Задать вопрос

Схема для микрорайона?

Добрый день!

подскажите, пожалуйста, оптимальную схему для след. задач. и плюсы и минусы моей.

есть: микрорайон, в нем куча тупых access-свитчей, на агрегации пусть будет 3750.

дальше линк до 65й. к ней подкручены шейпер и нат. а также пользователи с белыми и серыми IP.

нужно: пользаки с серыми IP ходили как положено по схеме user>shaper>nat>inet.

пользаки с белыми user>shaper>int.


но хочется сделать так чтобы при отрицательном балансе пользак попадал на DNS где ему выдавало дефолтную

страницу и предложение оплатить счет


думали насчер VRF. создать пару vrf, для белых и серых пользователей. но как заставить сначала ходить на dns…
  • Вопрос задан
  • 4390 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
opium
@opium
Просто люблю качественно работать
Ну так то можно для неплатящих юзеров делать редирект 53 порта на свой днс.
Ответ написан
Комментировать
elve
@elve
Можно перебрасывать пользователей в отдельный изолированный vlan, в котором сделать виртуалку с адресами всех шлюзов и редиректом любых запросов по 80 и 443 портам на страничку с просьбой оплатить интернет.
Ответ написан
Комментировать
@JDima
Как вы умудрились поднять шейпер на 6500, если он не поддерживает шейпинг?
но как заставить сначала ходить на dns…

Если пользователь обязан настраивать именно провайдерские DNS, то можно создать отдельный VRF для задолжников с той же адресацией, с отдельным DNS сервером, имеющим тот же адрес, что и «честный» сервер.
Или как-то подкрутить основной сервер, чтобы он задолжникам выдавал один и тот же адрес.
Ответ написан
В 6500 мы использовали одно время UBRL для «шейпинга».

В целом, вариант с отдельным вланом — самое то. Если, конечно, у вас нет абонов, которые сидят в «тупых» свичах.
А далее простым роут-мапом выкидываем на страницу «Дай бабла».
Ответ написан
Комментировать
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Вам редиректить траффик лучше. Видимо, основным маршрутизатором у вас выступает отдельный сервер, он же, наверно, и выполняет роль биллинга. Тогда вам надо делать route-map на сервере, в линухе это через ip rule можно реализовать. А вообще, если бы был путевый роутер, можно было бы рассмотреть варианты с L4-редайректами, обычными route-map'ами.

С DNS не очень хорошо, так как не обязательно же люди пользуются вашим DNS, да и у них даже может быть свой кеширующий сервер внутри сети. Обход найдется.
Ответ написан
IlyaEvseev
@IlyaEvseev
Opensource geek
Т.к. используются неуправляемые коммутаторы, перенос заблокированных клиентов в отдельный vlan не сработает.
Остается фильтрация на Интернет-шлюзе.
На примере FreeBSD и ipfw это выглядит примерно так:

# table 1 = enabled clients..
ipfw add 5000 allow all from 'table(1)' to any
ipfw add 5000 allow all from any to 'table(1)'

# local port 81 = "no money" http microserver..
lan_nic="em0"
ipfw add 5100 fwd 127.0.0.1,81 tcp from any to any 80 via "$lan_nic" in
ipfw add 5100 allow            tcp from any 80 to any via "$lan_nic" out

# disable all remaining forwarding..
ipfw add 9999 deny all from any to any
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы