skn писал(а):
IP адреса у клиентов в описанной выше схеме статические?
Нет, динамические.
Статичным в подобной, как и в любой иной, схеме является только БГБ, который хранит в себе абонентов и все что с ними связано и свысока наблюдает за динамическим изменением окружающего его оборудования
Мой опыт общения с операторами показывает, что подавляющее большинство респондентов использует динамические адреса, а статику используют только в случае предоставления статических белых адресов.Представьте, что это классическая схема "VLAN на пользователя", где все вланы пользователей стянуты в ядро.
Дело в том, что когда нет DHCP Relay и, соответственно, нет Option 82, то БГБ негде брать информацию о точке подключения абонента, хотя, при этом, в БГБ есть почти абсолютно все, что можно знать о сети. Почему "почти"?
В классической схеме, которую поддерживает БГБ для IPoE абонента в RADIUS прилетит нечто подобное:
Код:
Packet type: Access-Request
Identifier: 11
Authenticator: {07 44 E3 D2 2A 4B 72 3F 12 23 C5 37 23 B7 4A 59}
Attributes:
NAS-Identifier=Redback
User-Name=e8:11:32:70:a5:f8
User-Password=Redback
NAS-IP-Address=172.16.255.1
NAS-Port=-1761607613
Service-Type=5
NAS-Port-Id=lg id 825 vlan-id 1000 clips 131139
NAS-Port-Type=5
Mac-Addr=e8-11-32-70-a5-f8
Medium-Type=11
DHCP-Option={3D 3D 07 01 E8 11 32 70 A5 F8}
DHCP-Option={0C 0C 09 70 61 75 6C 2D 6E 6F 74 65}
DHCP-Vendor-Class-Id=MSFT 5.0
NAS-Real-Port=604394472
И в этом случае в БГБ абсолютно все прекрасно работает, т.к. он, в текущем состоянии, целиком и полностью под это заточен.
В случае использования Q-in-Q в RADIUS прилетит такое - это реальный пакет с реального SE (в примере пакета выше я просто стер верхний тег):
Код:
Packet type: Access-Request
Identifier: 11
Authenticator: {07 44 E3 D2 2A 4B 72 3F 12 23 C5 37 23 B7 4A 59}
Attributes:
NAS-Identifier=Redback
User-Name=e8:11:32:70:a5:f8
User-Password=Redback
NAS-IP-Address=172.16.255.1
NAS-Port=-1761607613
Service-Type=5
NAS-Port-Id=lg id 825 vlan-id 101:1000 clips 131139
NAS-Port-Type=5
Mac-Addr=e8-11-32-70-a5-f8
Medium-Type=11
DHCP-Option={3D 3D 07 01 E8 11 32 70 A5 F8}
DHCP-Option={0C 0C 09 70 61 75 6C 2D 6E 6F 74 65}
DHCP-Vendor-Class-Id=MSFT 5.0
NAS-Real-Port=604394472
На DHCP-Option можно не смотреть, т.к.
Цитата:
Currently, this VSA supports DHCP options 12 (hostname), 61 (client identifier), and 77 (user class)
Как его авторизовать?
Можно проставить AGENT_REMOTE_ID и AGENT_CIRCUIT_ID на основе свича и порта из дерева, но, опять же, не ясно какого именно свича и какого именно порта?
Если мы хотим авторизовать по VLAN (у нас же "влан на пользователя", так что все вланы уникальны), то какой VLAN_ID проставлять? Как указать в клиенте или еще каким-либо иным образом сообщить БГБ, что VLAN 1000 находится внутри влана 101?
Представьте, что у вас этих "верхних" вланов не один, а штук 10 и в каждом из них живет по 1000++вланов и все они на одном NASе.
Самое обидное, что в БГБ прописано почти все, что нужно для однозначной идентификации пользователя и не хватает только понятия "верхний влан".
Могу предложить наверное самое простое, решение "тупо-в-лоб":
Необходимо в редакторе VLAN ресурсов добавить справа (дабы много не переделывать) от диапазона поле ввода вланов новое поле и обозвать его просто "S-VLAN" (это достаточно
стандартное обозначение верхнего тега). Если это поле пустое, то это означает, что используется простое тегирование (как сейчас), а если оно не пустое или его значение < 1 (упаковать во VLAN с VID < 1 не реально) - это означает, что весь данный диапазон VLAN является
C-VLAN.