Zdravím Vás,
riešime teraz komplexne sieť a potrebujem pár informácii (čital som dosť tém aj testoval freeradius).
Máme menšiu sieť postavenú na optike, metalike a wifi, ktorá je teraz klasická routrovaná (koncove zariadenie je pre nás anténa alebo wifi router).
Skúšali sme nejaké možnosti IPTV (vytvorenie vlan ku zakaznikovy atď.) a chceme v rámci podpory predaja internetových služieb začať ponúkať aj IPTV.
Ďalšie rozširovanie má byť v réžii GPONu a zároveň chceme prejsť na radius (dúfam, že začiatkom roka 2017 Vám budem vedieť ponúknuť optiku a technológiu pre vedenia optiky vzduchom s menšim počtom splitrov a zvárania na stĺpoch a s tým súvisiace "elegantnejšie vedenie káblov ku zákazníkom, aby to medzi stĺpmi nevyzeralo ako pavučina).
S tým súvisia nasledovné otázky:
1. je lepšie v rámci routrovania použiť vlany (internet, iptv, manažment), a keď vlany tak až do centrálneho routra/shapera?
2. Čo sa týka radiusu:
a) je lepšie použiť distribúciu výkonu na jednotlivé AP/routery (overovanie MAC, PPPoE, SQ/QT), alebo je možné riešiť na AP/routeroch len overovanie a centrálne shaping?
b) je možné v rámci parametrov rádiusu použiť pre SQ/QT burst omedzený len časovo napr. na 15s (rýchlosť burstu sa nerieši, tá by bola obmedzená parentom pre dané AP/router)?
c) skúšali sme Radius Manager 4 (dobrý ale nedá sa ohnúť pre potreby napojenia na vlastné účtovníctvo a banky). Preklikal som pred časom aj OMISP. Rozmýšlali sme aj nad možnosťou nasadenia LMS a prepojenie sql konektorom na freeradius. Pozerali sme aj iné komerčné produkty. Má niekto nejaký produkt, ktorý by dokázal riešiť (po ohnutí) napr. overovanie MAC/PPPoE na koncových AP/routeroch, SQ/QT s burstom centrálne, presmerovanie neplatičov (alebo informačné zobrazenia (s nasadením https a koncom SHA1 s tým začnú byť problémy)), prepojenie na účtovníctvo/banku?
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
prechod na radius
-
zdenek.svarc
- Administrator
- Příspěvky: 1635
- Registrován: 18 years ago
- antispam: Ano
Pochopil jsem, že otázky se týkají RADIUSu v kombinaci s PPPoE.
1) Je lepšie v rámci routrovania použiť vlany (internet, iptv, manažment), a keď vlany tak až do centrálneho routra/shapera?
Pokud je operátorská síť vertikálně členitější, je lepší nacpat PPPoE co nejblíž k zákazníkovi. PPPoE server umí každý RouterOS. Pokud je síť víc do plocha, klidně lze použít VLANY nebo GRE (EoIP) tunely k centrálnímu PPPoE koncentrátoru/ům.
2 a) je lepšie použiť distribúciu výkonu na jednotlivé AP/routery (overovanie MAC, PPPoE, SQ/QT), alebo je možné riešiť na AP/routeroch len overovanie a centrálne shaping?
Obecně u bezdrátové přístupové sítě je lepší zakončovat PPPoE přímo na AP.
2 b) je možné v rámci parametrov rádiusu použiť pre SQ/QT burst omedzený len časovo napr. na 15s (rýchlosť burstu sa nerieši, tá by bola obmedzená parentom pre dané AP/router)?
Ano, viz MT-Rate-Limit, http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
2 c) skúšali sme Radius Manager 4 (dobrý ale nedá sa ohnúť pre potreby napojenia na vlastné účtovníctvo a banky). Preklikal som pred časom aj OMISP. Rozmýšlali sme aj nad možnosťou nasadenia LMS a prepojenie sql konektorom na freeradius. Pozerali sme aj iné komerčné produkty. Má niekto nejaký produkt, ktorý by dokázal riešiť (po ohnutí) napr. overovanie MAC/PPPoE na koncových AP/routeroch, SQ/QT s burstom centrálne, presmerovanie neplatičov (alebo informačné zobrazenia (s nasadením https a koncom SHA1 s tým začnú byť problémy)), prepojenie na účtovníctvo/banku?
Na odpověď jsem také zvědavý.
1) Je lepšie v rámci routrovania použiť vlany (internet, iptv, manažment), a keď vlany tak až do centrálneho routra/shapera?
Pokud je operátorská síť vertikálně členitější, je lepší nacpat PPPoE co nejblíž k zákazníkovi. PPPoE server umí každý RouterOS. Pokud je síť víc do plocha, klidně lze použít VLANY nebo GRE (EoIP) tunely k centrálnímu PPPoE koncentrátoru/ům.
2 a) je lepšie použiť distribúciu výkonu na jednotlivé AP/routery (overovanie MAC, PPPoE, SQ/QT), alebo je možné riešiť na AP/routeroch len overovanie a centrálne shaping?
Obecně u bezdrátové přístupové sítě je lepší zakončovat PPPoE přímo na AP.
2 b) je možné v rámci parametrov rádiusu použiť pre SQ/QT burst omedzený len časovo napr. na 15s (rýchlosť burstu sa nerieši, tá by bola obmedzená parentom pre dané AP/router)?
Ano, viz MT-Rate-Limit, http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
2 c) skúšali sme Radius Manager 4 (dobrý ale nedá sa ohnúť pre potreby napojenia na vlastné účtovníctvo a banky). Preklikal som pred časom aj OMISP. Rozmýšlali sme aj nad možnosťou nasadenia LMS a prepojenie sql konektorom na freeradius. Pozerali sme aj iné komerčné produkty. Má niekto nejaký produkt, ktorý by dokázal riešiť (po ohnutí) napr. overovanie MAC/PPPoE na koncových AP/routeroch, SQ/QT s burstom centrálne, presmerovanie neplatičov (alebo informačné zobrazenia (s nasadením https a koncom SHA1 s tým začnú byť problémy)), prepojenie na účtovníctvo/banku?
Na odpověď jsem také zvědavý.
0 x
2) Já raději ty PPPoE koncentrátory sjednotit do jednoho místa na výkonné zařízení, tam se bude potom dobře dělat shaping například dle VLANŮ a různých profilů. Jinak u PPPoE se určitě nebát dělat L2 síť, není to jako DHCP 
Pokud má být dodrženo MTU 1500 je třeba udělat MPLS s VPLS, hlavně to umožní i prodat okruhy a podobně...
až bych měl trochu volného času rád bych nějak umístil demo jak to celé mám, zatím ale stále mám co dělat
Pokud má být dodrženo MTU 1500 je třeba udělat MPLS s VPLS, hlavně to umožní i prodat okruhy a podobně...
až bych měl trochu volného času rád bych nějak umístil demo jak to celé mám, zatím ale stále mám co dělat
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Cau,
jen v rychlosti.
Dle mojeho nazoru a i praktickych zkusenosti je nejjednodussi a nejlepsi z pohledu ISP resit plochou sit, takze cim min PPPoE serveru tim lip (musi se brat s rezervou, pokud je nekde na pateri kruh a nebylo jak jendoduse udelat tak samozrejme na kazdym takovym uzlu server) a budu popisovat vyhody tohodle reseni.
- Muzes dat vedle sebe rovnou 2 PPPoE servery (nebo i vic, ale nema moc smysl) a mas vyreseny rozlozeni zateze + zalohu HW kdyz jeden chcipne.
- Pokud transportujes takto PPPoE skrz celou sit, tak pak v logu jednoduse vidis ze se klient rozpadl kdyz je prolbem po trase. Pokud delas PPPoE na kazdym AP tak tuhle moznost nemas.
- Muzes si nastavit, ze se na radiusu overi uzivatel jen 1x a podruhy uz se nepripoji. (kdyz mas server na kazdym AP a pri vypadku napr el. se ti klienti znovu nenavazi - az za nejakou dobu podle nastaveni radiusu a nevis ani duvod rozpadu session)
- nejsi zavisli na zadnym vendoru, kdyz mas PPPoE na kazdym AP tak bohuzel ano (tohle byl duvod prechodu na PPPoE). Jako server pak muzes pouzit co chces, treba i cisco/juniper apod.
- muzes nabizet L2 okruhy, protoze po trase mas switche (takze nemusis ani resit vykon routeru po trase apod) a kdyz uz udrzujes vlany pro PPPoE, tak nejaky vlan pro neco dalsiho se ztrati. Stejne u optiky a IPTV jina moznost neni (takze proc mit na kazdym msite konfiguraci jinak).
jinak je tech vyhod samozrejme vic.
Jinak PPPoE a radius vseobecne:
- vidis kdo je aktualne pripojeny a kdo ne i s historii
- automaticky pocitani prenesenych dat u kazdyho uzivatele
- u switchu (pokud podporuje) moznost videt ze kteryho portu se presne klient pripojil
- identifikace presnyho uzlu z kama se klient pripojil
- automaticky omezeni rychlosti PPPoE linky + moznost automatickych filtru, acceslistu pro blokovani apod.
- celkove vyssi bezpecnost pokud dodrzujes izolaci portu apod.
- podstatny zjednoduseni pristupove site, protoze radius se o vsechno postara
- klient mzue mit v ramci cele site porad stejnou IP (tady uz pak zalezi na politice routovani apod., ale problem v tom neni vubec zadny - ma smysl pouze u verejnych adres)
+ vseobecna vyhoda radiusu pro overovani pristupu do zarizeni apod.
Jinak ono asi resit sit na necem jinym nez PPPoE nema moc smysl z duvodu jednoduchosti. U male site je to boj kvuli tomu, kdyz nema nejaky system a dela se to rucne, ze nekde musi bezet radius. Kazdopadne pokud nejaky system je, tak PPPoE usetri spoustu casu.
jen v rychlosti.
Dle mojeho nazoru a i praktickych zkusenosti je nejjednodussi a nejlepsi z pohledu ISP resit plochou sit, takze cim min PPPoE serveru tim lip (musi se brat s rezervou, pokud je nekde na pateri kruh a nebylo jak jendoduse udelat tak samozrejme na kazdym takovym uzlu server) a budu popisovat vyhody tohodle reseni.
- Muzes dat vedle sebe rovnou 2 PPPoE servery (nebo i vic, ale nema moc smysl) a mas vyreseny rozlozeni zateze + zalohu HW kdyz jeden chcipne.
- Pokud transportujes takto PPPoE skrz celou sit, tak pak v logu jednoduse vidis ze se klient rozpadl kdyz je prolbem po trase. Pokud delas PPPoE na kazdym AP tak tuhle moznost nemas.
- Muzes si nastavit, ze se na radiusu overi uzivatel jen 1x a podruhy uz se nepripoji. (kdyz mas server na kazdym AP a pri vypadku napr el. se ti klienti znovu nenavazi - az za nejakou dobu podle nastaveni radiusu a nevis ani duvod rozpadu session)
- nejsi zavisli na zadnym vendoru, kdyz mas PPPoE na kazdym AP tak bohuzel ano (tohle byl duvod prechodu na PPPoE). Jako server pak muzes pouzit co chces, treba i cisco/juniper apod.
- muzes nabizet L2 okruhy, protoze po trase mas switche (takze nemusis ani resit vykon routeru po trase apod) a kdyz uz udrzujes vlany pro PPPoE, tak nejaky vlan pro neco dalsiho se ztrati. Stejne u optiky a IPTV jina moznost neni (takze proc mit na kazdym msite konfiguraci jinak).
jinak je tech vyhod samozrejme vic.
Jinak PPPoE a radius vseobecne:
- vidis kdo je aktualne pripojeny a kdo ne i s historii
- automaticky pocitani prenesenych dat u kazdyho uzivatele
- u switchu (pokud podporuje) moznost videt ze kteryho portu se presne klient pripojil
- identifikace presnyho uzlu z kama se klient pripojil
- automaticky omezeni rychlosti PPPoE linky + moznost automatickych filtru, acceslistu pro blokovani apod.
- celkove vyssi bezpecnost pokud dodrzujes izolaci portu apod.
- podstatny zjednoduseni pristupove site, protoze radius se o vsechno postara
- klient mzue mit v ramci cele site porad stejnou IP (tady uz pak zalezi na politice routovani apod., ale problem v tom neni vubec zadny - ma smysl pouze u verejnych adres)
+ vseobecna vyhoda radiusu pro overovani pristupu do zarizeni apod.
Jinak ono asi resit sit na necem jinym nez PPPoE nema moc smysl z duvodu jednoduchosti. U male site je to boj kvuli tomu, kdyz nema nejaky system a dela se to rucne, ze nekde musi bezet radius. Kazdopadne pokud nejaky system je, tak PPPoE usetri spoustu casu.
3 x