mlevel Posted January 26, 2012 По мере роста возник вопрос: А правильно ли дальше использовать как технологию доступа IPoE + IP-MAC binding? Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту. Или уходить к VPN? Пожалуйста, дайте дельный совет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 26, 2012 Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту. Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mlevel Posted January 26, 2012 Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту. Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта. Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted January 26, 2012 Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает. А привязка порт-mac-ip? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted January 27, 2012 Учитывая реалии работы наших монтажников, имеет смысл следить за передвижениями MAC адресов внутри свича между портами. МАС передвинулся на другой порт - значит монтажники накосячили - быстренькой по базе ищем всех абонентов, сверяемся по мак-адресам, в случае косяков переназначаем абонентские порты и напоследок экономим баксов 100 на ЗП монтажника. В целом - влан на порт, IP туда-же, статикой или из пула по вкусу, собираем где-нить на кошке или бзде, куинку опять-таки по вкусу. IP-MAC-Binding не нужен, ACL можно тупо на агрегации вешать, не заморачивась с доступом. Так я вижу самый адекватный вариант ухода от любого PPP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted January 27, 2012 В целом - влан на порт Зачем vlan и что делать с real ip? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mlevel Posted January 27, 2012 Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает. А привязка порт-mac-ip? У меня просто mac-ip на роутерах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted January 28, 2012 Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает. Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mlevel Posted January 28, 2012 Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает. Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт? Им то запрещено, но бывают грозы например, экстренные работы ночью и тд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted January 29, 2012 и таки что - сложно один раз нацепить какие-нить бирочки с номерами портов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted January 29, 2012 И как помогут бирочки при вырезании вандалами всего пучка кабелей возле ящика или в шахте? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted January 29, 2012 Монтажники попутают порты, и... И получат штраф за самовольное переключение абонента в другой порт без уведомления диспетчера. Одного-двух раз хватит, чтобы все усвоили: включать абона в другой порт самовольно низзя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted January 30, 2012 Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт? Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mlevel Posted January 30, 2012 Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт? Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом? А что тогда будет уникальным идентификатором абонента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ilya Evseev Posted February 2, 2012 А что тогда будет уникальным идентификатором абонента? UserID в биллинге. MAC, IP, PortID, VlanID, ... - идентификаторы переменные, т.е. вычисляются по остальным или исправляются вручную. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted February 6, 2012 (edited) А что тогда будет уникальным идентификатором абонента? PortID, до тех пор, пока остается актуальным, он привязан к uid в биллинге. Привязку порта можно делать любым способом - от ручного добавления до автоматической привязки любым механизмом аутентификации (тем же заходом на веб). Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта. Вся идея состоит в том, что бы освободить администратора от технических деталей при подключении абонента. Edited February 6, 2012 by vop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 8, 2012 Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор) При появлении незнакомого устройства в сети выдавать аларм и принимать меры. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 8, 2012 Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор) При появлении незнакомого устройства в сети выдавать аларм и принимать меры. А что делать, если абонент клонирует мак на свой компьютер? Как выявлять "незнакомые" устройства? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 8, 2012 А кто сказал, что знакомость определяется только по мак. При включении CPE авторизуется у провайдера (например, по 8021.x, но можно еще как) и только тогда начинает пропускать трафик. Нужным провайдеру способом. Заварачивая трафик абонента в vlan, двойной vlan, навешивая ipsec AH заголовки. Как придумаете. По поводу клонирования. Если мак устройства в сети есть, но запросов на авторизацию нет, то делается вывод, что CPE сломалось и идет звонок абоненту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 8, 2012 При появлении незнакомого устройства в сети выдавать аларм и принимать меры. Ну и будете алармы каждые 30 секунд ловить пачками. В топку такого провайдыра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 8, 2012 Весь смысл CPE в том, чтобы маки абонентов не попадали в сеть провайдера. Откуда возьмутся 30 незнакомых устройств в секунду? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 8, 2012 Sergey Gilfanov Чьи интересы Вы представляете(оператора/вендора/поставщика оборудования)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 8, 2012 Абонента с пониманием того, о что спотыкается оператор. Хочу чтобы 1) Не нужно было нагружать мозги и руки настройками своего железа; 2) Не хочу, чтобы оператор меня случайно за кого-то другого принял и поставил мне не мои параметры линии. Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Deac Posted February 8, 2012 Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью. Welcome to DomoLink. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted February 8, 2012 Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью. Осталось автоматизировать два момента. 1. Идентификацию пользователя в розетке при подключении. 2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...