Тип контенту
Профили
Форум
Календарь
Сообщения додав Gang
-
-
Но маки собирать все равно нужно, просто собирать и хранить.
Так для этого и существует аккаунтинг в радиусе. По сессиям в базе сразу вижу кто когда чего менял.
Я об этом и говорил. Только более автоматизировать.
-
Подскажите как реализуется схема DHCP opt.82 с WEB-авторизацией при смене MAC-адреса?
Насколько я понимаю:
1. На DHCP-сервере реальный IP-адрес выдается при match DHCP opt.82 + MAC-адреса.
2. В остальных случаях выдается IP-адрес из другой подсети и делается редирект на
страницу авторизации, где после ввода логина и пароля пользователем на
DHCP-сервере удаляется старая запись match.
3. Далее на BRAS'e ищем MAC-адрес который соответствует IP-адресу с формы WEB-авторизации.
4. В БД ищем какая DHCP opt.82 соответствует етому пользователю.
5. Вносим ету запись на DHCP-сервер, удаляя старую dhcp-lease.
6. Ждем пока пользователь получит новые настройки.
К чему провайдеру МАС абонента? К чему ему вообще какая-либо авторизация?
Вы провели абоненту кабель в квартиру, воткнули этот какбель в свой ФИКСИРОВАННЫЙ порт на КОНКРЕТНОМ свиче. Абонент не имеет возможности сменить порт на свиче доступа (или у кого-то это не так?). Стало быть, однозначно идентифицировать абонента достаточно по связке свич+порт - что и делает опция 82.
Объясните мне, тупому, - на кой после этого к этому порту абонента привязывать МАС????!!!! Хочет абонент пихать кабель провайдера в каждую подходящую дырку в своей квартире - ну и пусть себе на здоровье пихает до полного удовлетворения. Дырка, в которую воткнули кабель провайдера должна ВСЕГДА получить свой IP по DHCP. Условие для этого должно быть только одно - наличие достаточного бабла на счете абонента в билинге. К чему создавать абоненту сложности в этом процессе? Это ведь только стимулирует его слинять к тому провайдеру, где нет сложностей с настройками/авторизациями и прочими задрочками.
Единственное, что оправдано в некоторых случаях - привязка к порту доступа фиксированного IP. Это иногда приятно абонентам (хотя и не всем), это, безусловно, очень удобно провайдеру (статистику проще вести). Но даже и эта бадяга никчему, если у провайдера дефицит белых IP.
Все так, полностью поддерживаю. Будь то option82 или cvlan.
Но маки собирать все равно нужно, просто собирать и хранить. Для случаев : вырезали всю витуху, все абоненты перепутались. Вот к этому система должна быть готова. Что если известный мак выпрыгнул с другого порта на том-же коммутаторе - не хорошо и надо поправить.
-
2Gang я бы не был так однозначен.
А я бы был, но вопросы религии обсуждать бессмысленно
Насчет как лучше использовать - смотря у кого как есть сейчас - механизм авторизации, и кто как хочет.
Хоть по влану на онушку, а сверху все вланы из олт в куинку и гнать на брас.
Влан на порт олт, влан на все порты - как кому удобно.
Ну и я специально достал ОЛТ, которая много месяцев пылиться на полке и проверил, может показалось, а нет :
Switch_config#ip dhcp-relay ? snooping -- Configure DHCP Snooping parameters Switch_config#ip dhcp-relay snooping ? database-agent -- Configure DHCP Snooping binding backup TFTP server db-file -- Configure DHCP Snooping binding backup file namer information -- Configure DHCP Snooping information vlan -- Configure DHCP Snooping vlan interface write-time -- Configure DHCP Snooping binding backup interval
Если все работает как надо, что надо оттестить - то вот вам и опшинс82.
-
Рассматриваю внедрение PON-a в частном секторе и возникает вопрос: Как быть с доступом и авторизацией?
Сейчас разбито на вменяемого размера VLAN-ы и PPPoE для Интернета.
Как правильнее поступить с PON?
VLAN на OLT?
VLAN на дерево?
Или может VLAN на ONU и никакого PPPoE не нужно? Тогда, не упираемся ли в ограничение по количеству VLAN-ов на OLT?
Подскажите, кто как делает?
Я бы Вам посоветовал Vlan на ветку. По умолчанию абоненты изолированы друг от друга в пределах одной ветки.
Ну а PPPoE не нужно - в любом случае
-
Тоже очень интересно ?dtel - на экстримах построен ?
Все еще да, на сколько знаю.
-
Проапгрейдили пля...
Это провокация , бета-тестирование !
Если бы поставили Д-линк я бы не удивлялся. Но вот от экстрима не ожидал...
пфффф, вот как раз от них и стоило ожидать. у них убогий софт был всегда, что не отменяет конечно и убогость глинка в этом же плане)
-
Господа, если бы вы подавали документы в НКРЗ лично, и указали оборудовани фирмы длинк, то знали, что у длинка на оф.сайте есть только 1 пригодный сертефикат - это серия 3200.
Обратите внимание, что на этом сертефикате стоит 2 печати и он не на такой бумаге распечатан как все остальные. Обязетельно на серте должны быть 2 печати, там где 1 - сертефикат не действителен для "органов".
Вы правы.
П.С. Указали циски - все хорошо
-
А в УкрСЕПРО не звонил?
Вот позвонил. Сказали что нам морочат голову и не понимают в чем дело. И что пусть дают в письменном виде почему их не устраивает и обращаться в суд .....
Какой АД
Может кто сталкивался? Что делать то?
-
Видимо потому не приняли, что срок действия этих сертификатов до марта 2012-го года, нет?
Ищи свежие... Можно попробовать в длинк позвонить.
http://dlink.ua/site...tificate_52.jpg - до 2013 года
Думаю проблема в том, что в ихнем перечне УкрСЕПРО отсутствует.
Позвонил длинк, сказали, что не понимают в чем проблема, попросили вопрос на мыло еще отослать.
-
Добрый день!
НКРЗи запросили перечень коммутаторов и сертификатов
Дали им :
1. D-Link DGS-3426 - комутатор, агрегація локального трафіку , cертифікат на продукцію серії DGS зареєстровано в реєстрі за №UA1.162.0048078-12.
2. D-Link DGS-3100-24TG – комутатор, агрегація локального трафіку, cертифікат на продукцію серії DGS зареєстровано в реєстрі за №UA1.162.0048078-12.
Сертификат был взят на сайте Глинка. Сказали, что они не признают эти сертификаты и предложили поискать другие.
Дали ссылку на перечень органов сертификации технических средств телекоммуникаций : http://www.nkrzi.gov...7665/1295962020
Помогите найти сертификаты, или советом )
Вопрос горящий.
Спасибо!
-
А как можно взять что-то отдельно без своих адресов? Что по вашему аплинк будет в ua-ix анонсировать? Или он нарежет /24 или даже /23 своих адресов, изуродует себе всю маршрутизацию, но таки нальет вам халявного трафика?
Префиксы налить клиенту без проблем можно, хоть по ospf, хоть по bgp. Но на кой они нужны если входа не будет?
Он может хоть /32 принять анонс своих же сетей. Потом агрегатно проанонсить просто.
-
AC name сервера точно сообщают разные? tcpdump в помощь, посмотреть ответ на PADI.
Если разные - то пинать mpd, какого он не понимает опцию. Ну или таки поставить православный rp-pppoe (на бзде он вроде как живет, хоть и плохо и в юзерленде)
Крайний вариант - скриптовый костыль в ip-up или чего там в бзде аналогичного, дисконнект при коннекте к некошерному серверу.
Я к тому, что серевера скорее всего игнорят AC name в запросе клиента.
-
поставьте mpd
Топик не читай. Комменты сразу оставляй.
2Tc. На сколько помню если на стороне сервера не настроено иного - то никак, кто раньше встал - того и тапки.
-
Ее можно наполнять и без рестарта, по OMAPI.
Да-да, давно хотел попробовать, но так себя и не заставил
-
Пардон, мой выложен немного не там - в соседней теме, где-то на 7 странице.
На каждый DHCPDISCOVER дергается база?
Ви таки гавагите, будто это что-то плохое.
Да. Запросы там простые, как два пальца об асфальт, разницы в нагрузке (около 2к юзеров на сервер) я не заметил.
Я вижу сие только как отдельный промежуточный слой между юзером и базой биллинга, который "кешируется" и обновляется по чейнж ивентам из биллинга. Ибо не у всех в биллинге простая логика БД, а каждый раз дергать ее тяжелыми запросами со множеством джойнов - не комильфо.
Плюс если крутить к аппаратным брасам, то нужен еще и радиус, что делает все очень громоздким
У dhcp-сервера своя база. Я её просто из биллинга наполняю.
Тогда что мешает так-же наполнять файл leases для ISC DHCPd?
Единственный плюс - что не нужно рестартить.
-
Пардон, мой выложен немного не там - в соседней теме, где-то на 7 странице.
На каждый DHCPDISCOVER дергается база?
Ви таки гавагите, будто это что-то плохое.
Да. Запросы там простые, как два пальца об асфальт, разницы в нагрузке (около 2к юзеров на сервер) я не заметил.
Я вижу сие только как отдельный промежуточный слой между юзером и базой биллинга, который "кешируется" и обновляется по чейнж ивентам из биллинга. Ибо не у всех в биллинге простая логика БД, а каждый раз дергать ее тяжелыми запросами со множеством джойнов - не комильфо.
Плюс если крутить к аппаратным брасам, то нужен еще и радиус, что делает все очень громоздким
-
Пардон, мой выложен немного не там - в соседней теме, где-то на 7 странице.
На каждый DHCPDISCOVER дергается база?
-
Тему можно закрывать. Сдается мне на 65-й серии - нереально. Задачу решил дополнительным глинком, который собственно и пакует
-
Добрый день!
Есть 3560(на ней через петлю пакуется qinq), ее необходимо заменить на 6503(720-3b).
В итоге не работают вланы, которые терминируются на самой циске, с транзитными все хорошо.
После долгих мытарств в продакшине собрал стенд на другой 6509 тоже sup720-3b
и точно такой-же модуль, где заворачивается петля :
2 24 CEF720 24 port 1000mb SFP WS-X6724-SFP
Иос тут adventerprisek9_wan-mz.122-33.SXH.bin, но дело не в нем - там пробовал и SXI6 и SXH8a
Собственно : схема 6509(qinq loop) - транспорт - dlink 3120-24-sc(распаковывает) - D-Link 3528 - Комп
Привожу конфиги :
! interface GigabitEthernet2/3 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 81 switchport mode trunk mtu 9216 no cdp enable no lldp transmit no lldp receive end interface GigabitEthernet2/7 switchport switchport access vlan 80 switchport mode dot1q-tunnel switchport nonegotiate mtu 9216 no cdp enable no lldp transmit no lldp receive spanning-tree bpdufilter enable spanning-tree bpduguard enable end interface Vlan81 description qinqcvlan ip address 192.168.48.250 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp arp timeout 300 ! interface Vlan80 description qinqtest no ip address !
Ну и дальше влан отдается в "транспорт"
Глинк (порт 8 - транспорт , 1 - доступ) :
enable jumbo_frame config vlan default delete 1:1-1:24 config vlan default advertisement enable create vlan qinq tag 80 config vlan qinq add tagged 1:8 config vlan qinq add untagged 1:1 advertisement disable enable qinq config port_vlan 1:1 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 80 config port_vlan 1:8 gvrp_state disable ingress_checking disable acceptable_frame admit_all pvid 1 config qinq ports 1:1 role uni missdrop disable outer_tpid 0x8100 config qinq ports 1:1-1:24 add_inner_tag disable config qinq ports 1:2-1:24 role nni missdrop disable outer_tpid 0x8100
Пробовал и с влан транслейшин - сути не меняет.
Дефолтный TPID на циске 0x8100.
Отзеркалил порт 8 с глинка.
Когда пингуешь с циски приходит пакет, показывает езертайп 0х8100. Показывает влан 80, потом показывает внутренний влан 81. Пакет улетает компу, комп на него отвечает и пакет улетает назад. На циске ничего.
Если пинговать с компа, циска не отвечает.
Буду очень признателен за помощь!
http://forum.nag.ru/...=0&gopid=750966 - обсуждение на наге.
-
Огромное спасибо!
А как с маштабированием? На вайред спид,хоть приблизительно, стоит рассчитывать при IPoE(любой вариант) ?
-
Куплю такой кабель питания, фирменный не обязательно
-
Добрый день!
Куплю :Cisco 5000/6500/7500 AC Power Cable, Europe CAB-7513ACE - 2 шт.
В пм, пожалуйста!
Спасибо!
-
Вы обещали рассказать подробней о брас функционале после внедрений.
Что-как, сколько сабскрайберов держит, как терминируется и тд и тп..
Будет такое?
-
Может есть что рассказать? Какую-то суцесс стори с подробностями, например
Удаленность районов
в Пошук мереж
Опубліковано:
190 по L2