Jump to content
Local
nindzja

Внедрение ipv6 в маленькую сеть!

Recommended Posts

4 часа назад, vop сказал:

С тех пор я слышал огромное количество "аргументов" со стороны украинских провайдеров, почему они это делать не хотят, им это не выгодно, это не правильно...

В смысле им дорого...такая аргументация. Но они стесняются об этом сказать. :)

Share this post


Link to post
Share on other sites
В 16.10.2019 в 21:59, Baneff сказал:

В чём польза? Оборудование не умеет, но не важно. Правда не понятно, как можно опшн 82 с пользой прилепить к вилан пер юзер?

Например для PON увидеть (авторизовать) по MAC ONU

 

 

Share this post


Link to post
Share on other sites
13 часов назад, sanyadnepr сказал:

Если Вы не в курсе, то dhcp запросы/ответы "перехватывает" и передает коммутатор, во влане управления, dhcp сервера в абонентском влане просто нет.

Не всегда так - при DHCP snooping opt82 находится в абонентском влане, как и сам DHCP сервер.

В этом случае в DHCP запросы добавляется opt82

Share this post


Link to post
Share on other sites
58 minutes ago, nik247 said:

Например для PON увидеть (авторизовать) по MAC ONU

 

По этому поводу провайдер сказал что-то типа - а вдруг абон поставит свою онушку, зарегистрирует ее, а мы потом мучайся.:) Ну я особо не настаиваю. Мое дело предложить, а дело провайдера - выбрать так, как ему удобно... :)

 

Share this post


Link to post
Share on other sites
12 минут назад, vop сказал:

 

По этому поводу провайдер сказал что-то типа - а вдруг абон поставит свою онушку, зарегистрирует ее, а мы потом мучайся.:) Ну я особо не настаиваю. Мое дело предложить, а дело провайдера - выбрать так, как ему удобно... :)

 

Так вот в данном случае MAC ONU передается в оп82 и может использоваться при авторизации и клиент просто так поменять ОНУ не может, тем более что очень часто их дают во временное пользование.

Share this post


Link to post
Share on other sites
13 часов назад, Baneff сказал:

Ну если там есть option 82 , то и DHCP snooping должон быть, не?

А если вилан пер юзер, то тогда вообще без разницы кто и что и куда там втыкает.

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

Share this post


Link to post
Share on other sites
1 hour ago, nik247 said:

Так вот в данном случае MAC ONU передается в оп82 и может использоваться при авторизации и клиент просто так поменять ОНУ не может, тем более что очень часто их дают во временное пользование.

 

Я передам ваши слова ребятам из райцентра... Хотя, я им уже давно сам все объяснил и пояснил. :)

Share this post


Link to post
Share on other sites
7 minutes ago, NiTr0 said:

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

Там не новый мак у Пети будет. Там будет Васин мак с другой опцией 82. Просто напомню, dhcp сервер  выдает и хранит лизы по мак-адресам, и никак иначе. И если биллинг не следит за парами mac/82 - то начнется компот и "внеземные цивилизации".  :)

  • Like 1

Share this post


Link to post
Share on other sites
20 часов назад, vop сказал:

Там не новый мак у Пети будет. Там будет Васин мак с другой опцией 82.

вот как раз со стороны биллинга будет выглдеть как будто Вася дал попользоваться роутером Пете. ну или Петя поменял роутер, если дело было после грозы...

 

20 часов назад, vop сказал:

Просто напомню, dhcp сервер  выдает и хранит лизы по мак-адресам, и никак иначе

или по опции 82. тут уже особенности реализации.

 

20 часов назад, vop сказал:

И если биллинг не следит за парами mac/82 - то начнется компот и "внеземные цивилизации".

об чем и речь. потому сменился мак - надо значит уточнить, а кто же это там живет сейчас на порту...

Share this post


Link to post
Share on other sites
5 hours ago, NiTr0 said:

или по опции 82. тут уже особенности реализации.

 

Я про таких не слышал. Не подскажите, о каких реализациях идет речь?  Те, немногие dhcp сервера, которые я в свое время пробовал, всегда продлевают ту же лизу даже при смене opt 82. Так-как это вообще не дело dhcp сервера их отслеживать. Пришла опция - выбрал политику выбора пула (если админ настроил его на это "беспокойство"), и забыл. Все остальное - это дело свича, как реагировать, на ответ с "неправильной" опцией 82 (для чего она, собственно говоря, и придумывалась). Большинство железа на это никак не реагирует.

 

По большому счету, если эта опция не используется для защиты от тех двух видов dhcp-аттак, то и в dhcp-сервере про нее можно и не вспоминать особо. От сервера помимо стандартного ответа с опцией при начале делегирования адреса достаточно того, что бы он фиксировал пришедшие опции где-нибудь, даже в том же логе. Хотя, можно вообще поставить на порт отдельный парсер опции от биллинга, если таковой умеет.

Edited by vop

Share this post


Link to post
Share on other sites
5 часов назад, vop сказал:

Я про таких не слышал. Не подскажите, о каких реализациях идет речь?

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.

Share this post


Link to post
Share on other sites
4 hours ago, KaYot said:

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.


Вы сейчас описали совершенно другую ситуацию - другой MAC в тот же порт. А мы обсуждали ситуацию одного и того же MAC'а в другой порт.

 

У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую. А опция 82 используется опять же для выбора политики выдачи ip адреса, точно так же, как и любые другие сервера. Немного грубо, и не совсем чисто, но для всех общих случаев подойдет.

 

Share this post


Link to post
Share on other sites

мне, когда-то делали так, порт -ип, и пох какой там мак... если на абоне введен статик - не работает

 

Share this post


Link to post
Share on other sites
11 часов назад, KaYot сказал:

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.

Да юзаем такой - полет нормальный и правильный , коечто из мелочей для разбора опт82 от бдкома допиливал, на ЗТЕ так и руки не дошл,  кстати а веб интерфейс под абилс не пояаился часом продвинутый для дхсп на перле  ?

Share this post


Link to post
Share on other sites
5 часов назад, vop сказал:

У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую.

Вообще ничего общего с реальностью. Скрипт разбирает опцию 82 и на её основе выдает IP.

У нас оно используется сугубо в виде "vlan пользователя", на основе этой информации юзер получает свой ИП.

И пох, свич с витухой это в многоэтажке, ethernet на медиках в ЧС или ПОН любой марки.

Share this post


Link to post
Share on other sites
2 hours ago, KaYot said:

Вообще ничего общего с реальностью. Скрипт разбирает опцию 82 и на её основе выдает IP.

 

Я вас услышал. Вы - о своем. Ну да ладно, не важно.

Share this post


Link to post
Share on other sites
9 часов назад, vop сказал:


Вы сейчас описали совершенно другую ситуацию - другой MAC в тот же порт. А мы обсуждали ситуацию одного и того же MAC'а в другой порт.

 

 У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую. А опция 82 используется опять же для выбора политики выдачи ip адреса, точно так же, как и любые другие сервера. Немного грубо, и не совсем чисто, но для всех общих случаев подойдет.

 

 

Ну и что с того что один и тот же мак появляется в разных портах которые заведомо присвоены под одного клиента ? Да хоть два одновременно одинаковых мака в разных портах, выдаем ip согласно порту/влану и не иначе. Бред переспрашивать логин и пароль у клиента если он один на порту/влане

В 18.10.2019 в 00:50, NiTr0 сказал:

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

Ну и хрен с ним, рано или поздно это вылезит например по разбежности балансов и тогда разберемся кто был на этом ящике и в какой момент и накажем его за перетыкание.

Edited by fet4
  • Like 2

Share this post


Link to post
Share on other sites

Проблема перетыкания сильно преувеличена.

Решается она административным запретом на подобные действия, за 5 лет работы не припомню ни одной проблемы перепутанных портов/логинов.

При подключении нового клиента ему заранее создается учетка(а как иначе?), и монтажник включает кабель в заранее указанный порт. Изредка оказывается что порт битый/занят чем-то не прописанным в системе контроля - в телефонном режиме за 30с оператор меняет порт в учетке клиента и все счастливы.

Не нужны клиенту лишние авторизации, не нужны записи "на пачке сигарет".

Share this post


Link to post
Share on other sites
В 19.10.2019 в 03:16, vop сказал:

Не подскажите, о каких реализациях идет речь?

тот же accel-ppp к примеру. ну или самописные, где работа с опцией 82 идет так, как автору хочется.

 

12 часов назад, fet4 сказал:

Ну и хрен с ним, рано или поздно это вылезит например по разбежности балансов и тогда разберемся кто был на этом ящике и в какой момент и накажем его за перетыкание.

угу, а до того - вынос мозга саппорту "почему у меня 50 мбит когда я плачу за 100" и рассказы всем о том какой оператор м@д#к.

 

6 минут назад, KaYot сказал:

Решается она административным запретом на подобные действия, за 5 лет работы не припомню ни одной проблемы перепутанных портов/логинов.

 

вот вырезали по крыше пучок кабелей. как узнать какой из них в какой порт шел?...

Share this post


Link to post
Share on other sites
14 минут назад, NiTr0 сказал:

вот вырезали по крыше пучок кабелей. как узнать какой из них в какой порт шел?...

Элементарно.

Всем клиентам в этом свиче сбрасывается порт, дальше по последним МАКам операторы вручную восстанавливают 90% пользователей все как было.

Оставшиеся 2-3 неактивные в данный момент клиента авторизируются или самостоятельно после ввода пароля на парковочной странице, или по звонку.

 

Происходит это достаточно редко что б специально что-то автоматизировать, в неблагонадежных домах где неоднократно вырезали мы к примеру весь кабель идущий по чердаку-техэтажу закрыли в металлорукав и вандализм моментально прекратился. Т.е. это опять же больше административная проблема, чем техническая.

Edited by KaYot
  • Like 1

Share this post


Link to post
Share on other sites
2 hours ago, NiTr0 said:

тот же accel-ppp к примеру. ну или самописные, где работа с опцией 82 идет так, как автору хочется.

 

Знаете, что называют "котылями"? В ситуациях, когда задачу нельзя решить стандартными способами, придумывают нестандартный, с нарушением принятых протоколов. Обычно "костыль" решает определенную задачу, иногда даже не плохо, до определенного момента, в который стандартная мера могла бы справится сама.

 

Работа с оцией 82 может быть какой угодно - даже на "побочных эффектах", но я бы назвал это каким-нибудь другим словом, а не "реализацией dhcp".

 

И что бы не вставать два раза:
 

2 hours ago, KaYot said:

Проблема перетыкания сильно преувеличена.

 

Называется "развивать победное наступление" :)

 

Дружище, мне, честно говоря, наплевать на проблемы "производственников". Мне не интересно заниматься скучной работой. поэтому я продал свой провайдер много лет назад после 15 лет провайдерства.

 

Однако...

 

Quote

Не нужны клиенту лишние авторизации, не нужны записи "на пачке сигарет".

 

2 hours ago, KaYot said:

Оставшиеся 2-3 неактивные в данный момент клиента авторизируются или самостоятельно после ввода пароля на парковочной странице, или по звонку.

 

Что-то я запутался - надо или не надо.

Вообще, для авторизации не обязательно использовать логины и пароли. Для авторизации есть много других способов, которые не требуют введения пароля - от SMS и smartcard (payment-id) и до сканирования qr-code. И речь, будем честным, не о "дополнительной" авторизации, а о входе в свой кабинет клиента, не более того.

 

2 hours ago, KaYot said:

Всем клиентам в этом свиче сбрасывается порт, дальше по последним МАКам операторы вручную восстанавливают 90% пользователей все как было. 

 

Тут есть одна грустная история. Если вы используете костыль, то он, как тот же скрипт, о котором вы тут мне сообщили "новость", просто не хранит лизы и не хранит MAC-и. Поэтому тут можно только пожелать успехов в ручном труде персонала. Я даже не буду повторять фразу - вам больше нечем заняться? :)

 

Я пытаюсь говорить о 21-м веке, а не о "нам и так не плохо". :)

 

Edited by vop

Share this post


Link to post
Share on other sites
15 минут назад, vop сказал:

Я пытаюсь говорить о 21-м веке, а не о "нам и так не плохо". :)

А зачем нам "21-й век", если "нам и так не плохо" ?

Share this post


Link to post
Share on other sites

Кстати, давно хотел спросить. А что с протоколом SCTP ? Кто-то где-то использует или он так и не взлетел?

Share this post


Link to post
Share on other sites
25 minutes ago, Baneff said:

Кстати, давно хотел спросить. А что с протоколом SCTP ? Кто-то где-то использует или он так и не взлетел?

 

У меня в сырцах агента сейчас это выглядит так:

 

(*in_soc)->proto    = IPPROTO_TCP;   // Or IPPROTO_SCTP

Комментарий там появился  достаточно давно, после того, как я устал объяснять, что это за опция в конфиге. Никому "оно" не надо. Мало кто понимает, зачем оно надо. Работает нормально. :)

Share this post


Link to post
Share on other sites
1 минуту назад, vop сказал:

 

У меня в сырцах агента сейчас это выглядит так:

 


(*in_soc)->proto    = IPPROTO_TCP;   // Or IPPROTO_SCTP

Комментарий там появился  достаточно давно, после того, как я устал объяснять, что это за опция в конфиге. Никому "оно" не надо. Мало кто понимает, зачем оно надо. Работает нормально. :)

Ну я на всякий случай спросил. Сейчас вот увидел в опциях ядра и вспомнил :).

Ну а не надо, так и не надо, меньше сущностей - спокойнее сон.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×