+ Responder ao Tópico

  1. Assim hoje em dia se a rede for camada 2 não tem como usar algo diferente de pppoe, aaahhh mas a Verizon usa... Cara nem achei a informação para validar isso, o que achei é que um lado do país usam DHCP e do outro PPPoE, e se o cliente quiser pode escolher, mediante carta assinada... Outra coisa, hoje em dia tá cheio de espertinho clonando MAC logo, recorrer para autenticação pelo MAC é morte súbita, ahhh mas a gente vai ter VLAN individual para cada ONU espetada na OLT, vai lá amigão colocar teu hotspot em cada Vlan. Não estou aqui para rebater ninguém mas gente, pensem bem DHCP sempre vai entregar o IP antes da autenticação, não tem outra forma, sempre vai depender do MAC. E eu não acho uma boa ideia depender de MAC, gosto muito de amarrar tudo ao login, inclusive o IP! TsouzaR não quero que me entenda mau mas eu tenho muito conhecido, muito mesmo, já até participei de grupos de trabalho para redes que atendem mais de 50k usuários, ninguém mais usa hotspot ou dhcp, sem contar que essas soluções em camada 3 gastam IP de varde. Sei que tem argumentos bons, mas vou ser honesto esse overhead que é teu principal argumento, eu gastei tempo esse fim semana analisando, cara não chega e ser 5% de um processador core 2 duo, não acho que isso vá impactar toda a rede, agora uma rede bem configurada posso garantir que não dá problema no pppoe, não em ccr, é claro, ela por si só da problema! Haha.

    Enviado via XT1563 usando UnderLinux App


  2.    Publicidade


  3. Hm... ainda não me convenceu, hehehe.

    A rede de acesso é sempre camada 2, não entendi seu ponto quanto a isso. Se for pela questão do broadcast e comunicação entre clientes, basta configurar isolamento no equipamento do ponto de acesso e alguns filtros no switch e/ou firewall do roteador...

    Sobre a autenticação, ao menos para DHCP + Radius, MAC é o de menos. Dá para usar a opção 82, onde a OLT informa o ID único da ONU na rede (slot, porta PON e ID da ONU na porta), por exemplo. MikroTik, e acho que qualquer switch, infelizmente vão usar a porta física e o MAC como valor para opção 82, então uma alternativa é configurar usuário e senha na opção 82 no roteador do cliente (já se faz isso para PPPoE, então não é trabalho a mais). É possível ainda usar o MAC, em conjunto à opção 82, para fortalecer a autenticação, e isso é especialmente interessante quando se usa PACPON, onde a opção 82 vai identificar a ONU/PACPON e o MAC identifica o roteador do cliente (ele vai conseguir clonar no máximo o MAC de outro usuário do mesmo PACPON).

    Há como dificultar a clonagem de MAC, se você não deixa o usuário ter acesso ao CPE: VLAN com MAC alterado. O usuário pode até conectar algo na porta WAN e pegar o MAC dela, mas não vai ser o mesmo usado para a autenticação e ele terá que adivinhar o ID da VLAN. Ou o cara pode ser muito esperto e rodar um Wireshark e pegar o ID da VLAN, mas com todo esse esforço já está merecendo conseguir fazer essa clonagem, hehehehe. Nesse caso seria um VLAN ID comum para todos clientes, nada bizarro com um ID por cliente.

    De qualquer forma, também não acho que deva usar exclusivamente o MAC como identificador na autenticação. A opção 82, seja fornecida pelo equipamento do ponto de acesso (quando é uma informação confiável, não baseada em MAC), seja fornecida em forma de usuário e senha no roteador do cliente, é a melhor solução, embora no caso de fornecer no roteador, é preciso que ele seja algo mais avançado (uma RB ou ER) ou tenha OpenWrt/DD-WRT/etc. instalado (o trabalho de provisionar isso é o preço por uma rede de acesso melhor ). Isso não é problema para mim, uma vez que no meu ver, o CPE deve ser fornecido pelo provedor, visando que o cliente não tenha acesso a ele (cliente acessando CPE é o inferno!).

    Atualização: sobre a eficiência no uso de IPs, basta dimensionar bem o tamanho de cada rede de acesso e do prefixo IPv4 a ser usado nela. Se tem muitas redes de acesso pequenas, junte por meio de VLAN ou VPLS algumas delas (não vai ser problema com filtros e isolamento configurados) para usar faixas de IPv4 maiores e evitar o desperdício com endereço de rede e broadcast. Esse caso que você mencionou, das 10 redes de 2.5K de clientes, basta usar em cada uma um prefixo /21 + prefixo /23 (configurado o próximo pool), ou algo semelhante. De qualquer forma, todo mundo vai acabar partindo para CGNAT em IPv4, então vai ser IP privado para todo lado mesmo, não há com que se preocupar com economia de endereços, muitos menos em IPv6.

  4. Só para alimentar mas a discussão, esperamos que o IPoE venha para

    Enviado via XT1563 usando UnderLinux App

  5. Cara, concordo com tudo que você falou, em grau até de acentuação! Alto nível, na verdade até tenho uma curiosidade... Já teve problema em controlar a banda em casos onde o cliente estava com P2P estourando o upload, usando IPoE? Digo isso pois tenho uns testes aqui onde presto suporte e percebi que o controle de banda não é tão eficiente nessa estrutura, claro que não estou usando mikrotik, mas pelo que vi pelos fóruns no mikrotik é pior ainda...

    P.S.1: se o cara conseguir adivinhar ou descobrir a VLAN merece mesmo internet de graça!

    P.S.2: acho que não dar acesso a CPE para o cliente é o caminho correto para todo provedor!

    P.S.3: usar OpenWrt fica bom demais, tem usado bastante isso?

    Enviado via XT1563 usando UnderLinux App

  6. Citação Postado originalmente por andrecarlim Ver Post
    Cara, concordo com tudo que você falou, em grau até de acentuação! Alto nível, na verdade até tenho uma curiosidade... Já teve problema em controlar a banda em casos onde o cliente estava com P2P estourando o upload, usando IPoE? Digo isso pois tenho uns testes aqui onde presto suporte e percebi que o controle de banda não é tão eficiente nessa estrutura, claro que não estou usando mikrotik, mas pelo que vi pelos fóruns no mikrotik é pior ainda...
    Se refere ao IPoE do accel-ppp? Se for, nunca usei isso, hehehe.
    Agora, se for como se chama essa forma que defendi nos meus posts, nunca tive problemas de controle não, mas talvez seja porque as redes que gerencio são no interior, onde o pessoal não é muito acostumado a usar torrent devido às pequenas bandas ofertadas desde sempre.

    Citação Postado originalmente por andrecarlim Ver Post
    P.S.3: usar OpenWrt fica bom demais, tem usado bastante isso?
    Onde já sugeri essa solução com opção 82 definida no roteador do cliente, não aceitaram justamente por causa do trabalho de substituir o firmware dos roteadores, hehehehe. E também porque usavam MK-Auth, não queriam mudar e ele não está adaptado para opção 82. Acabou-se usando o MAC mesmo para a autenticação e até hoje nunca tivemos problema com clonagem ou nunca fiquei sabendo.

    Estou projetando uma nova rede, minha mesmo, e nela vou usar hAP Lite ou algum TP-Link/D-Link (quase decidindo pelo DIR-615) com OpenWrt em todos clientes.




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L