А на железе иное

Он пишется пару минут

А чем это лучше радиуса то?

Ничем :)

Ну вот

Лишние проблемы

Какой то костыль, требующий постоянного поддержания актуальности, вместо загрузки из билинга ондеманд

+1

Вобще блин бредовый спор)

Какой то костыль, требующий постоянного поддержания актуальности, вместо загрузки из билинга ондеманд

У нас нет сессий и ондемонда ?

У нас сессия = месяц который абон оплатил. Зачем биллинг дергать каждый раз когда он лезет в инет? :)

А у wingman будет

У нас сессия = месяц который абон оплатил. Зачем биллинг дергать каждый раз когда он лезет в инет? :)

У прошлой работы посуточная тарификация.

Вобще блин бредовый спор)

Ни о чем, ага :)

Потому что тарифы могут быть хоть индивидуальные пер юзер

для этого не обязательно городить миллион правил.

для этого не обязательно городить миллион правил.

Боян, обсудили уже

Радиус поддерживается всеми вендорами всех брасов, максимум - нужно атрибуты добавить Если и это не аргумент - я умываю руки)

https://wiki.nftables.org/wiki-nftables/index.php/Stateful_objects

https://wiki.nftables.org/wiki-nftables/index.php/Stateful_objects

Ну изврат же для браса)

Ну изврат же для браса)

ну почему же. можно всякие per user counters

Ага, вместо того, чтобы просто отдать радиусом)

Замена радиус акаутингу?))

Ага, вместо того, чтобы просто отдать радиусом)

радиус тут только инструмент получения инфо из биллинга

Замена радиус акаутингу?))

Ща скажут, что трафик надо считать нетфлоу или вообще не считать)

радиус тут только инструмент получения инфо из биллинга

А еще отправки аккаунтинга и coa

Замена радиус акаутингу?))

чем, простите, nft отдающий аккаунтиг в юзерспейс, отличается от модуля lisg отдающего аккаунтинг в юзерспейс?

чем, простите, nft отдающий аккаунтиг в юзерспейс, отличается от модуля lisg отдающего аккаунтинг в юзерспейс?

Lisg, как бы, в радиус отдает

А еще отправки аккаунтинга и coa

угу. но вот хочешь ты дать юзеру 10мб трафика исключительно на интернет-банк

лисг как бы в перловый демон свой отдаёт

а он уже в радиус

угу. но вот хочешь ты дать юзеру 10мб трафика исключительно на интернет-банк

Отдаешь радиусом нужный сервис, и вуаля

Коа сервис активейт

а он уже в радиус

И? С т.з. эксплуатации - в радиус

И? С т.з. эксплуатации - в радиус

ну так с т.з. эксплуатации никто не мешает аккаунтинг в радиус не из LISG модуля слать, а из nft...

Запилив самостоятельно еще один костыль?)

Ну и это, радиус аккаунтинг подразумевает сессии, против которых ты протестуешь)

я говорю что без них можно жить прекрасно

но если мы пилим сессии и радиус - то вариантов как это на линуксе реализовать можно - масса

Опять же если абоненты на белых ипах, то трафик на неактивных клиентов дропается на брасе

Опять же если абоненты на белых ипах, то трафик на неактивных клиентов дропается на брасе

Или на бордере, если нет /32 от браса

Вместо прохождения насквозь и генерации arp request

+

Ну /32 гонять на бордер это себе идея

:(

Норм, если внешников мало)

Фиб не резиновый

В случае с туннелями и балансировкой брасов без этого вообще никак

Кстати

Лисг же не умеет профили сгружать с радиуса :D

Ну я за схему л3 коннектед сабскрайберов

Там можно без /32

Фиб не резиновый

Ну или пред-брас для аггрегации маршрутов внешников (тоже изврат;) )

Лисг же не умеет профили сгружать с радиуса :D

Умеет

ткни меня в доку плиз. Хоть убей не вижу

Экзампл конфиг глянь, там чето было про профили

Я с млбилы щас

мы об этом лисге? https://bitbucket.org/sysoleg/lisg/wiki/Home

Да

Поддержка сервисов Каждая сессия может иметь примененные к ней сервисы.

И далее

"Прежде всего нам следует определить классы трафика в etc/tc.conf:" "Теперь определим сервисы (смотрите etc/config.pl):"

Да, ну так сервисы - это не тарифы, их мало

ну как не тарифы?

$cfg{srv}{"PRIVATE"}{type} = "policer"; # this is by default, can be omitted $cfg{srv}{"PRIVATE"}{rate_info} = "QD;50000000;1562500;U;50000000;1562500"; $cfg{srv}{"PRIVATE"}{traffic_classes} = [ "CLASS_A", "FIRST" ];

вон, скорости указаны

да там адовые перл костыли. это редкостный треш.

я как-то на заре этого проекта заглядывал под капот. испугался и закрыл)

Cisco-Account-Info = QC;<имя_класса>;U;cir;normal burst;D;cir;normal burst Указание скорости для класса трафика. Будет динамически создан сервис с именем вида DYN_*, с единственным классом "имя_класса" и применен к сессии. Cisco-Account-Info = QC;MY_CLASS;U;512000;96000;D;512000;96000

ERROR: S client not available

в продакшене это я бы не запустил)

ну, скорости оно умеет выгребать

если их радиус отдаёт...

я как-то на заре этого проекта заглядывал под капот. испугался и закрыл)

Работает в проде на десятки гиг, и норм)

у нас одна из проблем была в том, что радиус отдаёт только имя сервиса, к примеру

при этом этих сервисов - вагон и маленькая тележка

а лисг не умеет их выгребать из радиуса

Отдаешь радиусом нужный сервис, и вуаля

а кто этот сервис реализовывать будет? )) лимиты и вот это всё.

а кто этот сервис реализовывать будет? )) лимиты и вот это всё.

ну там модуль ядре жеж ) он и будет )

а кто этот сервис реализовывать будет? )) лимиты и вот это всё.

См выше

Вообще причем тут лисг

а изначально с него начали )

Я топлю не за него, а за радиус, vs тупой постоянной перезаливки правил из билинга в брас)

Я топлю не за него, а за радиус, vs тупой постоянной перезаливки правил из билинга в брас)

зачем их перезаливать если можно только изменения вносить? :)

ладно, завязываем короче :D

Ну /32 гонять на бордер это себе идея

Норм-норм идея, просто бордел из говна не надо держать :)

Допустим, что интерцепт внедряет "ответвления" трафика такими /32 мартшрутами. Если у нас 1 млн абонентов, а на прослушке может стоять до 5%, то надо допустить наличие в сети 50к таких маршрутов. То есть это была бы, наверное, европейская норма. У нас все упростили и мы зеркалируем все 100% трафика, так что оставьте эти 50к для анонсирования внешников между брасами :)

ну, на бордере обычно с фибом всё нормально - пара десятков тысяч /32 ему сильно не помешают )

Гавно идея

ну, мож им по другому никак...хз

Допустим, что интерцепт внедряет "ответвления" трафика такими /32 мартшрутами. Если у нас 1 млн абонентов, а на прослушке может стоять до 5%, то надо допустить наличие в сети 50к таких маршрутов. То есть это была бы, наверное, европейская норма. У нас все упростили и мы зеркалируем все 100% трафика, так что оставьте эти 50к для анонсирования внешников между брасами :)

А на исг можно через коа запрос активировать на сессии LI

Если говно втоптать в землю по ддеревом и оставить на годик, потом вырастут офигенные арикосы :)

А на исг можно через коа запрос активировать на сессии LI

Да... как костыль в условиях отсутствия СОРМа такое ФСБ хавало...

Допустим, что интерцепт внедряет "ответвления" трафика такими /32 мартшрутами. Если у нас 1 млн абонентов, а на прослушке может стоять до 5%, то надо допустить наличие в сети 50к таких маршрутов. То есть это была бы, наверное, европейская норма. У нас все упростили и мы зеркалируем все 100% трафика, так что оставьте эти 50к для анонсирования внешников между брасами :)

Хз как ты трафик двухсторонний соберёшь таким костылём

Ну как... он должен пройти весь через одно место :) Без вариантов :) Эдакий полулуп в сети получается :)

Не соберёшь ты

Простым анонсом /32

Главное, правильно настроить политики, чтобы в луп не превратилось :) Ну как не соберешь... ну собирали же :) И зная как внутри работало, по трассе могли понять, следят за нами или нет :)))

Где было 3 хопа, становилось 5-6 :)

Как ты обманешь брас?

Он в интернет по дефолту будет ходить.)

Это пбр надо.