технология серверов доступа

[JMan 1]

Используем pppoe, очень удобно. Минусов как таковых у технологии нет, халявное масштабирование(и заодно резервирование серверов, в случае смерти любого оставшиеся перераспределят нагрузку - у пользователя будет однократный обрыв связи с мгновенным переподключением), уровень доступа может быть даже на мыльницах, нагрузка на сервера и клиентов ЗНАЧИТЕЛЬНО ниже чем с pptp даже без шифрования/сжатия..

А мултикасты юзаете, елси да то как?

[KaYot 3 641]

Мультикаст пока не используем, не вижу каких-либо проблем. В тоннель идет только инет-трафик, локалка маршрутизируется. Соответственно будет работать или нет, зависит только от свичей стоящий между абонентом и ядром.

 

Была когда-то мысль сделать и терминирование локалки через pppoe, получится мечта бедного админа - на копеечном железе полностью маршрутизируемая сеть. Но пока идея не реализована.

[][-RaY 387]

Тоже для частного сектора планирую перетащить все на пппое, фтпшники и прочую чушь тоже за пппое уберу, что бы без тунеля, седел хомячек в л2 сегменте на пару чел и куковал.

[mill 0]

Подскажите пожалуйста. Выбор между ppoe и dhcp+mac.

Если в сети поставить управляемые свитчи с привязкой к мак-адресам. Достаточно ли этого для безопасности и для расширения сети?(Выделять реальные ip). Очень хотелось бы так реализовать, так как клиентам меньше процессорных мощностей прийдётся тратить.

[][-RaY 387]

Я придерживаюсь идеи что про маки в ручную лучше забыть, а вот по опции 82 на порт, и автоматом биндить другое дело. В случае 100% управляемых свитчей на доступе, при дубовых свитчах я бы делал влан ня юзера и циска с unnumbered vlan, а в случае нормальных свитчей на доступе влан на дом и по опции 82 на порту индефицировать абонента + ацл.

[mill 0]

По поводу Вланов просветите. Насколько мне известно их обычно в свитчах максимум 256. Это ж ведь на всю сетку, или я неправильно думаю.

[][-RaY 387]

На свитчах агрегации давненько не видел уже 256 вланов. На доступе даже на дубовых, если я не ошибаюсь 256 вланов, но id 4 тыс как положено. На наге человек предлагал интересную схему с вланами, когда всего их было как портов доступа в 1 точке, а потом уже на агрегации aclями их изолировали друг от друга и дальше доводили до циски с unnumbered vlan.

[alex_o 1 194]

[-RaY' date=26 Февраль 2010 - 19:03' timestamp='1267203836' post='151581]

Тоже для частного сектора планирую перетащить все на пппое, фтпшники и прочую чушь тоже за пппое уберу, что бы без тунеля, седел хомячек в л2 сегменте на пару чел и куковал.

Можно сделать красивее, чтобы юзеры не строили вообще никаких тунелей. На ближайшем к юзеру свиче с л3-ацл (например на агрегации) просто на порт этого свича (куда линк юзера агрегируется) вешается разрешающая полиси для source-IP этого юзера. Соответственно, в более старшем профиле запретить все входящие IP. Не заплатил за кефир - ацл убирается, дальше агрегатора юзер из своего л2-сегмента не выпрыгнет. Перебор IP ему при этом ничего не даст - либо получит в ответ конфликт IP с соседом по тупому свичу, либо тишину.

[][-RaY 387]

Рассматривал такой вариант, но меня отпугнул масштаб костылей которые придется городить в моем случае, потому как во 1 все ипы в инет реальные, все выдается из пула, а локалка тоже дхцп, и тоже без каких либо привязок. Была идея суперовых костылей, я на наге расписывал её, но появились проблемы с понятием сессии и производительностью\надежностью костыля который на основе вэб авторизации дергает дхцп сервер и acl на свитчах . Была идея в работе схожая с гостевым вланом, только решалось путем, выдачи всем не авторизированным серого ип которому доступна только хттпс логин страничка(на которую любой 80 траф заварачивался), и в случае авторизации, смена ипа и прибивание ацл на свитч.

[alex_o 1 194]

[-RaY' date=09 Март 2010 - 15:44' timestamp='1268142272' post='152923]

Была идея в работе схожая с гостевым вланом, только решалось путем, выдачи всем не авторизированным серого ип которому доступна только хттпс логин страничка(на которую любой 80 траф заварачивался), и в случае авторизации, смена ипа и прибивание ацл на свитч.

Я так понял из других постов что у вас опт82 юзается, то есть для контроля локали вы юзера идентифицируете с портом доступа без каких-либо телодвижений (авторизации) с его стороны, так? Это во многоэтажках. В частном секторе проблема с умным доступом (не сильно рентабельно), а задачу контроля выхода юзера в локаль надо решать. Вы решили там добавить авторизацию и на доступ в локаль. Я же просто для ftth-сегментов заменил дхцп на статику (не так уж там много абонентов ). Это выливается в небольшой перловый костыль к биллингу для развешивания ацл по агрегаторам и все. Только еще поправочка - на агрегаторах надо всегда безусловно разрешать выход юзеру на веб-страницу личного кабинета.

[][-RaY 387]

Не хочется лишатся динамики и белых адресов, нужен серьезный костыль, с ip unnumbered , вэб авторизацией и vlan acl. Вынашивал эту идею месяц, потом стало все уж очень сложно, решил все таки пппое с программкой которая автоматом создает подключение будет проще.

 

Если интересно

http://forum.nag.ru/forum/index.php?showtopic=53989&st=0&p=465642

[4art 32]

(ip/mac) +- (login/password) based

[si__ 64]

BDSMoE

[911 140]

BDSMoE

это что?

[KaYot 3 641]

Видимо метод работы саппорта с абонентами. Кожаные плетки там, цепи, намордники..

[si__ 64]

это что?

это перспективная прогрессивная технология

http://wiki.it-kharkov.com/wiki/BDSMoE

там еще кое какие описаны

[KaYot 3 641]

Даа, раньше таким не хвастались.

[si__ 64]

Даа, раньше таким не хвастались.

то раньше, сейчас другие нормы

как бы 100 мбит/с за червонец предполагает соответствующее качество