Как обычно реализован абонентский интернет по Wi-Fi?

Question

[Талян]

Чтобы было понятнее, опишу сначала то, чего добиваюсь, а потом конкретизирую вопросы.

Есть абоненты, которые подключаются к точке доступа. Где-то заранее определны mac-адреса, и по ним абонент кидается в определенный для него VLAN. Отдельные VLAN'ы нужны для разграничения тарифных скоростей.
Абоненты делятся на группы (семьи), у каждой семьи свой тариф и ограничение скорости.

Как сейчас это реализовано:
Debian на котором поднимаются IPoE сессии на виртуальных интерфейсах.
Каждому абоненту заранее создан свой VLAN типа VLAN2XXX,VLAN2YYY, VLAN2ZZZ, и каждый такой интерфейс получает динамический IP от BRAS и соответственно ограничение по скорости, соответствующее тарифу.

Далее на Debian создаются парные VLAN, который соответствуют абонентам: VLANXXX,VLANYYY,VLANZZZ.

Между каждой парой VLAN2XXX-VLANXXX, VLAN2YYY-VLANYYY, VLAN2ZZZ-VLANZZZ настроен форвардинг и маршрутиризация.

Парные интерфейсы VLANXXX-VLAN2XXX и тд. нужны только для того, чтобы VLAN2XXX по DHCP через IPoE от BRAS получил интернет по определенному тарифу, а уже на парном интерфейсе VLANXXX поднят отдельный DHCP сервер с отдельным пулом адресов и реализована раздача этой скорости нескольким адресам в семье (не на одно Wi-Fi устройство).

Все парные VLANXXX,VLANYYY,VLANZZZ пакуются с помощью QinQ в один VLAN, выходят из сетевого интерфейса Debian, попадают в сеть, идут до оконечного коммутатора в здании, там на порту коммутатора они разворачиваются в отдельные VLANXXX,VLANYYY,VLANZZZ и с помощью MAC-VLAN (который вручную забивается для каждого мака) происходит назначение определенным макам определенные VLAN. Маки на этот коммутатор приходят с близстоящей точки доступа (самой обычной), в которой отключен DHCP.

Так же существует отдельный гостевой VLAN, куда попадают маки, которые не прописаны в MAC-VLAN таблице. Их кидает в отдельный VLAN где вылазит страница для авторизации и предложением для регистрации.

То есть есть куча семей со своими тарифами, их устройства сгруппированы в VLAN и у каждого такого семейного VLAN свой тариф.

Мне эта схема как-то не нравится, хоть она и работает.

Вопрос 1: Может кто знает как более деликатно решить такую задачу? Может есть такие не особо дорогие точки доступа, которые умеют и MAC-BASED-VLAN, и в то же время разворачивать QinQ?

Вопрос 2: Может это вообще реализуется как-то очень просто, а я изобретаю велосипед?

Вопрос 3: Может кто работал с такими вещами и подскажет уже готовые решения?

Если в конце прочтения данного чтива вы спросите - а на зачем это надо? Отвечу - ну, блин, вот надо :)

Answer 1

[iddqda]

Извини не понял зачем нужны сдвоенные вланы и QinQ
точек у тебя наверное много. Чтобы управлять ими нужен контролллер
Нормальные точки с контроллером сами контролируют заданную скорость.
А дальше в проводной среде можешь всех в один влан сунуть и DHCP выдавать из общего пула.
Посмотри как пример недорогого и вполне взрослого решения на Unifi
Точки стоят разумно, контролер бесплатный. Позволяет сделать группы пользователей, ограничение скорости, разные типы авторизаций. Поддерживает внешний captive portal. есть restful api и библиотеки для питонов и js

Comments

[Талян]

Нормальные точки с контроллером сами контролируют заданную скорость.

Но как же с ними будет работать биллинг? Он на BRAS'e скорость выставляет.

А дальше в проводной среде можешь всех в один влан сунуть и DHCP выдавать из общего пула.

А клиенты между собой изолируются как-то в такой схеме?

[hint000]

Талян,

А клиенты между собой изолируются как-то в такой схеме?

Wi-Fi изолировать - крошечная капелька смысла. Эфир всё равно общий, и снифать эфир не запретишь. Ну это похоже на... свитч, размещённый в общедоступном месте; на каждом порту отдельный VLAN для клиента, но любой клиент может подойти к свитчу и переткнуть свой кабель в другой порт. Изоляция по заветам Неуловимого Джо - массово не снифят эфир лишь потому, что это никому нафиг не нужно.

[Талян]

hint000, я полностью согласен, но приличия для ))

[iddqda]

Талян, про билинг не знаю
ну он тоже может участвовать, авторизовать клиента на контроллере
там при авторизации скорость можно задавать

from pyunifi.controller import Controller
def LoginUserOnController(mac):    
    c = Controller(app.config['UNIFI_WLC_IP'], app.config['UNIFI_WLC_USER'], 
        app.config['UNIFI_WLC_PASSW'], app.config['UNIFI_WLC_PORT'], app.config['INIFI_WLC_VER'], 
        app.config['UNIFI_WLC_SITE_ID'], app.config['UNIFI_WLC_SSL_VERIFY'])

    c.authorize_guest(mac, app.config['TIME_QOUTE'], 
        up_bandwidth=None, down_bandwidth=None, byte_quota=None, ap_mac=None)

А изолировать беспроводных клиентов любая АР может. Ну а если надо между точками изоляцию то в разные вланы точки сунуть или другово вендора типа циски или микрота где CAPWAP тунели.

[iddqda]

hint000, снифать можно только открытые сети
если есть WPA то аналогия со свичем тоже работает, только если на свиче и клиенте нормально dot1х настроен

[Талян]

iddqda, Спасибище тебе большое за просвещение) Я и не знал, что питонянские библиотеки целы есть для убиков.

Answer 2

[WERA34]

Сейчас самый мощный интернет в транспорте - Fiway, реально тянет одновременно 50 пассажиров и переключение идет с оператора на оператора, в разных странах, очень классный