Sergey Gilfanov Опубликовано 8 февраля, 2012 (изменено) · Жалоба 1. Идентификацию пользователя в розетке при подключении. Обеспечивается ключем входной двери квартиры, где розетка стоит. Все что через розетку прошло - его. 2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер. В процессе 802.1x коммутатор доступа отошлет на RADIUS сервер запрос с MAC-ом розетки и номером порта, куда ее воткнули. Это если действительно нужно знать порт. Если розетка пользовательские кадры/пакеты раскрашивает нужным образом, это может быть не обязательно. Она же для того и нужна, чтобы было кому сказать "эта линия такого-то абонента". Ну и для того, чтобы сеть провайдера от MAC-ов пользовательского оборудования заизолировать. Изменено 8 февраля, 2012 пользователем Sergey Gilfanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 8 февраля, 2012 (изменено) · Жалоба Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта. Нашим абонентам разрешено иметь до 8 MAC и IP-адресов на порту, привязки к которым (к IP/MAC) нет. Тут отслеживать что-либо бесполезно. Потому порт является единственным идентификатором абонента, который не меняется (всякие ID в биллинге не в счет, т.к. коммутатор о них не знает, а DHCP они не нужны). Ситуация с монтажниками решается просто: при замене коммутатора порты перетыкаются "один-в-один". Если же что-то напутано, то бригада едет снова и наводит порядок, но такого что-то давно не было. :) Минус тут, конечно, в необходимости контроля со стороны админов/диспетчеров, но по другому не получается. Изменено 8 февраля, 2012 пользователем xcme Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mlevel Опубликовано 29 марта, 2012 · Жалоба Вопрос: кто как отслеживает смену порта абонента при opt.82? Видел у нескольких провайдеров, при смене порта абонента редиректят на страницу биллинга, где нужно пройти авторизацию (ввести логин + пароль), после чего Интернет снова работает. Только не могу понять как это отслеживаеться, без участия администратора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dwemer Опубликовано 30 марта, 2012 · Жалоба по макам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sokrat Опубликовано 30 марта, 2012 · Жалоба Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью. Осталось автоматизировать два момента. 1. Идентификацию пользователя в розетке при подключении. 2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер. Вот ни когда не интересовался темой использования управляемого железа. 7 лет все крутилось на обычных мыльницах и никаких проблем типа того, что написано в этой теме. Какая на хрен разница в какой порт какой кабель забубенел. Пользователь авторизовывается по логину и паролю + привязан по маку. Ну поменял карту,не сообщил, хрен получит инета, остается помощь зала или звонок другу. Сейчас что-то решили переходить на управляемое железо, и думаем, после прочтения этой темы, а стоит игра свеч, с начало тупо создать себе проблемы, а потом с умной рожей ее покорять. А потом такое понятие как N монтажников штурмовать один хаб, не круто заварено?. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 31 марта, 2012 · Жалоба Еще 1 вопрос - как пользователь смог сменить порт в который он подключен вместе с адресом по которому оказывается услуга ? А если монтажники при смене оборудования напутали - тогда бить по рукам монтажникам. А так Опт 82 рулит и педалит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 31 марта, 2012 · Жалоба У нас все кабеля биркуются, номером квартиры и номером порта, при замене оборудования кабеля включаются согласно биркам, при каких либо ремонтных работах бригада получает список подключенных квартир и соответствующие им порты на оборудовании. Если по каким то причинам нет возможности определить какой кабель из какой квартиры, то обходят нужные квартиры и таким образом вычисляют кабеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goofgooffy Опубликовано 1 апреля, 2012 · Жалоба PPPoE и никаких проблем. Так называемый IPoE подходит только для предприятий. Для провайдера эта технология весьма идиотская и создает дополнительные проблемы для всех. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 1 апреля, 2012 · Жалоба PPPoE и никаких проблем. Так называемый IPoE подходит только для предприятий. Для провайдера эта технология весьма идиотская и создает дополнительные проблемы для всех. Холиварное утверждение. Тысячи раз спорили уже... (новое поколение одминов пришло? : ) В итоге каждый останется при своем. Пробовал в реальной жизни оба варианта - оба работают без проблем. Но с IPoE - звонков в саппорт гораздо меньше (ибо не надо - ни пароль, ни какие-то там настройки непонятных PPTP/PPPoE/L2TP etc) Всунул в розекту и все дела. надо о юзерах глупеньких думать, а не о своих каких-то привычках... P.S. Перепутывать провода в ящике провайдера со свичом доступа - было может 2-3 раза за несколько лет. Не смертельно. Не так страшно - как если водитель автобуса не туда повернет и упадет в пропасть в египте с русскими туристами, или сотрудники черноб. АЭС чего напутают... Так это о чем я? А, о том, что люди конечно, ошибаются, но есть инструкции, регламент, бирочки , "пряники и кнуты" - чтобы меньше ошибались. Каждый монтажник знает - номер порта - это важно, именно по нему определяется однозначно абонент. Короче Opt82 (VLAN/свич/port) и розетка с надписью "Интернет" - это очень удобно и просто, и нет никаких дополнительных граблей..... (а вот тунели в 21 веке с безлимитами и скоростями на уровне порта Ethernet - для провайдера - это и есть "идиотизм" : ) (тунели даже не для этого совсем придумали : ) И не надо снова аргументы - что "кто-то врежится в линию" соседа и что-то страшное сделает (ага, подключится к телефонным проводам соседа и позвонит в израэль на 2000 долларов : ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 1 апреля, 2012 · Жалоба Вот ни когда не интересовался темой использования управляемого железа. 7 лет все крутилось на обычных мыльницах и никаких проблем Везучий вы человек. Сколько интересно у вас абонентов? На сети в десятки, сотни тысяч юзеров - иметь мыльницы - "не удобно" : ) Мне больше нравиттся управляемый доступ, там я: вырезаю левые DHCP сервы, левые PPPoE сервы, там саппорт может зайти на свич и глянуть в каком состоянии порт клиента, сколько ошибок, какой трафик, какой адрес и когда он получил, и прочее Там же режется мусор (типа MS (135-139, 445) Там же легко управляем доступом к TVoIP (MVR, Multicast Filtering/Snooping) c автоматизацией. Там же защита от петель, броадкаст штормов, ARP спуфинга, зашита от прописывания чужого IP (и даже своего) - только получение с нашего DHCP. Там же скорость трафика на каждом порту индивидувльно с шагом 64k от 0 до 100M Там же раздатчикам чужого инета в своей сети можно аккуратненько подрезать скорость для PPPoE/L2TP/PPTP : ) (если чувак нагло и открыто рекламирует перепродажу инета) Там же мониторинг доступности по SNMP, открываение ящика, температура... Все это связано с биллингом. Короче, удобно я вас скажу (свичи Zyxel, если цикаво - вся их линейка упраялемых...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goofgooffy Опубликовано 1 апреля, 2012 · Жалоба Холиварное утверждение. Тысячи раз спорили уже... (новое поколение одминов пришло? : ) В итоге каждый останется при своем. Пробовал в реальной жизни оба варианта - оба работают без проблем. Но с IPoE - звонков в саппорт гораздо меньше (ибо не надо - ни пароль, ни какие-то там настройки непонятных PPTP/PPPoE/L2TP etc) Всунул в розекту и все дела. надо о юзерах глупеньких думать, а не о своих каких-то привычках... Согласен по поводу PP*. А вы в каждом подъезде ставите по свитчу с поддержкой 82? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 1 апреля, 2012 (изменено) · Жалоба На 2-3 подъезда ставится один ящик. Когда первый свич заполняется, ставиться еще один свич "сверху" (потом еще один). Схема - VLAN на дом. Все свичи - управляемые, т.е. тупых нет совсем... "Услуга на порт" - т.е. один порт - значит один клиент - никаких гирлянд, типа один умный + 4 тупых : ) P.S. Я все еще юзаю тунели, потому что: с них начинали, когда были совсем маленькими и очень привыкли (начинали с нуля - чисто попробовать : ). Теперь перевалили за 12 тыс физиков, рост продолжается... Чтобы поменять схему, нужно очень много переделать: Сейчас очень легко раздавать динамически белые ipv4 в тунели. NAT не юзается. С "дядей майором" очень удобно - они тебе запрос твоего адреса и время - ты смотришь лог радиуса и даешь ответ (адреса назначения - не дают, поэтому если NATить - то как-то красиво 1 в 1 надо - а я не умею). Если переходить на IPoE - нужно юзать либо NAT , что очень не хочется по многим причинам (тоже кстати холивар), либо перелопатить внтреннию серую маршрутизацию - на белую. Но - это огромная работа, и тут большой перерасход белых адресов. И тут я уже задумываюсь - может уже потом сразу на IPv6 переходить : ) (а пока "работает - не трогай!") Но и тут тоже проблема - свичи поддерживают ipv6 - на уровне "типа есть", но далеко не все важные фишки. Фактически не пригодно для реально работы... И боюсь - прошивкой тут не исправишь - тут аппаратные ограничения. А денег вложено прилично. Вот так пока на тунелях и живем - хотя DHCP Опц82 - тщательно протестировано, изучено и вылизано и автоматизировано за 2 года в реальной жизни - работает замечательно у всех абонов сейчас, но в инет все равно пускаем через l2TP - вот такой вот винигред). Хочется уходить от тунелей, ибо звонки в саппорт - 90% - ошибка 800, 807, 619, 691, 734 - короче тунели, такие тунели - то шифрование включат, то адрес сервера не тот, то логин или пароль не тот, то вообще изумление - какой такой еще логин пароль и ВПН :) жуть короче... Бедные юзеры...и суппорт... И уровень юзеров все ниже - проникновение услуги во все слои... Хотя дело не в слоях - имхо, юзер ничего не должен про это знать, ему должно быть просто и удобно, пусть каждый делает свою работу, я делаю тупую трубу, а они пусть пекут хлеб, водят троллейбусы, бьют оппозицию дубинками, летают в космос, учат детей алгебре, продают мазь от геммороя, изобретают третью ступень космического корабля и нановундервафли и т.д. : ) P.S. А еще хочется пощупать "взрослые" железки, чтобы не голословно учавствовать в холиварах типа "тазики против специализированных девайсов от именитых вендоров". Но кто ж мне денег даст - когда писюк стоит штуку баков и все работает(и три тазика жуют эти несчастные пару гигабит входящего - на них шейпер, L2TP, netflow, DNS, Firewall, BGP, syslog, snmp и т.д.) - короче все цыгане и медведи в одном флаконе (он и NAS/BRAS и бордер : ). И все это, кстати, на MikroTik ROS. Тобишь наследие пионер-нет : ) Вот принесу я счет на девайс на несколько тыся баков - и мне владельцы бизнесов скажут - "зачем" ? "Что-то не работает" ? А я такой - "таки работает..., но нужно ведь по -взрослому, а не тазики : )))" Но не поймут... (аргументы мне нужны посерьезней. Вроде кто-то тут писал - - до 10G тазики рулят, после - маршики узкозаточенные - та что буду ждать....) Изменено 1 апреля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goofgooffy Опубликовано 2 апреля, 2012 · Жалоба white_crow Благодарю за развернутый ответ. Я несколько поменял свое мнение относительно Opt82 =) В бытность моей работы в провайдинге(не админ) везде использовались тупые свитчи с нетегированными VLAN (D-link DES-1008D), доступ по PPPoE и все это было просто, понятно и относительно недорого. Никаких привязок к портам и MAC-адресам. Легко свитчи менять можно, если сгорел или портов не хватило. Но саппорт конечно зашивается с туннелями, это есть. Вопрос следующий: дороже или дешевле строить сеть на основе IPoE? И на сколько. А также насколько снижается нагрузка на BRAS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 2 апреля, 2012 (изменено) · Жалоба Простого ответа нет. Строить IPоE можно сильно по разному, так же как и PPPoE строить можно по-разному (и там и там есть много решений). Если сравнивать схему с тупым доступом + PPPoE на писюках - это дешево, но Вы сами понимаете, что есть недостатки (которые обсудили выше). За простоту для юзеров (отказ от тунелей), за управляемость и надежность - конечно нужно заплатить (умный доступ стоит прилично). И тут вы сами выбираете - платить за это или нет, есть такая возможность и желание конкретно у Вас или нет. Нагрузка на BRAS - я бы сказал, что в общем объеме - ppp не особо то и много кушает ресурсов, гораздо больше тянет шейпинг, firewall, NAT (если есть). Но в целом конечно - строить сеть на основе IPoE - дороже. И тут от масштабов зависит. Если юзеров десяки тысяч - суппорт охреневает по телефону объяснять про ВПН каждому юзеры, переустановившему венду : ) Изменено 2 апреля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 2 апреля, 2012 · Жалоба Легко свитчи менять можно, если сгорел или портов не хватило С умным доступом это тоже делается очень легко - Все свичи пронумерованы по порядку (и наклейка на них вешается). Копии конфигов храняться на корпоративном FTP. Залить конфиг - 2 минуты - пару кликов мыхой. Все автоматизировано и связано с биллингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 2 апреля, 2012 (изменено) · Жалоба У всех были такие случаи в жизни?, кто до сих пор юзает ВПН: звонит чел в саппорт, через слово "***". - "Ни*уя ваш инет не пашет, гандоны" - Давайте проверим настройки ВПН, нажмите "пуск - подключения - отобразить все подключения - новые подключения - мастер... - далее - тип подключения - ... -.... - ввести логин" - "Я - сварщик, а не программист, ***, - я не разбираюсь, где тут пуск, и где тут логин, и где тут дабл ю и энтер!!! Придите мне и настройте, суки - за что я Вам такие деньги плачу!!!!" ... и трубку об землю кидает И так каждые 5 минут кто-нить звонит... Вы все еще юзаете тунели? : ) P.S. Автоконфигугратор ВПН на сайте ситуацию ничуть не спасает. сварщик все равно либо не асилит зати на сайт скачать и запустить и потом найти ярлык, либо по-любому ниасилит логин и пароль свои ввести : ) (Но и не должен. Он должен тока тиснуть на ярлык IE - тыкнуть в закладочку яндекса и в нем набрать - ризультаты мачча Рига - стамбул P.S. В случае с IPoE - юзер по порту определяется - и получает автоматом параметры по DHCP - у него Инет работает на любой ОСи - из каропки - без всяких телодвижений, и переустанваливают пусть хоть каждый день... И ноуты любые пусть меняет и сетевухи - MACи принципиально не собираем. И юзаем патч DD к ISC DHCP (на этом форуме нашел - добрый человек изменил пару строк в исходнике, чтобы игнорить маки)... Дай бох ему здоровья... Изменено 2 апреля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 2 апреля, 2012 · Жалоба Вопрос следующий: дороже или дешевле строить сеть на основе IPoE? И на сколько. А также насколько снижается нагрузка на BRAS? У нас в сети первоначально использовались pptp и pppoe. Затем была добавлена поддержка ipoe. У саппорта, подключальщиков, клиентов и сервиса была возможность выбора. Результат - все дружно выбрали ipoe. Нагрузка на шлюзы сократилась примерно вдвое, плюс существенно упростились настройки. Хотя определённые достоинства у pppoe есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 3 апреля, 2012 · Жалоба Хотя определённые достоинства у pppoe есть. Конечно есть. Но только для самого провайдера, а не для юзера : ) Единтсвенный нюанс - если у вас пока еще дорогой инет, и есть помегабайтные тарифы - иметь логин и пароль - для юзера это "спокойней" (этот тот пресловутый эффект "причастности" юзера к факту подключения/отключения к мировой паутине, о котором тоже много раз говорили) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 3 апреля, 2012 · Жалоба Ну и папа может запретить дочке юзать инет за плохое поведение (пароль сменить). Хотя с IPoE должна быть такая же возможность (входишь в кабинет - и отключаешь инет - но опять же нужено запоминать логин и пароль : ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mlevel Опубликовано 23 августа, 2012 (изменено) · Жалоба Подскажите как реализуется схема DHCP opt.82 с WEB-авторизацией при смене MAC-адреса? Насколько я понимаю: 1. На DHCP-сервере реальный IP-адрес выдается при match DHCP opt.82 + MAC-адреса. 2. В остальных случаях выдается IP-адрес из другой подсети и делается редирект на страницу авторизации, где после ввода логина и пароля пользователем на DHCP-сервере удаляется старая запись match. 3. Далее на BRAS'e ищем MAC-адрес который соответствует IP-адресу с формы WEB-авторизации. 4. В БД ищем какая DHCP opt.82 соответствует етому пользователю. 5. Вносим ету запись на DHCP-сервер, удаляя старую dhcp-lease. 6. Ждем пока пользователь получит новые настройки. Изменено 17 сентября, 2012 пользователем mlevel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 26 декабря, 2012 · Жалоба Как раз сейчас тоже используем L2TP VPN, встает вопрос о переходе на что-то "новое". Основная причина этого - низкая производительность роутеров при данном типе авторизации. Или может быть мы как-то неправильно готовим L2TP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 31 декабря, 2012 · Жалоба встает вопрос о переходе на что-то "новое". Если железо управляемое - аутентификация на порту, дхцп с опцией 82 + сорс гард. Если не везде управляемое - то пппое хотя бы юзать. л2тп вроде как по производительности еще печальнее пптп... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 31 декабря, 2012 · Жалоба л2тп вроде как по производительности еще печальнее пптп... наоборот Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
replicant Опубликовано 31 декабря, 2012 · Жалоба л2тп вроде как по производительности еще печальнее пптп... При использовании accel-ppp и новых рутеров Zyxel и D-Link с модифицированным pptp на борту они примерно равны, а на старье всяком l2tp был заметно шустрее. Zyxel вообще свои рутеры позиционирует как оптимизированные для pptp. На компах под Windows лучше pptp. Проще и гарантированно работает как надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 2 января, 2013 · Жалоба http://www.dlink.ru/ru/products/5/1357_b.html Читаем раздел Максимальная скорость Интернета* и так там почти по всем роутерам. IPoE или PPPoE, всё остальное грузит и БРАС и клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...