[GTER] PPPoE para redes de acesso via rádio

Pedro Mauricio pedromauricio at gmail.com
Mon Aug 19 11:11:31 -03 2013


Adriano,

Com o MX5 (Juniper), voce utiliza o radius para gerenciar as autenticações?
Os parametros de criação de QUEUE para os clientes são os mesmos do
mikrotik?



Att.
Pedro Mauricio
Administrador de redes - Globalwave Telecom
e-mail: mauricio at globalwave.com.br
www.globalwave.com.br




Em 18 de agosto de 2013 19:30, Adriano Struck - TPA
<adrianos at tpa.com.br>escreveu:

> Isso mesmo, MX5.
>
> att.
> Adriano Struck
> Gerente de Redes - TPA Internet
> E-mail: adrianos at tpa.com.br
> (47) 3036-5300
> http://www.tpa.com.br
>
>
>
> Em 16 de agosto de 2013 22:43, Leonardo Silva <leonardosilva at gmail.com
> >escreveu:
>
> > Adriano,
> >
> > O que vc esta usando para autenticar essas 12 mil sessoes ? Juniper MX5 ?
> >
> > []'s
> >
> >
> > Em 15 de agosto de 2013 16:39, Adriano Struck - TPA
> > <adrianos at tpa.com.br>escreveu:
> >
> > > Mais alguns fatos sobre a descentralização:
> > >
> > > - quebrar redes gera desperdício de recursos IP, pedir mais IP's está
> > cada
> > > vez mais difícil devido a escassez;
> > > - aumenta a complexidade, visto que aumenta o número de roteadores a
> > serem
> > > gerenciados;
> > > - qualquer ataque DDoS direcionado a um cliente vai parar o caminho até
> > > esse cliente, devido a pouca capacidade do path.
> > >
> > > Como você falou em "segurança", atente-se a última opção. Se não teve
> > > nenhum DDoS na vida é porque tens sorte, hehehe.
> > >
> > > att.
> > >
> > > Adriano Struck
> > > Gerente de Redes - TPA Internet
> > > E-mail: adrianos at tpa.com.br
> > > (47) 3036-5300
> > > http://www.tpa.com.br
> > >
> > >
> > >
> > > Em 14 de agosto de 2013 16:22, Otavio Augusto <otavioti at gmail.com>
> > > escreveu:
> > >
> > > > @adriano
> > > > Quanto aos IPs vc pode ter uma rede roteada com classes quebradas, se
> > > > estiver esgotando os ips vc pode pedir mais pro Nic.BR, O fato de
> usar
> > > > ips em roteamento justifica o pedido junto ao Nic.BR
> > > > Quanto ao uso de caixas pode ser mas eu usaria a caixa em redes onde
> o
> > > > usuário é cabeado e no NÓ principal  (provavelmente o datacenter).
> > > > Outra coisa que deve ser levado em consideração é a topologia da
> rede.
> > > > No meu caso específico a saida do link é lado oposto do meu
> > > > datacenter. Colocar o concentrador no ponto de saída do link é ruim
> > > > pois é um lugar ermo coloco o mínimo de equipamento lá e trazer o
> > > > tráfego de todo mundo para o datacenter fica muito caro.
> > > > Quanto a gerenciar os servidores o radius que reponde todas as
> > > > configurações para cada concentrador, então as configs dos
> > > > concentradores, no meu caso MK, é mínima e não armazenam nada do
> > > > usuário.
> > > > Mas como existem várias maneiras de se fazer a mesma coisa , e isto é
> > > > bom, cada um faz da maneira que achar melhor e mais seguro
> > > > para a qualidade do serviço de acordo com suas condições e
> > > > necessidades é legal ver o seu ponto de vista pois abre mais opções
> > > > para todos na hora de projetar uma rede nova :)
> > > >
> > > > @Raimundo
> > > > O PPPOE em si não traz segurança para usa rede com relação a acesso
> > > > indevidos e garantia de privacidade do cliente.
> > > > Em redes sem fio todos sabemos de WiFi é bem fácil de penetrar
> podendo
> > > > um cliente seu ter seu trafego capturado por terceiros ou faciltando
> a
> > > > entrada de usuários piratas.
> > > > Usar chaves de criptografia WPA2 faz aumenta em muito a segurança da
> > > > rede. E checar as chaves dos usuário por radius é uma ótima opção
> pois
> > > > vc não teria uma única chave que poderia cair nas mão de alguém mal
> > > > intencionado.
> > > > Algumas pessoas acham que por PPPOE resolve os problemas de
> segurança,
> > > > mas estão enganados pois mesmo criptografado ele traz segurança
> baixa.
> > > > PPPOE é ótimo para gerenciamento de usuários mas fraco em segurança.
> > > > Independente de sua estratégia ser centralizada ou não com PPPOE ou
> > > > não, pense em implantar uma solução de segurança robusta ao meio
> > > > físico, no nosso caso o ar.
> > > >
> > > > Sobre WPA com radius vc pode começar por aqui :
> > > > http://www.smallnetbuilder.com/content/view/30210/98/
> > > >
> > > > Em 14 de agosto de 2013 15:25, Raimundo Santos <raimundo at w1.com.br>
> > > > escreveu:
> > > > > @clecio:
> > > > >
> > > > > Rapaz, muito obrigado pelas dicas! Aqui usamos Ubiquity e Mikrotik,
> > > nada
> > > > > além disso (talvez uma ou outra exceção). Creio que não terei
> > problemas
> > > > > então quando for tentar. Trabalhamos com quase tudo a 5.8GHz.
> > > > >
> > > > > @otavio:
> > > > >
> > > > > Legal teu case, Otavio, e como já temos RouterBOARDs rodando na
> > maioria
> > > > dos
> > > > > APs, a ideia de descentralizar fica simples. Porém pretendo
> > implementar
> > > > - e
> > > > > já estou no caminho! - redundância de máquinas que servirão o
> PPPoE,
> > e
> > > > > pensei que, sendo a rede giga interna ao CPD, e essas máquinas
> > > > conversando
> > > > > com os APs via VLANs, o problema de descentralizar não seja tão
> > > relevante
> > > > > assim.
> > > > >
> > > > > Não entendi muito bem seu último parágrafo. Eis o que entendi: devo
> > > usar
> > > > > uma chave WPA2 para cada cliente, independente da autenticação
> feita
> > > por
> > > > > PPPoE?
> > > > >
> > > > >
> > > > > []s!
> > > > >
> > > > >
> > > > > 2013/8/13 Otavio Augusto <otavioti at gmail.com>
> > > > >
> > > > >> Tenho provedores parceiros com PPPOE a uns 10 anos. E funciona
> muito
> > > > bem.
> > > > >> O maior benefício é o gerenciamento via radius.
> > > > >> Dica use uma solução distribuída ao invés da centralizada.
> > > > >> Tenho no mínimo um concentrador PPPOE em cada torre, uso mikrotik
> > pela
> > > > >> facilidade, o concentrador que tem mais clientes conectados tem 40
> > > > >> sessões.
> > > > >> Já usei rp-pppoe com linux lá no inicio mas o problema é que tinha
> > que
> > > > >> ficar centralizado e ficava inviável por uma máquina em cada
> torre (
> > > > >> Até tentei mas a manutenção ficava alta).
> > > > >> As desvantagens do PPPOE é que o link com o cliente tem que ficar
> > > > >> muito bom senão fica desconectando mas até incentiva vc a ter
> > sempre o
> > > > >> melhor serviço e achar problemas em um POP.
> > > > >> O Problema do FreeBSD + MPD é o mesmo do linux vc vai ter que
> > > > >> centralizar as conexões e pode deixar a rede mais complexa e criar
> > um
> > > > >> ponto único de falha.
> > > > >> Vá de uma solução distribuída que a sua experiencia com o PPPOE
> será
> > > > >> melhor.
> > > > >> Com relação a segurança o não deixe para o PPPOE e sim para o
> enlace
> > > > >> físico usando cryptografias WPA2 uma para cada usuário autenticada
> > > > >> pelo radius.
> > > > >>
> > > > >>
> > > > >>
> > > > >>
> > > > >> Em 12 de agosto de 2013 11:22, Raimundo Santos <
> raimundo at w1.com.br>
> > > > >> escreveu:
> > > > >> > Bom dia lista!
> > > > >> >
> > > > >> > Meu debut acontece aqui perguntando: qual a implicação, quais os
> > > prós
> > > > e
> > > > >> > contras (
> > > > http://en.wikipedia.org/wiki/The_Pros_and_Cons_of_Hitch_Hiking-
> > > > >> > citação graças a TDAH) de uso de um esquema PPPoE para
> autenticar
> > > > >> clientes
> > > > >> > numa rede de rádios?
> > > > >> >
> > > > >> > Alguém já fez isso com sucesso? Conheço dois exemplos de
> > provedores
> > > > que
> > > > >> > desistiram, porém nenhum deles soube me informar o motivo para
> > isso.
> > > > >> Creio
> > > > >> > que foi falta de massa crítica para gerenciamento.
> > > > >> >
> > > > >> > Pretendo implementar MPD5 + FreeRADIUS, devido ao baixo custo e
> > > minha
> > > > >> > familiaridade com FreeBSD.
> > > > >> >
> > > > >> > Alguma outra sugestão?
> > > > >> >
> > > > >> > Muito obrigado!
> > > > >> >
> > > > >> > Raimundo Santos
> > > > >> > --
> > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >>
> > > > >>
> > > > >>
> > > > >> --
> > > > >> Otavio Augusto
> > > > >> ---------------------
> > > > >> Consultor de TI
> > > > >> Citius Tecnologia
> > > > >> 31 37761866
> > > > >> 31 88651242
> > > > >> http://www.citiustecnologia.com.br
> > > > >> --
> > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >>
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > >
> > > >
> > > > --
> > > > Otavio Augusto
> > > > ---------------------
> > > > Consultor de TI
> > > > Citius Tecnologia
> > > > 31 37761866
> > > > 31 88651242
> > > > http://www.citiustecnologia.com.br
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Leonardo Silva
> > fone: 16 8143-1146
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list