Перейти до

технология серверов доступа


технология серверов доступа (голосование)  

194 пользователя проголосовало

  1. 1. какая технология серверов доступа у вас?

    • vpn
      63
    • ppoe
      48
    • (ip/mac) +- (login/password) based
      100
    • нечто свое
      10


Рекомендованные сообщения

Используем pppoe, очень удобно. Минусов как таковых у технологии нет, халявное масштабирование(и заодно резервирование серверов, в случае смерти любого оставшиеся перераспределят нагрузку - у пользователя будет однократный обрыв связи с мгновенным переподключением), уровень доступа может быть даже на мыльницах, нагрузка на сервера и клиентов ЗНАЧИТЕЛЬНО ниже чем с pptp даже без шифрования/сжатия..

А мултикасты юзаете, елси да то как?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 67
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Я придерживаюсь идеи что про маки в ручную лучше забыть, а вот по опции 82 на порт, и автоматом биндить другое дело. В случае 100% управляемых свитчей на доступе, при дубовых свитчах я бы делал влан

Мультикаст пока не используем, не вижу каких-либо проблем. В тоннель идет только инет-трафик, локалка маршрутизируется. Соответственно будет работать или нет, зависит только от свичей стоящий между абонентом и ядром.

 

Была когда-то мысль сделать и терминирование локалки через pppoe, получится мечта бедного админа - на копеечном железе полностью маршрутизируемая сеть. Но пока идея не реализована.

Ссылка на сообщение
Поделиться на других сайтах

Тоже для частного сектора планирую перетащить все на пппое, фтпшники и прочую чушь тоже за пппое уберу, что бы без тунеля, седел хомячек в л2 сегменте на пару чел и куковал.

Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста. Выбор между ppoe и dhcp+mac.

Если в сети поставить управляемые свитчи с привязкой к мак-адресам. Достаточно ли этого для безопасности и для расширения сети?(Выделять реальные ip). Очень хотелось бы так реализовать, так как клиентам меньше процессорных мощностей прийдётся тратить.

Ссылка на сообщение
Поделиться на других сайтах

Я придерживаюсь идеи что про маки в ручную лучше забыть, а вот по опции 82 на порт, и автоматом биндить другое дело. В случае 100% управляемых свитчей на доступе, при дубовых свитчах я бы делал влан ня юзера и циска с unnumbered vlan, а в случае нормальных свитчей на доступе влан на дом и по опции 82 на порту индефицировать абонента + ацл.

Ссылка на сообщение
Поделиться на других сайтах

По поводу Вланов просветите. Насколько мне известно их обычно в свитчах максимум 256. Это ж ведь на всю сетку, или я неправильно думаю.

Ссылка на сообщение
Поделиться на других сайтах

На свитчах агрегации давненько не видел уже 256 вланов. На доступе даже на дубовых, если я не ошибаюсь 256 вланов, но id 4 тыс как положено. На наге человек предлагал интересную схему с вланами, когда всего их было как портов доступа в 1 точке, а потом уже на агрегации aclями их изолировали друг от друга и дальше доводили до циски с unnumbered vlan.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
[-RaY' date=26 Февраль 2010 - 19:03' timestamp='1267203836' post='151581]

Тоже для частного сектора планирую перетащить все на пппое, фтпшники и прочую чушь тоже за пппое уберу, что бы без тунеля, седел хомячек в л2 сегменте на пару чел и куковал.

Можно сделать красивее, чтобы юзеры не строили вообще никаких тунелей. На ближайшем к юзеру свиче с л3-ацл (например на агрегации) просто на порт этого свича (куда линк юзера агрегируется) вешается разрешающая полиси для source-IP этого юзера. Соответственно, в более старшем профиле запретить все входящие IP. Не заплатил за кефир - ацл убирается, дальше агрегатора юзер из своего л2-сегмента не выпрыгнет. Перебор IP ему при этом ничего не даст - либо получит в ответ конфликт IP с соседом по тупому свичу, либо тишину.

Ссылка на сообщение
Поделиться на других сайтах

Рассматривал такой вариант, но меня отпугнул масштаб костылей которые придется городить в моем случае, потому как во 1 все ипы в инет реальные, все выдается из пула, а локалка тоже дхцп, и тоже без каких либо привязок. Была идея суперовых костылей, я на наге расписывал её, но появились проблемы с понятием сессии и производительностью\надежностью костыля который на основе вэб авторизации дергает дхцп сервер и acl на свитчах . Была идея в работе схожая с гостевым вланом, только решалось путем, выдачи всем не авторизированным серого ип которому доступна только хттпс логин страничка(на которую любой 80 траф заварачивался), и в случае авторизации, смена ипа и прибивание ацл на свитч.

Ссылка на сообщение
Поделиться на других сайтах
[-RaY' date=09 Март 2010 - 15:44' timestamp='1268142272' post='152923]

Была идея в работе схожая с гостевым вланом, только решалось путем, выдачи всем не авторизированным серого ип которому доступна только хттпс логин страничка(на которую любой 80 траф заварачивался), и в случае авторизации, смена ипа и прибивание ацл на свитч.

Я так понял из других постов что у вас опт82 юзается, то есть для контроля локали вы юзера идентифицируете с портом доступа без каких-либо телодвижений (авторизации) с его стороны, так? Это во многоэтажках. В частном секторе проблема с умным доступом (не сильно рентабельно), а задачу контроля выхода юзера в локаль надо решать. Вы решили там добавить авторизацию и на доступ в локаль. Я же просто для ftth-сегментов заменил дхцп на статику (не так уж там много абонентов :) ). Это выливается в небольшой перловый костыль к биллингу для развешивания ацл по агрегаторам и все. Только еще поправочка - на агрегаторах надо всегда безусловно разрешать выход юзеру на веб-страницу личного кабинета.

Ссылка на сообщение
Поделиться на других сайтах

Не хочется лишатся динамики и белых адресов, нужен серьезный костыль, с ip unnumbered , вэб авторизацией и vlan acl. Вынашивал эту идею месяц, потом стало все уж очень сложно, решил все таки пппое с программкой которая автоматом создает подключение будет проще.

 

Если интересно

http://forum.nag.ru/forum/index.php?showtopic=53989&st=0&p=465642

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Даа, раньше таким не хвастались.

то раньше, сейчас другие нормы

как бы 100 мбит/с за червонец предполагает соответствующее качество

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...