Jump to content

WI-FI vs PON


Recommended Posts

 

Хм... 802.1х говорите? 

Сквозь клиентский раутер чтоль? :) Тогда я послушаю как :)

А если без раутера, в отдельный порт ОНУ, то в чем проблема?

Вот например так  P1501C2 ONU BDCOM  http://lanmarket.ua/bdcom/bdcom-p1501c2%2520onu-2603/

Безопасность и шифрование 802.1x. В C2  это есть,а в С1 -нет. Спросите у BDСOM, а зачем это нужно в С2?

Цена $30.

 

Я вроде другой вопрос задал :) в однопортовую онушку втыкается обычно клиентский раутер,  при этом для работы ТВ мультикастом/юникастом один из портов на раутере переключается в режим бриджа (ТВ-порт) и в клиентский профиль добавляется мак ТВ приставки, которая получает адрес из внутренней подсети и общается с мидл варью сама.

Никакого 802.1х при полностью контроллируемом порту не нужно.

Мы вообще при подключении ТВ даем ОНУшку на 4 порта,  где ТВ живет в одельном влане и вообще никак не зависит от интернета.

 

Если же клиент подключает ТВ приставку за раутер, то есть трансляция юникастом, то опять же, мидл варь в курсе кто это оттуда пришел (ип - клиент связка) и не требует дополнительной авторизации. Да и не работает 802.1х в этой схеме.

 

Погуглите, dhcp option 82 + dhcp snooping + dhcp address binding.

Никакие  доп. авторизации не нужны

Link to post
Share on other sites
  • Replies 1.3k
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

РАДИО НАДА ТОКА В ГОРАХ, ДЛЯ ЛИНКИВ, И ДЛЯ БЫСТРОГО НАШЭСТВИЯ НО ШОП СТРОИТЬ НА НЕМ СЕТЬ ВМЕСТО ПОНА ЦЭ НАДА БУТЬ ДОВБОЙОБОМ

Да прийдёт Ингвар. Да сразиться 2 адепта в битве не на жизнь а на смерть

грозы стерли к ипеням даже пост......

Posted Images

 

 

Хм... 802.1х говорите? 

Сквозь клиентский раутер чтоль? :) Тогда я послушаю как :)

А если без раутера, в отдельный порт ОНУ, то в чем проблема?

Вот например так  P1501C2 ONU BDCOM  http://lanmarket.ua/bdcom/bdcom-p1501c2%2520onu-2603/

Безопасность и шифрование 802.1x. В C2  это есть,а в С1 -нет. Спросите у BDСOM, а зачем это нужно в С2?

Цена $30.

 

Я вроде другой вопрос задал :) в однопортовую онушку втыкается обычно клиентский раутер,  при этом для работы ТВ мультикастом/юникастом один из портов на раутере переключается в режим бриджа (ТВ-порт) и в клиентский профиль добавляется мак ТВ приставки, которая получает адрес из внутренней подсети и общается с мидл варью сама.

Никакого 802.1х при полностью контроллируемом порту не нужно.

Мы вообще при подключении ТВ даем ОНУшку на 4 порта,  где ТВ живет в одельном влане и вообще никак не зависит от интернета.

 

Если же клиент подключает ТВ приставку за раутер, то есть трансляция юникастом, то опять же, мидл варь в курсе кто это оттуда пришел (ип - клиент связка) и не требует дополнительной авторизации. Да и не работает 802.1х в этой схеме.

 

Погуглите, dhcp option 82 + dhcp snooping + dhcp address binding.

Никакие  доп. авторизации не нужны

 

802.1x -это просто EAP аутентификация  клиентского устройства через Радиус сервер  . К раздаче IP адресов DHCP  ( ни от провайдера, ни  от локального роутера )  и бриджингу  между приставкой , роутером и онушкой  это не имеет отношения. 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого. Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.  Это мой основной аккаунт логин/пароль у контент провайдера , к которому   привязан мой личный кабинет и счет  на абонплату.      Помимо медиаплеера у меня имеется еще два устройства -планшет и смартфон  , которые также аутентифицируются у контент провайдера по этому же логину/пароль, и с которых я авторизован ( логин/пароль  плюс  МАС адрес ) смотреть ОТТ контент провайдера в любом  месте Украины через WiFi или 3G ( это стоит  10 гривен в месяц на один девайс).  Кроме того, если мой контент провайдер будет иметь 3G offload ( а это возможно только через 802.1x) c каким нибудь мобильным оператором,  то доступ к контенту я будут иметь через свою  сим карту в моем смартфоне..

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета..

Раньше у меня был DSL и PPPoE с аутентификацией по логин/пароль, а также получение IP адреса  на мой DSL роутера через туннель  с сервера PPPoE и с  дальнейшей раздачей IP  c локального DHCP сервера и NAT  на DSL роутере на мой ПК и др. девайсы . Не скажу за DSL, у которого PPPoE -изначально родное, но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

Edited by Alver
Link to post
Share on other sites

смешались в кучу кони, люди©

 

Алвер, даю тебе наводку. Вот тут человек ищет строителей ПОНа. Тока за работу -100К зеленки. Покрыть надо Крым. Пиши ему, шо за 100К он покроет камбайнами твоими весь крым и кусок сочи. А нам тут прекращай сочинялки сочинять.

 

ПО теме 802.1 - повторяю вопрос. ЗА-ЧЕМ? Я могу прямо теперь мегого смотреть с любой точки 130+ канало и туча фильмов всего за 90 грн для 5 устройств одновременно. Уже сейчас и оно не ограничено украиной!!!!! Я могу уехать в турцию и там лицезреть этот мегого, все что мне нужно - инет. Все. ПО твоему поекту нужно подружиться с опсосами, и кругом напхать твоего барахла. Реально в условиях Украины? Нет. Отличный план попила бабла... но не сейчас и не в этой стране... Так что снова ходишь лесом.

 

но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более безопасным и эффективным.Но когда у него появятся и расширятся контент сервисы, взломают и не раз его клиентские аккаунты, тогда он к этому придет сам.

Этот набор слов я вообще не понял, есичесно. НА что тут намек? Что твой пров не сумел вланпирюзер организовать? Или ты просто сказал о приемуществах 802.1? Зачем мне сейчас 802.1 на ОНУ я так и не понял. У меня есть мегого

Как вы представляете взлом аккаунтов на ПОНе?

Edited by Dimkers
Link to post
Share on other sites
 

 

802.1x -это просто EAP аутентификация  клиентского устройства через Радиус сервер  . К раздаче IP адресов DHCP  ( ни от провайдера, ни  от локального роутера )  и бриджингу  между приставкой , роутером и онушкой  это не имеет отношения. 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого. Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.  Это мой основной аккаунт логин/пароль у контент провайдера , к которому   привязан мой личный кабинет и счет  на абонплату.      Помимо медиаплеера у меня имеется еще два устройства -планшет и смартфон  , которые также аутентифицируются у контент провайдера по этому же логину/пароль, и с которых я авторизован ( логин/пароль  плюс  МАС адрес ) смотреть ОТТ контент провайдера в любом  месте Украины через WiFi или 3G ( это стоит  10 гривен в месяц на один девайс).  Кроме того, если мой контент провайдер будет иметь 3G offload ( а это возможно только через 802.1x) c каким нибудь мобильным оператором,  то доступ к контенту я будут иметь через свою  сим карту в моем смартфоне..

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета..

Раньше у меня был DSL и PPPoE с аутентификацией по логин/пароль, а также получение IP адреса  на мой DSL роутера через туннель  с сервера PPPoE и с  дальнейшей раздачей IP  c локального DHCP сервера и NAT  на DSL роутере на мой ПК и др. девайсы . Не скажу за DSL, у которого PPPoE -изначально родное, но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

 

 

Эммм... Откройте уже документацию, 802.1х работает на уровне L2, в нашем случае это езернет кадры. Никакого 802.1х за раутером уже не будет, увы  И тут надо ставить свич между ОНУ и раутером, в него все включать. Или брать многопортовую ОНУ. А зачем городить 802.1х, если я и так гарантированно знаю, с какого порта прибежал трафик, какие настройки я туда выдал? И на основе этой инфы могу легко управлять услугами..

 

Расскажите,как будет работать 802.1х например с Ipad,который  включен в сеть за обычным домашним раутером, с натом. Или всем клиентам еще и домашние раутеры с WPA2-AES ставитьи все интегрировать? :)

Link to post
Share on other sites

 

 

 

Хм... 802.1х говорите? 

Сквозь клиентский раутер чтоль? :) Тогда я послушаю как :)

А если без раутера, в отдельный порт ОНУ, то в чем проблема?

Вот например так  P1501C2 ONU BDCOM  http://lanmarket.ua/bdcom/bdcom-p1501c2%2520onu-2603/

Безопасность и шифрование 802.1x. В C2  это есть,а в С1 -нет. Спросите у BDСOM, а зачем это нужно в С2?

Цена $30.

 

Я вроде другой вопрос задал :) в однопортовую онушку втыкается обычно клиентский раутер,  при этом для работы ТВ мультикастом/юникастом один из портов на раутере переключается в режим бриджа (ТВ-порт) и в клиентский профиль добавляется мак ТВ приставки, которая получает адрес из внутренней подсети и общается с мидл варью сама.

Никакого 802.1х при полностью контроллируемом порту не нужно.

Мы вообще при подключении ТВ даем ОНУшку на 4 порта,  где ТВ живет в одельном влане и вообще никак не зависит от интернета.

 

Если же клиент подключает ТВ приставку за раутер, то есть трансляция юникастом, то опять же, мидл варь в курсе кто это оттуда пришел (ип - клиент связка) и не требует дополнительной авторизации. Да и не работает 802.1х в этой схеме.

 

Погуглите, dhcp option 82 + dhcp snooping + dhcp address binding.

Никакие  доп. авторизации не нужны

 

802.1x -это просто EAP аутентификация  клиентского устройства через Радиус сервер  . К раздаче IP адресов DHCP  ( ни от провайдера, ни  от локального роутера )  и бриджингу  между приставкой , роутером и онушкой  это не имеет отношения. 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого. Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.  Это мой основной аккаунт логин/пароль у контент провайдера , к которому   привязан мой личный кабинет и счет  на абонплату.      Помимо медиаплеера у меня имеется еще два устройства -планшет и смартфон  , которые также аутентифицируются у контент провайдера по этому же логину/пароль, и с которых я авторизован ( логин/пароль  плюс  МАС адрес ) смотреть ОТТ контент провайдера в любом  месте Украины через WiFi или 3G ( это стоит  10 гривен в месяц на один девайс).  Кроме того, если мой контент провайдер будет иметь 3G offload ( а это возможно только через 802.1x) c каким нибудь мобильным оператором,  то доступ к контенту я будут иметь через свою  сим карту в моем смартфоне..

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета..

Раньше у меня был DSL и PPPoE с аутентификацией по логин/пароль, а также получение IP адреса  на мой DSL роутера через туннель  с сервера PPPoE и с  дальнейшей раздачей IP  c локального DHCP сервера и NAT  на DSL роутере на мой ПК и др. девайсы . Не скажу за DSL, у которого PPPoE -изначально родное, но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

 

Врубитесь, ломать то собственно нечего. Нет логина, нет пароля, нет мака, есть "ПОРТ". Аутентификация и управление любыми сервисами в любых вариантах происходит на уровне порта абонента без участия 802.1х.Тот же "Port-based network access control" но..не тот.) Порт сломают :) ? Все же просто, абонент воткнул ЛЮБОЕ устройство в порт ону , получил адресацию и получил все доступные заказанные и оплаченные им сервисы.   В случае с описываемой вами мультисервисной сетьи, 802.1х на ОНУ тоже нах@р не нужен. Так как дома у абонента будет все также как и было, а в сегменте сети к примеру вайфайной, хотспот. итд, можно использовать все что угодно. Хоть тоже ппое хоть черта лысого на туже учетку абонета и на тот же нас. Т-е - смешанная авторизация тем более если сервис свой. В случае если сервис чужой как в вашем случае. Авторизация происходит на стороне сервиса, причем тут вообще 802.1х, ?Это уже ваша головная боль и стороны внешнего сервиса.

Edited by hex@set
Link to post
Share on other sites

Да потому что алвер не знает, что такое брасы и как вообще построена хоть одна адекватная сеть.

И что авторизация существует где-то за пределами терминации абонов на точке доступа (а вай-фай умеет как раз WPA2-enterprise где юзается радиус).

Абона авторизуют на брасе и возможна куча параметров как авторизовать абона.

И нет, даже не буду пытаться объяснять, как это всё работает за бесплатно.

И никакой человек в здравом уме не будет использовать 802.1х для авторизации абонентов. Как минимум потому что есть куча цпе которые попросту не имеют supplicant для авторизации внутри. Взять те же тплинки, которых тонны в качестве ЦПЕ установлено.

ЛЮДИ УПРОЩАЮТ АВТОРИЗАЦИЮ ЧТО Б НЕ ПОМНИТЬ ЛОГИНЫ И ПАРОЛИ
ЛЮДИ СОХРАНЯЮТ ПАРОЛИ ОТ ПОРТАЛОВ И СОЦ СЕТЕЙ ЧТО Б НЕ ЗАМОРАЧИВАТЬСЯ

К чему этот камбек на 10 лет назад? Мягко говоря ЭТО ОЧЕНЬ ТУПО

Где-то лет 7 назад, когда у киевсрала на домашнем инете кроме как воткнул и работает ничего не надо было делать, а другие сидели на пережитках прошлого в виде PPP тунелей с логинами и паролями.

Это был нифига себе повод юзать киевстар ибо ему похрену что ты включил и как. Одно ограничение - кол-во маков на порту. Всё. Людям это очень нравится, когда не надо после сброса роутера или переустановки виндоус звонить любимому ISP и просить надиктовать логин и пароль. Но конечно продажнику надо продать, а не вникать в суть.

ТВ приставки умеют слать идентификатор на мидлварь, вроде мак присылают. Телефония - отдельная статья. Но там тоже решаемо все и без 802.1х.

И ох как я сомневаюсь что телеки умеют в 802.1х.

Забыли про 802.1х вне WI-FI hotspot. Оно не применимо от слова совсем.

Это все вне темы пон против вай-вая. 

Edited by l1ght
Link to post
Share on other sites

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого.

Ничего необычного в этом нет.

 

Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.

Отлично. Только вероятней всего не по 802.1х. Медиаплеер авторизуется на ОТТ сервере контент провайдера по связке логин/пароль/мак - охотно верю.

Зачем оператору-провайдеру поддерживать 802.1х, точнее какое отношение имеет транзитная сеть оператора-провайдера к методу авторизации на ОТТ ?

Правильный ответ - никакого ! Без использования на последней миле оператора каких либо дополнительных методов авторизации/аутентификации.

Этим всем занимается "приставка" или точнее "приложение" в телефоне/планшете/приставке.

 

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета.

Все просто и понятно. 802.1х в твоем случае работает поверх L3 провайдера. Т.е. провайдеру эта фича не нужна априори.

 

но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.

Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

Допустим взломал клиентский аккаунт кто-то. Первый вопрос, в пределах порта абонента или в пределах коммутатора или в пределах сети провайдера ?

Например, абонент дал или использовал свой логин/пароль у соседа подключенного к этому же провайдеру.

Логин/пароль какого аккаунта ты подразумеваешь, ОТТ сервиса ? Без физического доступа к устройству клиента - кто это сможет сделать ?

Мне непонятен твой пример со взломом, потому что клиент авторизован на порту и мы знаем мак клиента, так на всякий случай.

Оператору фиолетово каким устройством абонент авторизуется у него на порту доступа. Представляешь ? :)

ОТТ сервисы прекрасно работают поверх нашей сети, без нашего участия.

Link to post
Share on other sites

 

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе 

Link to post
Share on other sites
802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе

И что? Вот что это за хаотический набор букав? Каким боком ты его плетёшь к надобности юзать 802,1 в ОНУ и в Своей камбионедосети?

Edited by Dimkers
Link to post
Share on other sites

 

 

 

802.1x -это просто EAP аутентификация  клиентского устройства через Радиус сервер  . К раздаче IP адресов DHCP  ( ни от провайдера, ни  от локального роутера )  и бриджингу  между приставкой , роутером и онушкой  это не имеет отношения. 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого. Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.  Это мой основной аккаунт логин/пароль у контент провайдера , к которому   привязан мой личный кабинет и счет  на абонплату.      Помимо медиаплеера у меня имеется еще два устройства -планшет и смартфон  , которые также аутентифицируются у контент провайдера по этому же логину/пароль, и с которых я авторизован ( логин/пароль  плюс  МАС адрес ) смотреть ОТТ контент провайдера в любом  месте Украины через WiFi или 3G ( это стоит  10 гривен в месяц на один девайс).  Кроме того, если мой контент провайдер будет иметь 3G offload ( а это возможно только через 802.1x) c каким нибудь мобильным оператором,  то доступ к контенту я будут иметь через свою  сим карту в моем смартфоне..

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета..

Раньше у меня был DSL и PPPoE с аутентификацией по логин/пароль, а также получение IP адреса  на мой DSL роутера через туннель  с сервера PPPoE и с  дальнейшей раздачей IP  c локального DHCP сервера и NAT  на DSL роутере на мой ПК и др. девайсы . Не скажу за DSL, у которого PPPoE -изначально родное, но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

 

 

Эммм... Откройте уже документацию, 802.1х работает на уровне L2, в нашем случае это езернет кадры. Никакого 802.1х за раутером уже не будет, увы  И тут надо ставить свич между ОНУ и раутером, в него все включать. Или брать многопортовую ОНУ. А зачем городить 802.1х, если я и так гарантированно знаю, с какого порта прибежал трафик, какие настройки я туда выдал? И на основе этой инфы могу легко управлять услугами..

 

Расскажите,как будет работать 802.1х например с Ipad,который  включен в сеть за обычным домашним раутером, с натом. Или всем клиентам еще и домашние раутеры с WPA2-AES ставитьи все интегрировать? :)

 

Вам ваш провайдер  может  сделать 802.1x аутентификацию на вашем домашнем роутере, если он поддерживает WPA2-Enterprise. В этом случае ваш роутер при подключении вашего iphone или телевизора  направляет запрос на аутентификацию на Радиус сервер провайдера  и он пускает вас в сеть  провайдера и дает доступ к сервисам. Это ваш  провайдер может быть только контент провайдером и его не интересует кто у вас провайдер доступа  в сеть, как он вас авторизует и на каком порту.

802.1x аутентификация может быть реализована кабельным провайдером на его  проводном свиче-роутере, поддерживающим 802.1x. Причем не обязательно это должен быть по логин/пароль? Это может быть по MAC. 802.1x -это протокол зашифрованного обмена  сообщениями при аутентификации.  А что конкретно аутентифицируется, -юзер или устройство- не имеет значения.

Link to post
Share on other sites

 

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе

И что? Вот что это за хаотический набор букав?

 

Я думаю что ты ничего не поймешь. Ты в лучшем случае умеешь только дропы по огородам  и столбам бросать и резать кабели конкурентов. На этом твои познания в сетевых технологиях заканчиваются. 

Link to post
Share on other sites

 

 

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе

И что? Вот что это за хаотический набор букав?

 

Я думаю что ты ничего не поймешь. Ты в лучшем случае умеешь только дропы по огородам  и столбам бросать и резать кабели конкурентов. На этом твои познания в сетевых технологиях заканчиваются.

 

Электорату расскажи, в доступной форме, может и поймет.

Пока твои предложения в теме сравнения ПОН и радио, не совсем понятны.

Link to post
Share on other sites

 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого.

Ничего необычного в этом нет.

 

Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.

Отлично. Только вероятней всего не по 802.1х. Медиаплеер авторизуется на ОТТ сервере контент провайдера по связке логин/пароль/мак - охотно верю.

Зачем оператору-провайдеру поддерживать 802.1х, точнее какое отношение имеет транзитная сеть оператора-провайдера к методу авторизации на ОТТ ?

Правильный ответ - никакого ! Без использования на последней миле оператора каких либо дополнительных методов авторизации/аутентификации.

Этим всем занимается "приставка" или точнее "приложение" в телефоне/планшете/приставке.

 

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета.

Все просто и понятно. 802.1х в твоем случае работает поверх L3 провайдера. Т.е. провайдеру эта фича не нужна априори.

 

но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.

Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

Допустим взломал клиентский аккаунт кто-то. Первый вопрос, в пределах порта абонента или в пределах коммутатора или в пределах сети провайдера ?

Например, абонент дал или использовал свой логин/пароль у соседа подключенного к этому же провайдеру.

Логин/пароль какого аккаунта ты подразумеваешь, ОТТ сервиса ? Без физического доступа к устройству клиента - кто это сможет сделать ?

Мне непонятен твой пример со взломом, потому что клиент авторизован на порту и мы знаем мак клиента, так на всякий случай.

Оператору фиолетово каким устройством абонент авторизуется у него на порту доступа. Представляешь ? :)

ОТТ сервисы прекрасно работают поверх нашей сети, без нашего участия.

 

ОТТ сервису пофиг на каком порту ты авторизован у своего провайдера. У него своя авторизация для доступа к его сервису. И из всех возможных типов авторизаций самая современная, безопасная , надежная и эффективная , а главное стандартная и совместимая  между провайдерами - это 802.1x 

Edited by Alver
Link to post
Share on other sites
Забыли про 802.1х вне WI-FI hotspot. Оно не применимо от слова совсем.

802.1x может быть поднят на точке доступа для защищенной аутентификации  клиента.  А может быть, что доступ  клиента к точке доступа open, но аутентификация по 802.1x клиентов для  группы из точек доступа может проводиться  на центральном сервере/роутере/ свиче, агрегирующем  трафик от точек доступа и  от других проводных клиентов/устройств.  

Edited by Alver
Link to post
Share on other sites

 

 

 

 

802.1x -это просто EAP аутентификация  клиентского устройства через Радиус сервер  . К раздаче IP адресов DHCP  ( ни от провайдера, ни  от локального роутера )  и бриджингу  между приставкой , роутером и онушкой  это не имеет отношения. 

Простой пример, я получаю физический канал по оптике  от одного провайдера ,  а контент  ТВ/видео от другого. Так вот мой медиаплеер   аутентифицируется например по 802.1x поверх сети кабельного провайдера  на  OTT сервере моего  контент провайдера.  Это мой основной аккаунт логин/пароль у контент провайдера , к которому   привязан мой личный кабинет и счет  на абонплату.      Помимо медиаплеера у меня имеется еще два устройства -планшет и смартфон  , которые также аутентифицируются у контент провайдера по этому же логину/пароль, и с которых я авторизован ( логин/пароль  плюс  МАС адрес ) смотреть ОТТ контент провайдера в любом  месте Украины через WiFi или 3G ( это стоит  10 гривен в месяц на один девайс).  Кроме того, если мой контент провайдер будет иметь 3G offload ( а это возможно только через 802.1x) c каким нибудь мобильным оператором,  то доступ к контенту я будут иметь через свою  сим карту в моем смартфоне..

Мой аккаунт у  кабельного оператора привязан на МАС адрес  моего  ПК, подключенного к ethetnet свичу  провайдера ( раздача в подьезде многоквартирного дома) . Этот  адрес я клонирую  на   вайфай роутер и  с него  имею доступ  в Интернет кабельного оператора и на OTT контент провайдера   со своих  смартфона и планшета..

Раньше у меня был DSL и PPPoE с аутентификацией по логин/пароль, а также получение IP адреса  на мой DSL роутера через туннель  с сервера PPPoE и с  дальнейшей раздачей IP  c локального DHCP сервера и NAT  на DSL роутере на мой ПК и др. девайсы . Не скажу за DSL, у которого PPPoE -изначально родное, но вот у моего кабельного оператора применение 802.1x вместо аутентификации по МАС было бы более  безопасным и эффективным.Но когда у него появятся и  расширятся контент  сервисы,  взломают и не раз  его клиентские аккаунты,  тогда он к этому придет сам.

 

 

Эммм... Откройте уже документацию, 802.1х работает на уровне L2, в нашем случае это езернет кадры. Никакого 802.1х за раутером уже не будет, увы  И тут надо ставить свич между ОНУ и раутером, в него все включать. Или брать многопортовую ОНУ. А зачем городить 802.1х, если я и так гарантированно знаю, с какого порта прибежал трафик, какие настройки я туда выдал? И на основе этой инфы могу легко управлять услугами..

 

Расскажите,как будет работать 802.1х например с Ipad,который  включен в сеть за обычным домашним раутером, с натом. Или всем клиентам еще и домашние раутеры с WPA2-AES ставитьи все интегрировать? :)

 

Вам ваш провайдер  может  сделать 802.1x аутентификацию на вашем домашнем роутере, если он поддерживает WPA2-Enterprise. В этом случае ваш роутер при подключении вашего iphone или телевизора  направляет запрос на аутентификацию на Радиус сервер провайдера  и он пускает вас в сеть  провайдера и дает доступ к сервисам. Это ваш  провайдер может быть только контент провайдером и его не интересует кто у вас провайдер доступа  в сеть, как он вас авторизует и на каком порту.

802.1x аутентификация может быть реализована кабельным провайдером на его  проводном свиче-роутере, поддерживающим 802.1x. Причем не обязательно это должен быть по логин/пароль? Это может быть по MAC. 802.1x -это протокол зашифрованного обмена  сообщениями при аутентификации.  А что конкретно аутентифицируется, -юзер или устройство- не имеет значения.

 

Не понимаю зачем? Оно и так не имеет значения без 802.1х. На какого больного голову случая этим должен заниматься роутер ил ону? Если этим давно занимаются приложения и аутентификация происходит на стороне контент сервиса? Вы предлагаете связку мас 802.1х ? Вас ничего не смущает?)) Ну подменю я мак , напложу дубликатов. Куда без логин пароля в вашей схеме? Привязка по сим какрте, емей, итд ? Но это в случае связки с мобильщиками, а в случае андроид приставки, или планшета, хуйсоать и лог-пас?

 

Link to post
Share on other sites

 

 

ОТТ сервису пофиг на каком порту ты авторизован у своего провайдера.

Алилуя!!!! теперь объясняй накуй мне на ОНУхе 802,1?

Link to post
Share on other sites

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

 

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе

Вы бред несете
Link to post
Share on other sites

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе 

 

Да? :)

EAPOL operates at the network layer on top of the data link layer, and in Ethernet II framing protocol has an EtherType value of 0x888E.

Даже вот детально расписано:

Initiation To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address (01:80:C2:00:00:03) on the local network segment.

 

Для неверующих:

https://en.wikipedia.org/wiki/IEEE_802.1X#Protocol_operation

 

А то что дальше радиус может стучать в радиус сервер хоть поверх L3 MPLS через весь мир - так я и не спорю. Вот только нахрена :)

 

 

 

 

 

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе
Вы бред несете

 

Тссс, полегче :) Клиент уже почти созрел обрести новое знание :)

Link to post
Share on other sites

 

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе 

 

Да? :)

EAPOL operates at the network layer on top of the data link layer, and in Ethernet II framing protocol has an EtherType value of 0x888E.

Даже вот детально расписано:

Initiation To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address (01:80:C2:00:00:03) on the local network segment.

 

Для неверующих:

https://en.wikipedia.org/wiki/IEEE_802.1X#Protocol_operation

 

А то что дальше радиус может стучать в радиус сервер хоть поверх L3 MPLS через весь мир - так я и не спорю. Вот только нахрена :)

 

 

 

 

 

 

802.1х работает на уровне L2, в нашем случае это езернет кадры.

802.1x работает поверх L2, L3, нет там никаких ethernet кадров. По 802.1x  можно пройти аутентификацию своего смартфона на сервере например в Киеве, подключившись в гостиничную вайфай сеть, например, в Одессе
Вы бред несете

 

Тссс, полегче :) Клиент уже почти созрел обрести новое знание :)

 

И звание)

Link to post
Share on other sites

 

ОТТ сервису пофиг на каком порту ты авторизован у своего провайдера.

Алилуя!!!! теперь объясняй накуй мне на ОНУхе 802,1?

 

Я же дал выше ссылку на ONU BDCOM, где есть 802.1x. Спроси у BDCOM или продавцов этих онушек, зачем оно там есть? Может они смогут тебе объяснить?

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...