас волновать не должно. включит он хитрожопый роутер или какой-нибудь хакинтош - вас волновать не должно. вас должно волновать то, что абонент должен получить то, за что он платит. и без лишней для него, и вобщем то для вас тоже, головной боли. по сути абоненту от вас нужно только одно - чтоб он воткнул ваш кабель в свой хренодевайс, и все заработало. без лишних телодвижений. телевизионщики ж не ставят мегаацкие тюнеры, и телефонисты миниатс не присобачивают в квартире абонента. почему же вы должны абоненту предлагать костыли, если современные технологии позволяют обходиться без них?!

Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).
проснитесь, на дворе уже 2010ые, уже все не просто допили, но и проверили - работает же.

Share this post


Link to post
Share on other sites
Привязка к порту НЕ даёт персонификации юзера, она даёт персонификацию ПОРТА, что совсем не одно и тоже. :)
если у вас ведется строгий учет портов и монтажники не беспределят на подключениях, то фактически вы имеете персонификацию абонента. телефонисты ж не практикуют логины/пароли, и ктвшники тоже, и домофонщики вроде все правильно делают.

а уж что из себя представляет абонент - вас волновать не должно. включит он хитрожопый роутер или какой-нибудь хакинтош - вас волновать не должно. вас должно волновать то, что абонент должен получить то, за что он платит. и без лишней для него, и вобщем то для вас тоже, головной боли. по сути абоненту от вас нужно только одно - чтоб он воткнул ваш кабель в свой хренодевайс, и все заработало. без лишних телодвижений. телевизионщики ж не ставят мегаацкие тюнеры, и телефонисты миниатс не присобачивают в квартире абонента. почему же вы должны абоненту предлагать костыли, если современные технологии позволяют обходиться без них?!

Вот допилят и тогда IPoE будет "близок к VPN" в смысле взаимодействия с биллингом(читай RADIUS).
проснитесь, на дворе уже 2010ые, уже все не просто допили, но и проверили - работает же.

Ну вот типичный пример, для большого города.

Съёмная квартира.

Живут несколько жильцов.

Отношения скажем так, "соседские". :)

В суп ещё не писают, но платить за другого уже не готовы.

В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ.

А в случае с IPoE, any ideas?

 

На дворе 2011-е, а вопрос с кастомными атрибутами всё ещё открыт. :)

 

Share this post


Link to post
Share on other sites

Deac

+1 за диск

 

darkagent

купил нет бук вот у нас на сайте есть инструкция как настроить зайдите и посмотрите (или скрипт рабочий лежит)

человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работает

Share this post


Link to post
Share on other sites
Ну вот типичный пример, для большого города.
другой пример.

кто то отрезал провод и прикрутил свой.

клиент может и не сразу в тех поддержку обратиться

и обрыв провода у него не сразу обнаружится

кто то будет на халяву пользоваться инетом, а кто оплатил думать че делать, потом догадается позвонить в техподдержку.

там изумленные увидят что линк есть ну типо все норм у вас наверное сетевушка роутер или еще что глючит. час будут общаться. много раз абонент будет перезванивать. потом вышлют мастера. мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.

то есть кто то воровал интенет..

заявление в милицию еще там чего.

 

зы хотя мне всегда хочется чтоб взял компьютер воткнул проводок получил белые ип вот тебе и инет :D

 

 

Share this post


Link to post
Share on other sites
А как там дела с кастомными атрибутами?

А с масштабированием и резервированием?

В случае с PPPoE - никаких проблем, просто добавляем ещё концентратор и всё, абсолютно прозрачно для юзера.

по перечисленным вопросам дела гораздо лучше чем у тазиков с бесплатными линуксами

 

Deac, будьте добры, озвучьте масштаб операторской сети, решение для которой на PPPoE вы считаете приемлемым, учитывая ваш опыт эксплуатации?

Тазики то причём. :)

Все вменяемые вендоры имеют PPPoE в арсенале и отказываться не собираются.

 

Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE.

Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой.

Добавляем концентратор - нагрузка на каждый уменьшается, ещё добавляем - ещё уменьшается, без лишних телодвижений и абсолютно прозрачно для юзера.

 

Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у.

 

Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp.

 

Share this post


Link to post
Share on other sites
Ну вот типичный пример, для большого города.

Съёмная квартира.

Живут несколько жильцов.

Отношения скажем так, "соседские". :)

В суп ещё не писают, но платить за другого уже не готовы.

В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ.

А в случае с IPoE, any ideas?

решение от имени жильца, прожившего некоторое время в съемной квартире большого города:

устанавливается один абонентский роутер и Интернет раздается по соседям кабелем или вайфаем

на всех один тариф и один договор, абонентская плата вскладчину

 

хотя встречались абоненты-индивидуумы, когда в одной квартире живут два родных брата, но каждый настаивал, чтобы протянуть отдельный провод.

так что случаи разные бывают

Share this post


Link to post
Share on other sites
А в случае с IPoE, any ideas?
управление услугами из личного кабинета? или например возможность на порту варианта смены абонента? т.е. один временно приостанавливает через услугу, а другой с документами приходит и оформляет времянку.

вариантов можно придумать кучу.

вы до сих пор абонентов на тупых мыльницах подключаете? или в таких случаях L2 smart/intelligent уже ?

 

человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работает
или же человек втыкает провод, включает компостер, и по dhcp получил адреса. а дальше... все работает - а уж белые или серые через нат - он определяет через управление услугами.

и никакая зараза уже тебе не помешает - особенно та что кушает виндовые библиотеки на темы сокетов и пр.

Edited by darkagent

Share this post


Link to post
Share on other sites
Ну вот типичный пример, для большого города.

Съёмная квартира.

Живут несколько жильцов.

Отношения скажем так, "соседские". :)

В суп ещё не писают, но платить за другого уже не готовы.

В случае с PPPoE - никаких проблем, 2,3,n подключений и всё, КАЖДЫЙ персонифицирован и каждый платит только за СЕБЯ.

А в случае с IPoE, any ideas?

решение от имени жильца, прожившего некоторое время в съемной квартире большого города:

устанавливается один абонентский роутер и Интернет раздается по соседям кабелем или вайфаем

на всех один тариф и один договор, абонентская плата вскладчину

 

хотя встречались абоненты-индивидуумы, когда в одной квартире живут два родных брата, но каждый настаивал, чтобы протянуть отдельный провод.

так что случаи разные бывают

Вот в складчину - не прокатывает, обычно один/несколько не платят, а пользоваться - пользуются.

И хрен с ними что сделаешь, т.к. идея о том, что можно и "не платить", обычно, приходит в голову самому технически продвинутому.

 

И протягивать кучу проводов - не вариант, сегодня одни жильцы - завтра другие, послезавтра - третий(типа семья), да и тыкать будут эти провода "как получится".

 

 

А в случае с IPoE, any ideas?
управление услугами из личного кабинета? или например возможность на порту варианта смены абонента? т.е. один временно приостанавливает через услугу, а другой с документами приходит и оформляет времянку.

вариантов можно придумать кучу.

вы до сих пор абонентов на тупых мыльницах подключаете? или в таких случаях L2 smart/intelligent уже ?

 

человек включает провод получает ип по DHCP заходит на сайт провайдера чситает инструкцию выполняет (запускает мега скрипт) все работает
или же человек втыкает провод, включает компостер, и по dhcp получил адреса. а дальше... все работает - а уж белые или серые через нат - он определяет через управление услугами.

и никакая зараза уже тебе не помешает - особенно та что кушает виндовые библиотеки на темы сокетов и пр.

"Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :)

И приходим к варианту прибивания MAC-а к порту, т.е. откат от DHCP opt. х.з.ч., ну и нах огород городить?

 

Share this post


Link to post
Share on other sites
"Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :)
воткнули двое куда? вы им поставите тупой свитч? тогда это ваши проблемы, скупой платит дважды.

они купили тупой свитч и воткнулись в него? тогда это ихняя головная боль, пускай сами разбираются между собой.

ситуация не безвыходная, просто нужно включить мозг.

Share this post


Link to post
Share on other sites
"Воткнули" двое, кто получит IP, кто первый "встал- того и тапки", а то что он не платит - провайдеру по барабану?! :)
воткнули двое куда? вы им поставите тупой свитч? тогда это ваши проблемы, скупой платит дважды.

они купили тупой свитч и воткнулись в него? тогда это ихняя головная боль, пускай сами разбираются между собой.

ситуация не безвыходная, просто нужно включить мозг.

Да, поставили тупой свитч, только поставили не мы, а они сами.

Им же сказали: "интернет из розетки".

Втыкай и всё!

Они так и делают.

Просто один не платит и пользуется, а второй платит и звонит в техподдержку, требует ОПЛАЧЕННУЮ услугу: "интернет из розетки"! :)

Может и в суд подать, не на соседа, сосед то НИКАКИХ законов не нарушает.

Edited by Deac

Share this post


Link to post
Share on other sites
мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.

то есть кто то воровал интенет..

заявление в милицию еще там чего.

Нормальное решение: улики есть, причём материальные, можно хватать за шкирку и тягать в обезьянник.

А теперь представьте, что кто-то перехватил логин/пароль. Улики электронные (логи у провайдера), причём в них фигурирует в качестве идентификатора только МАС-адрес, который несложно поменять. В самом лучшем случае - можно установить коммутатор, с которого заходил злоумышленник.

Share this post


Link to post
Share on other sites
другой пример.

кто то отрезал провод и прикрутил свой.

клиент может и не сразу в тех поддержку обратиться

и обрыв провода у него не сразу обнаружится

кто то будет на халяву пользоваться инетом, а кто оплатил думать че делать, потом догадается позвонить в техподдержку.

там изумленные увидят что линк есть ну типо все норм у вас наверное сетевушка роутер или еще что глючит. час будут общаться. много раз абонент будет перезванивать. потом вышлют мастера. мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.

то есть кто то воровал интенет..

заявление в милицию еще там чего.

Решается функцией Port Security (или ее аналогами), когда на коммутаторе доступа МАС-адрес абонента привязывается к порту коммутатора автоматически при подключении. При подключение иных устройств с другим МАС-адресом трафик блокируется и происходит сигнализация в систему мониторинга SNMP trap'ом.

Понятное дело абонент рано или поздно захочет сменить устройство - решается пунктом в договоре об извещении оператора и звонком в тех.поддержку, которая обнуляет МАС на порту. Тут выбор оператора - что хочется больше, безопасность или удобство.

 

 

--

С уважением,

Андрей Захаров

team@metroethernet.ru

Share this post


Link to post
Share on other sites
мастер как обычно дня через 3 придет проверит что провод действительно отрезан и прикручен другой.

то есть кто то воровал интенет..

заявление в милицию еще там чего.

Нормальное решение: улики есть, причём материальные, можно хватать за шкирку и тягать в обезьянник.

А теперь представьте, что кто-то перехватил логин/пароль. Улики электронные (логи у провайдера), причём в них фигурирует в качестве идентификатора только МАС-адрес, который несложно поменять. В самом лучшем случае - можно установить коммутатор, с которого заходил злоумышленник.

Выясняется "на месте", юзер просто не сможет зайти второй раз под одним логином.

И да, по коммутатору определяется злоумышленник.

Вот уж что не проблема - так это воровство логинов, по крайней мере пока.

 

А в случае с перекруткой провода, юзер просто заявит - "так и було"!

Типа все вопросы к монтажникам и хрен что докажешь.

 

Edited by Deac

Share this post


Link to post
Share on other sites
Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE.

Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой.

вариант А - модульное шасси с картами расширения

вариант Б - кластеризация

вариант В - сегментирование

 

Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у.

Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp.

так все таки - вы говорите от имени указанных "более-менее крупных операторов", доказывая, что туннели лучше IPoE, или высказываете свою личную точку зрения основанную на домовой сети в несколько сот абонентов с неуправляемым доступом?

 

для второго варианта безоговорочно pppoe рулит :)

Share this post


Link to post
Share on other sites

Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :)

Share this post


Link to post
Share on other sites
Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :)

спасибо за 5 копеек :)

может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним

заранее спасибо

Share this post


Link to post
Share on other sites
Вопрос в ТЕХНОЛОГИИ, вот предложите схему резервирования/масштабирования прозрачного для юзера, в случае с IPoE.

Для PPPoE, например, достаточно 1(ОДНОГО) рабочего концентратора, если он справится с нагрузкой.

вариант А - модульное шасси с картами расширения

вариант Б - кластеризация

вариант В - сегментирование

 

Масштаб, ну 50000+ абонентов, судя по местному СПАРК-у.

Даже больше скажу, у нас ВСЕ, более-менее крупные операторы, используют VPN, кто-то PPPoE, кто-то l2tp.

так все таки - вы говорите от имени указанных "более-менее крупных операторов", доказывая, что туннели лучше IPoE, или высказываете свою личную точку зрения основанную на домовой сети в несколько сот абонентов с неуправляемым доступом?

 

для второго варианта безоговорочно pppoe рулит :)

Ни один вариант ничего конкретного не предлагает, особенно "модульное шасси" :)

Физически концентраторы PPPoE м.б. расположены в разных точках города и при этом работать "как один", абсолютно прозрачно для юзера.

Тем более для кроссвендорного варианта, кот. для PPPoE - вообще не проблема.

 

Я говорю и как сотрудник и как пользователь и просто, как житель города, где IPoE не прижился.

 

Понятно что читать всё - "слишком многа букафф", но уж пару страниц пролистать можно, хотя бы по диагонали.

Я ничего не доказываю, я жду практического примера, когда PPPoE "не срабатывает", технологически.

Примеры "несрабатывания" IPoE я уже привёл, пачку, часть - вообще неразрешимых.

Жду аналогов для PPPoE, давно жду...

 

 

Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :)

спасибо за 5 копеек :)

может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним

заранее спасибо

Мммм, как всё запущено! :)

 

А сегментировать сеть не пробовали?

 

А ещё ACL есть, даже на недорогих свитчах.

Edited by Deac

Share this post


Link to post
Share on other sites
Вопрос перехвата логина/пароля на PPPoE тоже легко предотвращается. На доступе используем железо с поддержкой PPPoE+, BRASу говорим отсылать Circuit-ID на Radius аттрибутом NAS-Port-ID, ну а дальше по вкусу - можно просто писать значение в лог, можно использовать как один из факторов авторизации. ЗЫ: Я ни за ни против PPPoE/IPoE, просто вставил свои пять копеек. :)

спасибо за 5 копеек :)

может еще такой момент прокомментируете, если сталкивались - подменный pppoe-сервер и способы борьбы с ним

заранее спасибо

Есть варианты, в зависимости от архитектуры сети - сегментация трафика, контент фильтрация пакетов.

Share this post


Link to post
Share on other sites
Ни один вариант ничего конкретного не предлагает, особенно "модульное шасси" :)

вы сами спросили о схеме

конкретные варианты для конкретных задач

если интересуют линейки оборудования модульных шасси для BRAS - Redback SE600/800/1200, ASR1000

 

Мммм, как всё запущено! :)

 

А сегментировать сеть не пробовали?

 

А ещё ACL есть, даже на недорогих свитчах.

при использовании IPoE такой проблемы не стоит и бороться с ней не нужно, хотел деликатно обратить на это внимание ;)

 

Я говорю и как сотрудник и как пользователь и просто, как житель города, где IPoE не прижился.

хорошо, что не как житель планеты Земля ;)

Share this post


Link to post
Share on other sites

Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?

Share this post


Link to post
Share on other sites
Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?
теоретически проблем не должно быть

 

Share this post


Link to post
Share on other sites

Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?

детализируйте вопрос плз, что имеется ввиду

Share this post


Link to post
Share on other sites
Интересно, как решается вопрос с web авторизацией на IPoE при использовании роутеров?
А это зачем? Заходит юзер в свой кабинет, и там рулит...

IPoE может существовать всего в двух вариантах: привязка IP-MAC-порт коммутатора (по DHCP и никак иначе) и "вилан-на-юзера". Всё остальное - махровое пионерство.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this