[*BSD]Аналоги CiscoISG

См. http://forum.nag.ru/forum/index.php?showtopic=61117

В кратце для Ъ:
1) ТС темы на наге не ориентируется в вопросе(хочет ISG для PPPoE).
2) На наге так же считают что ISG нет.

Ок. а еще какой вариант окромя Linux ISG есть для организации IPoE ?

Создавать справила шейпинга и блокировки юзеров скриптом по крону, а не динамически.

Создавать справила шейпинга и блокировки юзеров скриптом по крону, а не динамически.

Ок,а какие обьему поддерживает ipset+tc+iptables по количеству записей(среднего уровня современный сервак без допилов) ?

А можно же еще решить проблему так -
option 82 приходит на freeraduis - и он решает давать ип или нет(он же значет кто в какой порт(src_port) подрублен на оконечном свиче прова) ?

И как это http://freeradius.org/features/dhcp.html сответсвует дейстивительности в данный момент ?

1) http://freeradius.org/features/dhcp.html - не стоит, посмотрите лучше две реализации DHCP-SQL на наге(одна на си, другая на перле). Логику в этом случае удобно писать в базе на хранимках - желательно в постгресе. Ип давать нужно всегда, только некоторый диапазон адресов редиректить на какую то страничку - заглушку (речь о веб)

2) «среднего уровня современный сервак без допилов» - не понятно о чем речь, у всех разный средний уровень. Если использовать типичные кривые схемы с маркировкой юзеров в iptables - все будет плохо уже после двух сотен правил. Если делать правильно - хештаблицы в tс, тогда от количества юзеров/классов вообще ничего не зависит. Ну то есть больше 2^16 классов вы конечно не создадите, но думаю этого хватит. Квад кор, на чистом шейпинге прожует гигабит и больше, но опять же все зависит от того как настроено/какие сетевки/какой квад кор.

3) Если у вас линукс то чего бы не использовать LISG? единственный его недостаток и фича одновременно - это полисинг, а не шейпинг. На больших скоростях это заметно для юзера не будет.

Ну сишная реализация на дает возможность давать два ипа на порт(автор помоему на нее забил)

Да и cisco sce (там вроде linux) там оно как делает ограничение трафа(шейпинг оно держит или нет) ? И как оно там сделано, что вроде все довольны

Обычно в железных роутерах linux/fbsd/ios/netbsd решают только control plane задачи и не участвуют в обработке трафика. Со внутренностями sce не знаком, не работал, делает ли оно шейпинг не знаю. Но что то кажется мне что делает.

И си и перл реализации дают вам возможность написать свою особую логику и давать ип любым способом.

Вы вообще бы лучше огласили задачу.

Вы вообще бы лучше огласили задачу.

Есть такая схема
adsl модем(в режиме Ethernet encap.) -> dslam -> l3 switch -> core router

Нужно сделать что бы на основе того в какой порт воткнута тел пара давать ип и давать или не давать инет.
Причем очень желательно на модем выдавать блок ipv4 адресом(там нужно PVC я как понимаю использовать) и очень желательно блок ipv6(чтобы я этот NAT вообще не вспоминал до конца жизни :)

Я как картинку дорисую по схеме то по решению выложу на nag.ru

l3 switch

что за l3 switch? если сисько(например C3560/C6506sup720 ня!), то ip-unnumbered, dhcp snooping и т.п.

сейчас dslam-ы ведь умеют vlan-per-port?

dhcp отдавать какой либо модификацией dhcp-sql

что за l3 switch? если сисько(например C3560/C6506sup720 ня!), то ip-unnumbered, dhcp snooping и т.п.

да cisco 3560 .
Поясните по термину ip-unnumbered .
dhcp snooping - подымал в лабораторных условиях

сейчас dslam-ы ведь умеют vlan-per-port?

Да можно организовать, но тогда vlan будет очень много что не есть гуд.

dhcp отдавать какой либо модификацией dhcp-sql

Ну ок а если он сам вобьет себе ип + arp spoofing( тут тогда надо на каждый порт запоминать свой mac ) ?

по-гуглите по ip-unnumbered на forum.nag.ru там народ использует связку для раздачи интернетов vlan-per-user

C3560 говорят честно сжует 1000 SVI

Ну ок а если он сам вобьет себе ип + arp spoofing( тут тогда надо на каждый порт запоминать свой mac ) ?

C3560 пропустит по vlan-у только ip который через него выдал dhcp сервак, если не включать proxy-arp то пользователи будут разделены на Layer2 vlan-ами, а на Layer3 самой сиськой где access-ами рулим, при этом пользователям будет выдаваться ip из подсети вида 192.168.10/24 gw 192.168.10.1, но в предельном случае он будет видеть только gw

засчет такой схемы также экономится адресное пространство так как не надо выделять на каждого клиента /30

но весь трафик идет через сисько, однако роутинг на сиське железный и добрый

C3560 говорят честно сжует 1000 SVI

ок а дальше на коровском оборудовании как ?

засчет такой схемы также экономится адресное пространство так как не надо выделять на каждого клиента /30

Адресное простраснтво не критично , все равно его очень много у нас.

на роутер после C3560 приходят обычные пропущенные ip без vlan-ов, там их шейпим,снимаем netflow,nat-им и отправляем на бордер

на роутер после C3560 приходят обычные пропущенные ip без vlan-ов, там их шейпим,снимаем netflow,nat-им и отправляем на бордер

В принципе шейпинг лучше делать на самих zyxel дсламов ,
а нат тоже в принципе вариант.
Ок а как это все будет одновременно работать с ipv4 и ipv6 ?
Просто юзвери меня со своим НАТом образующиемся проблема просто запилили, и хочеться дать им ipv6 чтобы привести это в человеческий вид(пока не поздно, иначе будет сложно всем менять оборудование оконечное для ipv6) .

В принципе шейпинг лучше делать на самих zyxel дсламов

вам виднее

Ок а как это все будет одновременно работать с ipv4 и ipv6 ?

это надо смотреть в доке на сиську, как оно дружит\не дружит, какая версия нужна, какая лицензия

а как ipv4 и ipv6 любить одновременно не знаю