classic.ISPforum.cz

Zdravím Vás,
riešime teraz komplexne sieť a potrebujem pár informácii (čital som dosť tém aj testoval freeradius).
Máme menšiu sieť postavenú na optike, metalike a wifi, ktorá je teraz klasická routrovaná (koncove zariadenie je pre nás anténa alebo wifi router).
Skúšali sme nejaké možnosti IPTV (vytvorenie vlan ku zakaznikovy atď.) a chceme v rámci podpory predaja internetových služieb začať ponúkať aj IPTV.
Ďalšie rozširovanie má byť v réžii GPONu a zároveň chceme prejsť na radius (dúfam, že začiatkom roka 2017 Vám budem vedieť ponúknuť optiku a technológiu pre vedenia optiky vzduchom s menšim počtom splitrov a zvárania na stĺpoch a s tým súvisiace "elegantnejšie vedenie káblov ku zákazníkom, aby to medzi stĺpmi nevyzeralo ako pavučina).

S tým súvisia nasledovné otázky:
1. je lepšie v rámci routrovania použiť vlany (internet, iptv, manažment), a keď vlany tak až do centrálneho routra/shapera?

2. Čo sa týka radiusu:
a) je lepšie použiť distribúciu výkonu na jednotlivé AP/routery (overovanie MAC, PPPoE, SQ/QT), alebo je možné riešiť na AP/routeroch len overovanie a centrálne shaping?
b) je možné v rámci parametrov rádiusu použiť pre SQ/QT burst omedzený len časovo napr. na 15s (rýchlosť burstu sa nerieši, tá by bola obmedzená parentom pre dané AP/router)?
c) skúšali sme Radius Manager 4 (dobrý ale nedá sa ohnúť pre potreby napojenia na vlastné účtovníctvo a banky). Preklikal som pred časom aj OMISP. Rozmýšlali sme aj nad možnosťou nasadenia LMS a prepojenie sql konektorom na freeradius. Pozerali sme aj iné komerčné produkty. Má niekto nejaký produkt, ktorý by dokázal riešiť (po ohnutí) napr. overovanie MAC/PPPoE na koncových AP/routeroch, SQ/QT s burstom centrálne, presmerovanie neplatičov (alebo informačné zobrazenia (s nasadením https a koncom SHA1 s tým začnú byť problémy)), prepojenie na účtovníctvo/banku?

Pochopil jsem, že otázky se týkají RADIUSu v kombinaci s PPPoE.

1) Je lepšie v rámci routrovania použiť vlany (internet, iptv, manažment), a keď vlany tak až do centrálneho routra/shapera?

Pokud je operátorská síť vertikálně členitější, je lepší nacpat PPPoE co nejblíž k zákazníkovi. PPPoE server umí každý RouterOS. Pokud je síť víc do plocha, klidně lze použít VLANY nebo GRE (EoIP) tunely k centrálnímu PPPoE koncentrátoru/ům.

2 a) je lepšie použiť distribúciu výkonu na jednotlivé AP/routery (overovanie MAC, PPPoE, SQ/QT), alebo je možné riešiť na AP/routeroch len overovanie a centrálne shaping?

Obecně u bezdrátové přístupové sítě je lepší zakončovat PPPoE přímo na AP.

2 b) je možné v rámci parametrov rádiusu použiť pre SQ/QT burst omedzený len časovo napr. na 15s (rýchlosť burstu sa nerieši, tá by bola obmedzená parentom pre dané AP/router)?

Ano, viz MT-Rate-Limit, http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

2 c) skúšali sme Radius Manager 4 (dobrý ale nedá sa ohnúť pre potreby napojenia na vlastné účtovníctvo a banky). Preklikal som pred časom aj OMISP. Rozmýšlali sme aj nad možnosťou nasadenia LMS a prepojenie sql konektorom na freeradius. Pozerali sme aj iné komerčné produkty. Má niekto nejaký produkt, ktorý by dokázal riešiť (po ohnutí) napr. overovanie MAC/PPPoE na koncových AP/routeroch, SQ/QT s burstom centrálne, presmerovanie neplatičov (alebo informačné zobrazenia (s nasadením https a koncom SHA1 s tým začnú byť problémy)), prepojenie na účtovníctvo/banku?

Na odpověď jsem také zvědavý.

2) Já raději ty PPPoE koncentrátory sjednotit do jednoho místa na výkonné zařízení, tam se bude potom dobře dělat shaping například dle VLANŮ a různých profilů. Jinak u PPPoE se určitě nebát dělat L2 síť, není to jako DHCP
Pokud má být dodrženo MTU 1500 je třeba udělat MPLS s VPLS, hlavně to umožní i prodat okruhy a podobně...

až bych měl trochu volného času rád bych nějak umístil demo jak to celé mám, zatím ale stále mám co dělat

Cau,
jen v rychlosti.

Dle mojeho nazoru a i praktickych zkusenosti je nejjednodussi a nejlepsi z pohledu ISP resit plochou sit, takze cim min PPPoE serveru tim lip (musi se brat s rezervou, pokud je nekde na pateri kruh a nebylo jak jendoduse udelat tak samozrejme na kazdym takovym uzlu server) a budu popisovat vyhody tohodle reseni.

- Muzes dat vedle sebe rovnou 2 PPPoE servery (nebo i vic, ale nema moc smysl) a mas vyreseny rozlozeni zateze + zalohu HW kdyz jeden chcipne.
- Pokud transportujes takto PPPoE skrz celou sit, tak pak v logu jednoduse vidis ze se klient rozpadl kdyz je prolbem po trase. Pokud delas PPPoE na kazdym AP tak tuhle moznost nemas.
- Muzes si nastavit, ze se na radiusu overi uzivatel jen 1x a podruhy uz se nepripoji. (kdyz mas server na kazdym AP a pri vypadku napr el. se ti klienti znovu nenavazi - az za nejakou dobu podle nastaveni radiusu a nevis ani duvod rozpadu session)
- nejsi zavisli na zadnym vendoru, kdyz mas PPPoE na kazdym AP tak bohuzel ano (tohle byl duvod prechodu na PPPoE). Jako server pak muzes pouzit co chces, treba i cisco/juniper apod.
- muzes nabizet L2 okruhy, protoze po trase mas switche (takze nemusis ani resit vykon routeru po trase apod) a kdyz uz udrzujes vlany pro PPPoE, tak nejaky vlan pro neco dalsiho se ztrati. Stejne u optiky a IPTV jina moznost neni (takze proc mit na kazdym msite konfiguraci jinak).

jinak je tech vyhod samozrejme vic.

Jinak PPPoE a radius vseobecne:
- vidis kdo je aktualne pripojeny a kdo ne i s historii
- automaticky pocitani prenesenych dat u kazdyho uzivatele
- u switchu (pokud podporuje) moznost videt ze kteryho portu se presne klient pripojil
- identifikace presnyho uzlu z kama se klient pripojil
- automaticky omezeni rychlosti PPPoE linky + moznost automatickych filtru, acceslistu pro blokovani apod.
- celkove vyssi bezpecnost pokud dodrzujes izolaci portu apod.
- podstatny zjednoduseni pristupove site, protoze radius se o vsechno postara
- klient mzue mit v ramci cele site porad stejnou IP (tady uz pak zalezi na politice routovani apod., ale problem v tom neni vubec zadny - ma smysl pouze u verejnych adres)

+ vseobecna vyhoda radiusu pro overovani pristupu do zarizeni apod.

Jinak ono asi resit sit na necem jinym nez PPPoE nema moc smysl z duvodu jednoduchosti. U male site je to boj kvuli tomu, kdyz nema nejaky system a dela se to rucne, ze nekde musi bezet radius. Kazdopadne pokud nejaky system je, tak PPPoE usetri spoustu casu.