Jump to content
Калькуляторы

Технология доступа Модернизация существующей сети

По мере роста возник вопрос:

А правильно ли дальше использовать как технологию доступа IPoE + IP-MAC binding?

 

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Или уходить к VPN?

 

Пожалуйста, дайте дельный совет.

Share this post


Link to post
Share on other sites

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

Share this post


Link to post
Share on other sites

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

 

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Share this post


Link to post
Share on other sites
Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

Share this post


Link to post
Share on other sites

Учитывая реалии работы наших монтажников, имеет смысл следить за передвижениями MAC адресов внутри свича между портами.

МАС передвинулся на другой порт - значит монтажники накосячили - быстренькой по базе ищем всех абонентов, сверяемся по мак-адресам, в случае косяков переназначаем абонентские порты и напоследок экономим баксов 100 на ЗП монтажника.

 

В целом - влан на порт, IP туда-же, статикой или из пула по вкусу, собираем где-нить на кошке или бзде, куинку опять-таки по вкусу. IP-MAC-Binding не нужен, ACL можно тупо на агрегации вешать, не заморачивась с доступом.

 

Так я вижу самый адекватный вариант ухода от любого PPP.

Share this post


Link to post
Share on other sites
В целом - влан на порт

 

Зачем vlan и что делать с real ip?

Share this post


Link to post
Share on other sites
Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

У меня просто mac-ip на роутерах.

Share this post


Link to post
Share on other sites

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

Share this post


Link to post
Share on other sites

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

Им то запрещено, но бывают грозы например, экстренные работы ночью и тд.

Share this post


Link to post
Share on other sites

и таки что - сложно один раз нацепить какие-нить бирочки с номерами портов?

Share this post


Link to post
Share on other sites

И как помогут бирочки при вырезании вандалами всего пучка кабелей возле ящика или в шахте?

Share this post


Link to post
Share on other sites

Монтажники попутают порты, и...

И получат штраф за самовольное переключение абонента в другой порт без уведомления диспетчера. Одного-двух раз хватит, чтобы все усвоили: включать абона в другой порт самовольно низзя.

Share this post


Link to post
Share on other sites

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

Share this post


Link to post
Share on other sites

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

А что тогда будет уникальным идентификатором абонента?

Share this post


Link to post
Share on other sites

А что тогда будет уникальным идентификатором абонента?

UserID в биллинге.

MAC, IP, PortID, VlanID, ... - идентификаторы переменные, т.е. вычисляются по остальным или исправляются вручную.

Share this post


Link to post
Share on other sites
А что тогда будет уникальным идентификатором абонента?

 

PortID, до тех пор, пока остается актуальным, он привязан к uid в биллинге. Привязку порта можно делать любым способом - от ручного добавления до автоматической привязки любым механизмом аутентификации (тем же заходом на веб). Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта.

 

Вся идея состоит в том, что бы освободить администратора от технических деталей при подключении абонента.

Edited by vop

Share this post


Link to post
Share on other sites

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

Share this post


Link to post
Share on other sites

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

А что делать, если абонент клонирует мак на свой компьютер? Как выявлять "незнакомые" устройства?

Share this post


Link to post
Share on other sites

А кто сказал, что знакомость определяется только по мак. При включении CPE авторизуется у провайдера (например, по 8021.x, но можно еще как) и только тогда начинает пропускать трафик. Нужным провайдеру способом. Заварачивая трафик абонента в vlan, двойной vlan, навешивая ipsec AH заголовки. Как придумаете.

 

По поводу клонирования.

Если мак устройства в сети есть, но запросов на авторизацию нет, то делается вывод, что CPE сломалось и идет звонок абоненту.

Share this post


Link to post
Share on other sites
При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

Ну и будете алармы каждые 30 секунд ловить пачками.

 

В топку такого провайдыра.

 

 

Share this post


Link to post
Share on other sites

Весь смысл CPE в том, чтобы маки абонентов не попадали в сеть провайдера. Откуда возьмутся 30 незнакомых устройств в секунду?

Share this post


Link to post
Share on other sites

Sergey Gilfanov

Чьи интересы Вы представляете(оператора/вендора/поставщика оборудования)?

Share this post


Link to post
Share on other sites

Абонента с пониманием того, о что спотыкается оператор. Хочу чтобы

1) Не нужно было нагружать мозги и руки настройками своего железа;

2) Не хочу, чтобы оператор меня случайно за кого-то другого принял и поставил мне не мои параметры линии.

 

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

Share this post


Link to post
Share on other sites

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

Welcome to DomoLink. :)

Share this post


Link to post
Share on other sites
Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

 

Осталось автоматизировать два момента.

1. Идентификацию пользователя в розетке при подключении.

2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this