Перейти к содержимому
Калькуляторы

Технология доступа Модернизация существующей сети

По мере роста возник вопрос:

А правильно ли дальше использовать как технологию доступа IPoE + IP-MAC binding?

 

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Или уходить к VPN?

 

Пожалуйста, дайте дельный совет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Казалось бы выход DHCP opt.82 - но тут есть вопрос, помимо того что надо модернизировать часть узлов доступа - нет точной привязки абонента к порту.

 

Почему нет точной привязки? В option82 можно засунуть и id коммутатора(ip/mac/hostname/прочее) и id порта.

 

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Учитывая реалии работы наших монтажников, имеет смысл следить за передвижениями MAC адресов внутри свича между портами.

МАС передвинулся на другой порт - значит монтажники накосячили - быстренькой по базе ищем всех абонентов, сверяемся по мак-адресам, в случае косяков переназначаем абонентские порты и напоследок экономим баксов 100 на ЗП монтажника.

 

В целом - влан на порт, IP туда-же, статикой или из пула по вкусу, собираем где-нить на кошке или бзде, куинку опять-таки по вкусу. IP-MAC-Binding не нужен, ACL можно тупо на агрегации вешать, не заморачивась с доступом.

 

Так я вижу самый адекватный вариант ухода от любого PPP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В целом - влан на порт

 

Зачем vlan и что делать с real ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

 

А привязка порт-mac-ip?

У меня просто mac-ip на роутерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порядок можно навести, но вот во время грозы может система рухнуть. Монтажники попутают порты, и абоненту уйдут чужие настройки по DHCP, с другим тарифом и статусом. Вот это меня пугает.

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

Им то запрещено, но бывают грозы например, экстренные работы ночью и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и таки что - сложно один раз нацепить какие-нить бирочки с номерами портов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И как помогут бирочки при вырезании вандалами всего пучка кабелей возле ящика или в шахте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Монтажники попутают порты, и...

И получат штраф за самовольное переключение абонента в другой порт без уведомления диспетчера. Одного-двух раз хватит, чтобы все усвоили: включать абона в другой порт самовольно низзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашим монтажникам запрещено произвольно переключать порты. Каждый абонент закреплен за конкретным портом. У вас нет? Как тогда диагностику делаете при звонке в саппорт?

 

Почему бы не сделать динамическую привязку абонента к порту? Траблу со сменой порта вычислить достаточно просто. Можно сделать автоматическую смену порта, или просто помечать проблемную смену порта до подтверждения ручками поддержкой или самим абонентом?

А что тогда будет уникальным идентификатором абонента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что тогда будет уникальным идентификатором абонента?

UserID в биллинге.

MAC, IP, PortID, VlanID, ... - идентификаторы переменные, т.е. вычисляются по остальным или исправляются вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что тогда будет уникальным идентификатором абонента?

 

PortID, до тех пор, пока остается актуальным, он привязан к uid в биллинге. Привязку порта можно делать любым способом - от ручного добавления до автоматической привязки любым механизмом аутентификации (тем же заходом на веб). Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта.

 

Вся идея состоит в том, что бы освободить администратора от технических деталей при подключении абонента.

Изменено пользователем vop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Персональное CPE абонента. Управляемое провайдером. Можно очень глупое (те не обязательно маршрутизатор)

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

А что делать, если абонент клонирует мак на свой компьютер? Как выявлять "незнакомые" устройства?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто сказал, что знакомость определяется только по мак. При включении CPE авторизуется у провайдера (например, по 8021.x, но можно еще как) и только тогда начинает пропускать трафик. Нужным провайдеру способом. Заварачивая трафик абонента в vlan, двойной vlan, навешивая ipsec AH заголовки. Как придумаете.

 

По поводу клонирования.

Если мак устройства в сети есть, но запросов на авторизацию нет, то делается вывод, что CPE сломалось и идет звонок абоненту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При появлении незнакомого устройства в сети выдавать аларм и принимать меры.

 

Ну и будете алармы каждые 30 секунд ловить пачками.

 

В топку такого провайдыра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Весь смысл CPE в том, чтобы маки абонентов не попадали в сеть провайдера. Откуда возьмутся 30 незнакомых устройств в секунду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Sergey Gilfanov

Чьи интересы Вы представляете(оператора/вендора/поставщика оборудования)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонента с пониманием того, о что спотыкается оператор. Хочу чтобы

1) Не нужно было нагружать мозги и руки настройками своего железа;

2) Не хочу, чтобы оператор меня случайно за кого-то другого принял и поставил мне не мои параметры линии.

 

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

Welcome to DomoLink. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

 

Осталось автоматизировать два момента.

1. Идентификацию пользователя в розетке при подключении.

2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.