[mlevel]

По мере роста возник вопрос:

А правильно ли дальше использовать как технологию доступа IPoE + IP-MAC binding?

 

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Или уходить к VPN?

 

Пожалуйста, дайте дельный совет.

[s.lobanov]

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

[mlevel]

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

 

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

[vop]

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

[terrible]

Учитывая реалии работы наших монтажников, имеет смысл следить за передвижениями MAC адресов внутри свича между портами.

МАС передвинулся на другой порт - значит монтажники накосячили - быстренькой по базе ищем всех абонентов, сверяемся по мак-адресам, в случае косяков переназначаем абонентские порты и напоследок экономим баксов 100 на ЗП монтажника.

 

В целом - влан на порт, IP туда-же, статикой или из пула по вкусу, собираем где-нить на кошке или бзде, куинку опять-таки по вкусу. IP-MAC-Binding не нужен, ACL можно тупо на агрегации вешать, не заморачивась с доступом.

 

Так я вижу самый адекватный вариант ухода от любого PPP.

[vop]

В целом - влан на порт

 

Зачем vlan и что делать с real ip?

[mlevel]

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

У меня просто mac-ip на роутерах.

[xcme]

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

[mlevel]

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

Им то запрещено, но бывают грозы например, экстренные работы ночью и тд.

[white_crow]

и таки что - сложно один раз нацепить какие-нить бирочки с номерами портов?

[kayot]

И как помогут бирочки при вырезании вандалами всего пучка кабелей возле ящика или в шахте?

[NiTr0]

Монтажники попутают порты, и...

И получат штраф за самовольное переключение абонента в другой порт без уведомления диспетчера. Одного-двух раз хватит, чтобы все усвоили: включать абона в другой порт самовольно низзя.

[vop]

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

[mlevel]

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

А что тогда будет уникальным идентификатором абонента?

[Ilya Evseev]

А что тогда будет уникальным идентификатором абонента?

UserID в биллинге.

MAC, IP, PortID, VlanID, ... - идентификаторы переменные, т.е. вычисляются по остальным или исправляются вручную.

[vop]

А что тогда будет уникальным идентификатором абонента?

 

PortID, до тех пор, пока остается актуальным, он привязан к uid в биллинге. Привязку порта можно делать любым способом - от ручного добавления до автоматической привязки любым механизмом аутентификации (тем же заходом на веб). Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта.

 

Вся идея состоит в том, что бы освободить администратора от технических деталей при подключении абонента.

Edited February 6, 2012 by vop

[Sergey Gilfanov]

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

[s.lobanov]

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

А что делать, если абонент клонирует мак на свой компьютер? Как выявлять "незнакомые" устройства?

[Sergey Gilfanov]

А кто сказал, что знакомость определяется только по мак. При включении CPE авторизуется у провайдера (например, по 8021.x, но можно еще как) и только тогда начинает пропускать трафик. Нужным провайдеру способом. Заварачивая трафик абонента в vlan, двойной vlan, навешивая ipsec AH заголовки. Как придумаете.

 

По поводу клонирования.

Если мак устройства в сети есть, но запросов на авторизацию нет, то делается вывод, что CPE сломалось и идет звонок абоненту.

[Ivan_83]

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

Ну и будете алармы каждые 30 секунд ловить пачками.

 

В топку такого провайдыра.

 

 

[Sergey Gilfanov]

Весь смысл CPE в том, чтобы маки абонентов не попадали в сеть провайдера. Откуда возьмутся 30 незнакомых устройств в секунду?

[s.lobanov]

Sergey Gilfanov

Чьи интересы Вы представляете(оператора/вендора/поставщика оборудования)?

[Sergey Gilfanov]

Абонента с пониманием того, о что спотыкается оператор. Хочу чтобы

1) Не нужно было нагружать мозги и руки настройками своего железа;

2) Не хочу, чтобы оператор меня случайно за кого-то другого принял и поставил мне не мои параметры линии.

 

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

[Deac]

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

Welcome to DomoLink. :)

[vop]

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

 

Осталось автоматизировать два момента.

1. Идентификацию пользователя в розетке при подключении.

2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер.