[Sergey Gilfanov]

1. Идентификацию пользователя в розетке при подключении.

Обеспечивается ключем входной двери квартиры, где розетка стоит. Все что через розетку прошло - его.

 

2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер.

В процессе 802.1x коммутатор доступа отошлет на RADIUS сервер запрос с MAC-ом розетки и номером порта, куда ее воткнули. Это если действительно нужно знать порт. Если розетка пользовательские кадры/пакеты раскрашивает нужным образом, это может быть не обязательно.

 

Она же для того и нужна, чтобы было кому сказать "эта линия такого-то абонента". Ну и для того, чтобы сеть провайдера от MAC-ов пользовательского оборудования заизолировать.

Изменено 8 февраля, 2012 пользователем Sergey Gilfanov

[xcme]

Все остальное, что привязано к порту (ip, mac) - закрепляется за клиентом без участия администратора. В принципе, любой механизм подойдет. Если монтажники перепутают порты - миграцию ip, mac можно отследить смену порта.

Нашим абонентам разрешено иметь до 8 MAC и IP-адресов на порту, привязки к которым (к IP/MAC) нет. Тут отслеживать что-либо бесполезно. Потому порт является единственным идентификатором абонента, который не меняется (всякие ID в биллинге не в счет, т.к. коммутатор о них не знает, а DHCP они не нужны). Ситуация с монтажниками решается просто: при замене коммутатора порты перетыкаются "один-в-один". Если же что-то напутано, то бригада едет снова и наводит порядок, но такого что-то давно не было. :)

 

Минус тут, конечно, в необходимости контроля со стороны админов/диспетчеров, но по другому не получается.

Изменено 8 февраля, 2012 пользователем xcme

[mlevel]

Вопрос: кто как отслеживает смену порта абонента при opt.82?

Видел у нескольких провайдеров, при смене порта абонента редиректят на страницу биллинга, где нужно пройти авторизацию (ввести логин + пароль), после чего Интернет снова работает.

Только не могу понять как это отслеживаеться, без участия администратора.

[dwemer]

по макам?

[sokrat]

Розетка на стене, из которой я и получаю услугу и по которой оператор меня узнает подходит практически полностью.

 

Осталось автоматизировать два момента.

1. Идентификацию пользователя в розетке при подключении.

2. Те же самые действия после ремонтных работ, когда монтажники повтыкали кабела "просто так" в новый или другой роутер.

 

Вот ни когда не интересовался темой использования управляемого железа. 7 лет все крутилось на обычных

мыльницах и никаких проблем типа того, что написано в этой теме. Какая на хрен разница в какой порт

какой кабель забубенел. Пользователь авторизовывается по логину и паролю + привязан по маку.

Ну поменял карту,не сообщил, хрен получит инета, остается помощь зала или звонок другу.

Сейчас что-то решили переходить на управляемое железо, и думаем, после прочтения этой темы,

а стоит игра свеч, с начало тупо создать себе проблемы, а потом с умной рожей ее покорять.

А потом такое понятие как N монтажников штурмовать один хаб, не круто заварено?.

[Gunner]

Еще 1 вопрос - как пользователь смог сменить порт в который он подключен вместе с адресом по которому оказывается услуга ? А если монтажники при смене оборудования напутали - тогда бить по рукам монтажникам. А так Опт 82 рулит и педалит.

[FIGO]

У нас все кабеля биркуются, номером квартиры и номером порта, при замене оборудования кабеля включаются согласно биркам, при каких либо ремонтных работах бригада получает список подключенных квартир и соответствующие им порты на оборудовании. Если по каким то причинам нет возможности определить какой кабель из какой квартиры, то обходят нужные квартиры и таким образом вычисляют кабеля.

[goofgooffy]

PPPoE и никаких проблем. Так называемый IPoE подходит только для предприятий. Для провайдера эта технология весьма идиотская и создает дополнительные проблемы для всех.

[white_crow]

PPPoE и никаких проблем. Так называемый IPoE подходит только для предприятий. Для провайдера эта технология весьма идиотская и создает дополнительные проблемы для всех.

Холиварное утверждение.

Тысячи раз спорили уже...

(новое поколение одминов пришло? : )

В итоге каждый останется при своем.

Пробовал в реальной жизни оба варианта - оба работают без проблем.

Но с IPoE - звонков в саппорт гораздо меньше (ибо не надо - ни пароль, ни какие-то там настройки непонятных PPTP/PPPoE/L2TP etc)

Всунул в розекту и все дела. надо о юзерах глупеньких думать, а не о своих каких-то привычках...

 

P.S. Перепутывать провода в ящике провайдера со свичом доступа - было может 2-3 раза за несколько лет. Не смертельно.

Не так страшно - как если водитель автобуса не туда повернет и упадет в пропасть в египте с русскими туристами, или сотрудники черноб. АЭС чего напутают...

Так это о чем я? А, о том, что люди конечно, ошибаются, но есть инструкции, регламент, бирочки , "пряники и кнуты" - чтобы меньше ошибались.

Каждый монтажник знает - номер порта - это важно, именно по нему определяется однозначно абонент.

Короче Opt82 (VLAN/свич/port) и розетка с надписью "Интернет" - это очень удобно и просто, и нет никаких дополнительных граблей.....

(а вот тунели в 21 веке с безлимитами и скоростями на уровне порта Ethernet - для провайдера - это и есть "идиотизм" : )

(тунели даже не для этого совсем придумали : )

И не надо снова аргументы - что "кто-то врежится в линию" соседа и что-то страшное сделает

(ага, подключится к телефонным проводам соседа и позвонит в израэль на 2000 долларов : )

[white_crow]

Вот ни когда не интересовался темой использования управляемого железа. 7 лет все крутилось на обычных

мыльницах и никаких проблем

Везучий вы человек.

Сколько интересно у вас абонентов?

 

На сети в десятки, сотни тысяч юзеров - иметь мыльницы - "не удобно" : )

Мне больше нравиттся управляемый доступ, там я:

вырезаю левые DHCP сервы, левые PPPoE сервы,

там саппорт может зайти на свич и глянуть в каком состоянии порт клиента, сколько ошибок, какой трафик, какой адрес и когда он получил, и прочее

Там же режется мусор (типа MS (135-139, 445)

Там же легко управляем доступом к TVoIP (MVR, Multicast Filtering/Snooping) c автоматизацией.

Там же защита от петель, броадкаст штормов, ARP спуфинга, зашита от прописывания чужого IP (и даже своего) - только получение с нашего DHCP.

Там же скорость трафика на каждом порту индивидувльно с шагом 64k от 0 до 100M

Там же раздатчикам чужого инета в своей сети можно аккуратненько подрезать скорость для PPPoE/L2TP/PPTP : ) (если чувак нагло и открыто рекламирует перепродажу инета)

Там же мониторинг доступности по SNMP, открываение ящика, температура...

Все это связано с биллингом.

Короче, удобно я вас скажу (свичи Zyxel, если цикаво - вся их линейка упраялемых...)

[goofgooffy]

Холиварное утверждение.

Тысячи раз спорили уже...

(новое поколение одминов пришло? : )

В итоге каждый останется при своем.

Пробовал в реальной жизни оба варианта - оба работают без проблем.

Но с IPoE - звонков в саппорт гораздо меньше (ибо не надо - ни пароль, ни какие-то там настройки непонятных PPTP/PPPoE/L2TP etc)

Всунул в розекту и все дела. надо о юзерах глупеньких думать, а не о своих каких-то привычках...

 

Согласен по поводу PP*. А вы в каждом подъезде ставите по свитчу с поддержкой 82?

[white_crow]

На 2-3 подъезда ставится один ящик.

Когда первый свич заполняется, ставиться еще один свич "сверху" (потом еще один).

Схема - VLAN на дом. Все свичи - управляемые, т.е. тупых нет совсем...

"Услуга на порт" - т.е. один порт - значит один клиент - никаких гирлянд, типа один умный + 4 тупых : )

 

P.S. Я все еще юзаю тунели, потому что:

с них начинали, когда были совсем маленькими и очень привыкли (начинали с нуля - чисто попробовать : ).

Теперь перевалили за 12 тыс физиков, рост продолжается...

Чтобы поменять схему, нужно очень много переделать:

Сейчас очень легко раздавать динамически белые ipv4 в тунели.

NAT не юзается. С "дядей майором" очень удобно - они тебе запрос твоего адреса и время - ты смотришь лог радиуса и даешь ответ (адреса назначения - не дают, поэтому если NATить - то как-то красиво 1 в 1 надо - а я не умею).

Если переходить на IPoE - нужно юзать либо NAT , что очень не хочется по многим причинам (тоже кстати холивар), либо перелопатить внтреннию серую маршрутизацию - на белую.

Но - это огромная работа, и тут большой перерасход белых адресов. И тут я уже задумываюсь - может уже потом сразу на IPv6 переходить : ) (а пока "работает - не трогай!")

Но и тут тоже проблема - свичи поддерживают ipv6 - на уровне "типа есть", но далеко не все важные фишки. Фактически не пригодно для реально работы... И боюсь - прошивкой тут не исправишь - тут аппаратные ограничения.

А денег вложено прилично.

Вот так пока на тунелях и живем - хотя DHCP Опц82 - тщательно протестировано, изучено и вылизано и автоматизировано за 2 года в реальной жизни - работает замечательно у всех абонов сейчас, но в инет все равно пускаем через l2TP - вот такой вот винигред). Хочется уходить от тунелей, ибо звонки в саппорт - 90% - ошибка 800, 807, 619, 691, 734 - короче тунели, такие тунели - то шифрование включат, то адрес сервера не тот, то логин или пароль не тот, то вообще изумление - какой такой еще логин пароль и ВПН :)

жуть короче...

Бедные юзеры...и суппорт...

И уровень юзеров все ниже - проникновение услуги во все слои...

Хотя дело не в слоях - имхо, юзер ничего не должен про это знать, ему должно быть просто и удобно, пусть каждый делает свою работу, я делаю тупую трубу, а они пусть пекут хлеб, водят троллейбусы, бьют оппозицию дубинками,

летают в космос, учат детей алгебре, продают мазь от геммороя, изобретают третью ступень космического корабля и нановундервафли и т.д. : )

 

P.S. А еще хочется пощупать "взрослые" железки, чтобы не голословно учавствовать в холиварах типа "тазики против специализированных девайсов от именитых вендоров".

Но кто ж мне денег даст - когда писюк стоит штуку баков и все работает(и три тазика жуют эти несчастные пару гигабит входящего - на них шейпер, L2TP, netflow, DNS, Firewall, BGP, syslog, snmp и т.д.) - короче все цыгане и медведи в одном флаконе (он и NAS/BRAS и бордер : ). И все это, кстати, на MikroTik ROS. Тобишь наследие пионер-нет : )

Вот принесу я счет на девайс на несколько тыся баков - и мне владельцы бизнесов скажут - "зачем" ? "Что-то не работает" ?

А я такой - "таки работает..., но нужно ведь по -взрослому, а не тазики : )))"

Но не поймут...

(аргументы мне нужны посерьезней. Вроде кто-то тут писал - - до 10G тазики рулят, после - маршики узкозаточенные - та что буду ждать....)

Изменено 1 апреля, 2012 пользователем white_crow

[goofgooffy]

white_crow

Благодарю за развернутый ответ. Я несколько поменял свое мнение относительно Opt82 =)

В бытность моей работы в провайдинге(не админ) везде использовались тупые свитчи с нетегированными VLAN (D-link DES-1008D), доступ по PPPoE и все это было просто, понятно и относительно недорого. Никаких привязок к портам и MAC-адресам. Легко свитчи менять можно, если сгорел или портов не хватило. Но саппорт конечно зашивается с туннелями, это есть.

 

Вопрос следующий: дороже или дешевле строить сеть на основе IPoE? И на сколько. А также насколько снижается нагрузка на BRAS?

[white_crow]

Простого ответа нет.

Строить IPоE можно сильно по разному, так же как и PPPoE строить можно по-разному (и там и там есть много решений).

Если сравнивать схему с тупым доступом + PPPoE на писюках - это дешево, но Вы сами понимаете, что есть недостатки (которые обсудили выше).

За простоту для юзеров (отказ от тунелей), за управляемость и надежность - конечно нужно заплатить (умный доступ стоит прилично). И тут вы сами выбираете - платить за это или нет, есть такая возможность и желание конкретно у Вас или нет.

Нагрузка на BRAS - я бы сказал, что в общем объеме - ppp не особо то и много кушает ресурсов, гораздо больше тянет шейпинг, firewall, NAT (если есть).

 

Но в целом конечно - строить сеть на основе IPoE - дороже.

И тут от масштабов зависит. Если юзеров десяки тысяч - суппорт охреневает по телефону объяснять про ВПН каждому юзеры, переустановившему венду : )

Изменено 2 апреля, 2012 пользователем white_crow

[white_crow]

Легко свитчи менять можно, если сгорел или портов не хватило

С умным доступом это тоже делается очень легко -

Все свичи пронумерованы по порядку (и наклейка на них вешается).

Копии конфигов храняться на корпоративном FTP.

Залить конфиг - 2 минуты - пару кликов мыхой.

Все автоматизировано и связано с биллингом.

[white_crow]

У всех были такие случаи в жизни?, кто до сих пор юзает ВПН:

звонит чел в саппорт, через слово "***".

- "Ни*уя ваш инет не пашет, гандоны"

- Давайте проверим настройки ВПН, нажмите "пуск - подключения - отобразить все подключения - новые подключения - мастер... - далее - тип подключения - ... -.... - ввести логин"

- "Я - сварщик, а не программист, ***, - я не разбираюсь, где тут пуск, и где тут логин, и где тут дабл ю и энтер!!! Придите мне и настройте, суки - за что я Вам такие деньги плачу!!!!"

... и трубку об землю кидает

И так каждые 5 минут кто-нить звонит...

 

Вы все еще юзаете тунели? : )

 

P.S. Автоконфигугратор ВПН на сайте ситуацию ничуть не спасает. сварщик все равно либо не асилит зати на сайт скачать и запустить и потом найти ярлык,

либо по-любому ниасилит логин и пароль свои ввести : )

(Но и не должен. Он должен тока тиснуть на ярлык IE - тыкнуть в закладочку яндекса и в нем набрать - ризультаты мачча Рига - стамбул

 

P.S. В случае с IPoE - юзер по порту определяется - и получает автоматом параметры по DHCP - у него Инет работает на любой ОСи - из каропки - без всяких телодвижений, и переустанваливают пусть хоть каждый день...

И ноуты любые пусть меняет и сетевухи - MACи принципиально не собираем.

И юзаем патч DD к ISC DHCP (на этом форуме нашел - добрый человек изменил пару строк в исходнике, чтобы игнорить маки)... Дай бох ему здоровья...

Изменено 2 апреля, 2012 пользователем white_crow

[Ilya Evseev]

Вопрос следующий: дороже или дешевле строить сеть на основе IPoE? И на сколько. А также насколько снижается нагрузка на BRAS?

У нас в сети первоначально использовались pptp и pppoe.

Затем была добавлена поддержка ipoe.

У саппорта, подключальщиков, клиентов и сервиса была возможность выбора.

Результат - все дружно выбрали ipoe.

Нагрузка на шлюзы сократилась примерно вдвое, плюс существенно упростились настройки.

 

Хотя определённые достоинства у pppoe есть.

[white_crow]

Хотя определённые достоинства у pppoe есть.

Конечно есть. Но только для самого провайдера, а не для юзера : )

 

Единтсвенный нюанс - если у вас пока еще дорогой инет, и есть помегабайтные тарифы - иметь логин и пароль - для юзера это "спокойней"

(этот тот пресловутый эффект "причастности" юзера к факту подключения/отключения к мировой паутине, о котором тоже много раз говорили)

[white_crow]

Ну и папа может запретить дочке юзать инет за плохое поведение (пароль сменить). Хотя с IPoE должна быть такая же возможность (входишь в кабинет - и отключаешь инет - но опять же нужено запоминать логин и пароль : )

[mlevel]

Подскажите как реализуется схема DHCP opt.82 с WEB-авторизацией при смене MAC-адреса?

 

Насколько я понимаю:

1. На DHCP-сервере реальный IP-адрес выдается при match DHCP opt.82 + MAC-адреса.

2. В остальных случаях выдается IP-адрес из другой подсети и делается редирект на

страницу авторизации, где после ввода логина и пароля пользователем на

DHCP-сервере удаляется старая запись match.

3. Далее на BRAS'e ищем MAC-адрес который соответствует IP-адресу с формы WEB-авторизации.

4. В БД ищем какая DHCP opt.82 соответствует етому пользователю.

5. Вносим ету запись на DHCP-сервер, удаляя старую dhcp-lease.

6. Ждем пока пользователь получит новые настройки.

Изменено 17 сентября, 2012 пользователем mlevel

[Butch3r]

Как раз сейчас тоже используем L2TP VPN, встает вопрос о переходе на что-то "новое". Основная причина этого - низкая производительность роутеров при данном типе авторизации. Или может быть мы как-то неправильно готовим L2TP?

[NiTr0]

встает вопрос о переходе на что-то "новое".

Если железо управляемое - аутентификация на порту, дхцп с опцией 82 + сорс гард. Если не везде управляемое - то пппое хотя бы юзать. л2тп вроде как по производительности еще печальнее пптп...

[Wingman]

л2тп вроде как по производительности еще печальнее пптп...

наоборот

[replicant]

л2тп вроде как по производительности еще печальнее пптп...

При использовании accel-ppp и новых рутеров Zyxel и D-Link с модифицированным pptp на борту они примерно равны, а на старье всяком l2tp был заметно шустрее.

 

Zyxel вообще свои рутеры позиционирует как оптимизированные для pptp.

 

На компах под Windows лучше pptp. Проще и гарантированно работает как надо.

[Shiva]

http://www.dlink.ru/ru/products/5/1357_b.html

Читаем раздел Максимальная скорость Интернета* и так там почти по всем роутерам.

IPoE или PPPoE, всё остальное грузит и БРАС и клиента.