1. У вас есть связь по IPv6 на рабочем месте?

[alks]

 

PS: cамые большие сложности со стартом в в6:

- не упасть со стула узнав что в IPv6 не 6 байт в адресе а 16 %)

- собраться духом и получить связность (выбрать удобный способ получения, удобного брокера и зарегатся у туннельного брокера, настроить ОС по инструкции с сайта);

- узнать как же правильно записывать адрес:порт для в6 адресов (тут и правда неудобство в формах и типа стандартной форме);

- при рассказе: "У меня уже есть IPv6" ответить на вопрос: "Нафига?" )

 

 

вот это самые простые вещи, к тому-же райп ipv6 выдает за 1 день влет не задавая никаких вопросов

Проблемы

 

1. как отдать клиенту

2. как подвязать билинг на эту порнографию

3. как прозрачно авторизовать клиента если у тебя ipoe

[Дятел]

У меня только 1 и 3. Мне почему-то кажется, что биллингу всё равно какой адрес выдается абонету, а резать скорости и выключать SCE8K умеет....

[Ivan_83]

3. как прозрачно авторизовать клиента если у тебя ipoe

По маку/влану/опции82(аналог) выдавать адрес, далее работать уже с ним.

Либо с маком.

[alks]

У меня только 1 и 3. Мне почему-то кажется, что биллингу всё равно какой адрес выдается абонету, а резать скорости и выключать SCE8K умеет....

 

ну в принципе из трех вариантов 2 наименее геморный

а вот КАК и ЧТО отдать клиенту учитывая что у меня ipoe, влан на дом и жесткая выдача ip в порт клиента (похеру какой у него мак)

я вот до сих пор не знаю

[Sergey Gilfanov]

ну в принципе из трех вариантов 2 наименее геморный

а вот КАК и ЧТО отдать клиенту учитывая что у меня ipoe, влан на дом и жесткая выдача ip в порт клиента (похеру какой у него мак)

я вот до сих пор не знаю

А как это жесткая выдача IP в порт делается?

[alks]

через option 82

[Дятел]

дык она и для v6 есть...

[woddy]

дык она и для v6 есть...

и даже работает? на всех моделях длинков? :)

[Дятел]

Ссылку на презентацию Длинка на КРОСЕ смотри в соседней теме...

[xcme]

DHCP для IPv4 они никак не допилят уже многие годы, что уж про IPv6 говорить. На форуме D-Link'а каждая n-ная тема про баги dhcp_relay и связанные с этим глюки.

[andryas]

3. как прозрачно авторизовать клиента если у тебя ipoe

По маку/влану/опции82(аналог) выдавать адрес, далее работать уже с ним.

Либо с маком.

 

Не только авторизировать, но и шейпить по MAC. Тогда вообще всё равно, какой IP и какой он версии.

[Картуччо]

Не надо привязываться к мак адресу. Сейчас в типичной квартире далеко не одно устройство с езернет портом и маршрутизаторы могут меняться.

Провайдер с привязкой мак адресов это еще хуже, чем pppoe/pptp/l2tp. Я от такого провайдера ушёл при первой же возможности, он правда комбинировал вообще полный кошмар - убогий адсл, пппое, привязку мак адреса. Как раз проблемы с привязкой мак составили большинство звонков в техподдержку.

[andryas]

Сейчас в типичной квартире далеко не одно устройство с езернет портом и маршрутизаторы могут меняться.

А если MAC устройства вдруг случайно изменится на MAC соседа, или BRAS'а? Или вообще на порту абонента появится 100500 маков?

Провайдер с привязкой мак адресов это еще хуже, чем pppoe/pptp/l2tp. Я от такого провайдера ушёл при первой же возможности, он правда комбинировал вообще полный кошмар - убогий адсл, пппое, привязку мак адреса. Как раз проблемы с привязкой мак составили большинство звонков в техподдержку.

 

У нас почему-то совсем наоборот. После ухода с PPP количество обращений в поддержку снизилось в разы. Смена MAC может производится как в телефонном режиме (поддержкой), так и полуавтоматически, путём подтверждения смены MAC-адреса на сайте авторизации ("Система авторизации обнаружила подключение к сети нового устройства. Для получения доступа в Интернет подтвердите новый сетевой идентификатор вводом пароля"). Там же производится проверка уникальности MAC-адреса. Хотя практика показывает, что смена MAC - сравнительно редкое явление.

[Картуччо]

А если MAC устройства вдруг случайно изменится на MAC соседа, или BRAS'а? Или вообще на порту абонента появится 100500 маков?

Как минимум Билайн как-то решает этот вопрос, никакой привязки маков нет, включаю что хочу.

Да и не только Билайн.

 

путём подтверждения смены MAC-адреса на сайте авторизации

Тот провайдер (ныне МТС) требовал прихода в офис с паспортом для написания бумаги на смену/добавление мак адреса.

[woddy]

Тот провайдер (ныне МТС) требовал прихода в офис с паспортом для написания бумаги на смену/добавление мак адреса.

ну это уже клиника. у нас смена МАС занимает полторы минуты. из которых 30 секунд дозвон до техподдержки, 10 секунд диктуешь девочке номер договора, и еще 50 секунд тупит биллинг применяя изменения.

[s.lobanov]

А если MAC устройства вдруг случайно изменится на MAC соседа, или BRAS'а? Или вообще на порту абонента появится 100500 маков?

Как минимум Билайн как-то решает этот вопрос, никакой привязки маков нет, включаю что хочу.

Да и не только Билайн.

 

У моего коллеги домашнее подключение от билайна. Как-то ради прикола запустили tcpdump на интерфейсе в сторону билайну и просто ужаснулись от количества мусорных бродкастов и мультикастов, экспериментировать с подстановкой мака шлюза и подобными пакостями не стали(не захотели лишать соседей интернета), но стало очевидно, что особо не защищаются. Мало того, у меня есть подтверждение от dlink(привожу его для примера, раз говорим о билайне), что в кольцевых топологиях в модели shared-vlan нельзя защиться от подстановки мака браса/шлюза абонентом(acl не влияет на learning) на коммутаторах des3200(A1 и B1)

Ограничивать кол-во маков вроде все популярные L2+ свитчи умеют.

 

Просто проблема с школохацкерами, как правило, ограничивается либо одним свитчом, либо кольцом, что капля в море для крупного оператора.

[woddy]

а объяснить как настроить пппое домохозяйке заняло бы не менее 10 минут

[DelSt]

А если MAC устройства вдруг случайно изменится на MAC соседа, или BRAS'а? Или вообще на порту абонента появится 100500 маков?

Как минимум Билайн как-то решает этот вопрос, никакой привязки маков нет, включаю что хочу.

ДА, но не более 5 маков на порту, насколько я знаю.

 

У моего коллеги домашнее подключение от билайна. Как-то ради прикола запустили tcpdump на интерфейсе в сторону билайну и просто ужаснулись от количества мусорных бродкастов и мультикастов, экспериментировать с подстановкой мака шлюза и подобными пакостями не стали(не захотели лишать соседей интернета), но стало очевидно, что особо не защищаются. Мало того, у меня есть подтверждение от dlink(привожу его для примера, раз говорим о билайне), что в кольцевых топологиях в модели shared-vlan нельзя защиться от подстановки мака браса/шлюза абонентом(acl не влияет на learning) на коммутаторах des3200(A1 и B1)

Ограничивать кол-во маков вроде все популярные L2+ свитчи умеют.

 

Просто проблема с школохацкерами, как правило, ограничивается либо одним свитчом, либо кольцом, что капля в море для крупного оператора.

С учётом купленного зоопарка думаю можно встретить что угодно, но лично видел конфиг свитча доступа ШПД построенного совинтелом - там есть функционал сродне dynamic arp inspection. Притом он есть и на dlink и на alcatel.

Изменено 11 июня, 2012 пользователем DelSt

[s.lobanov]

dynamic arp inspection. Притом он есть и на dlink и на alcatel.

 

емнип, если отправить dhcp-discover с маком браса/шлюза, то он всё равно будет в fdb свитча на абонентском порту. поправьте, если ошибаюсь, уже год прошёл как я тестировал длинк по этому поводу

[pppoetest]

ну это уже клиника. у нас смена МАС занимает полторы минуты. из которых 30 секунд дозвон до техподдержк

Вася пупкин врезал рутер в кабель к абону, за рутер абона пересадил и названивает: блаблабла сменил мак

Изменено 12 июня, 2012 пользователем pppoetest

[Alex/AT]

емнип, если отправить dhcp-discover с маком браса/шлюза, то он всё равно будет в fdb свитча на абонентском порту. поправьте, если ошибаюсь, уже год прошёл как я тестировал длинк по этому поводу

А вот тут VLAN-per-user спасает очень и очень здорово, можно отправлять хоть до посинения - никого, кроме себя, абонент не затронет. Но для основных вариаций на тему IPoE в сетях доступа окажется практически неприменимо.

Изменено 12 июня, 2012 пользователем Alex/AT

[Ivan_83]

Не только авторизировать, но и шейпить по MAC. Тогда вообще всё равно, какой IP и какой он версии.

Я тоже был сторонником такого варианта, но он реально менее удобен.

Удобнее всего оперировать подсетями IPv4 / IPv6.

Те доступ должен выдавать адреса, контролировать привязку мака/порта/влана, а дальше шейпить/роутить уже подсетями.

[Wingman]

а вот КАК и ЧТО отдать клиенту учитывая что у меня ipoe, влан на дом и жесткая выдача ip в порт клиента (похеру какой у него мак)

я вот до сих пор не знаю

Примерно та же ситуация, те же думки думаю =)

Скорее всего рано или поздно придётся мигрировать на vlan-per-user -- как только найдётся подходящий, вменяемый брас, умеющий что-то вроде ISG, qinq/vlan per user, нат (ну например редбек до ума доведут)

Тем более, что пару тысяч 3526 выкидывать тоже жалко, а на них варианты ipv6 - только ppp либо vlan per user

[Alex/AT]

Примерно та же ситуация, те же думки думаю =)

Скорее всего рано или поздно придётся мигрировать на vlan-per-user -- как только найдётся подходящий, вменяемый брас, умеющий что-то вроде ISG, qinq/vlan per user, нат (ну например редбек до ума доведут)

Тем более, что пару тысяч 3526 выкидывать тоже жалко, а на них варианты ipv6 - только ppp либо vlan per user

Наша софтовая разработка (x86-64) умеет вариант *SG, PPPoE/PPTP (IPv4), QinQ/VLAN-per-user (как для PPPoE, так и для IPoE), однотипную схему авторизации и учёта всего добра на базе RADIUS (включая IPoE - IP/MAC binding).

IPv4oE сделано, обкатывается, IPv6oE в разработке, static и pool-based SNAT/SPAT для IPv4 обдумывается. В разумные сроки надеемся довести до логического завершения (остаток фич, полноценная документация, etc.).

Изменено 13 июня, 2012 пользователем Alex/AT

[Wingman]

Примерно та же ситуация, те же думки думаю =)

Скорее всего рано или поздно придётся мигрировать на vlan-per-user -- как только найдётся подходящий, вменяемый брас, умеющий что-то вроде ISG, qinq/vlan per user, нат (ну например редбек до ума доведут)

Тем более, что пару тысяч 3526 выкидывать тоже жалко, а на них варианты ipv6 - только ppp либо vlan per user

Наша софтовая разработка (x86-64) умеет вариант *SG, PPPoE/PPTP (IPv4), QinQ/VLAN-per-user (как для PPPoE, так и для IPoE), однотипную схему авторизации и учёта всего добра на базе RADIUS (включая IPoE - IP/MAC binding).

IPv4oE сделано, обкатывается, IPv6oE в разработке, static и pool-based SNAT/SPAT для IPv4 обдумывается. В разумные сроки надеемся довести до логического завершения (остаток фич, полноценная документация, etc.).

 

Очень интересно; это всё в виде софта на *nix, или как отдельный закрытый дистрибутив? Будет в открытом доступе? На сегодняшний день поподробнее негде почитать? =)