Оптимальні налаштування HotSpot Мікротик для роботи з MikBill, при IPoE

Підкажіть оптимальні налаштування хот споту та його профілю, особливо поля Idle timeout та kepalive timeout.

З'явилися скарги клієнтів на відключення інтернету кожні 1-5 хвилин.

налаштування

Чи це пов'язано з цими скриптами? http://joxi.ru/GrqXdyRsN1MqGA

обидва таймери не використовую взагалі

простоюючих клієнтів кикаю раз на 5 хвилин скриптом

/system logging disable 0 :foreach i in [ /ip hotspot host find where idle-time>00:01:00 ] do=/ip hotspot host remove $i > :foreach i in [ /ip hotspot host find where authorized =no ] do=/ip hotspot host remove $i > /system logging enable 0

ну у вас вони на два скрипти розбиті

мікротик

Тобто таймери можна вимкнути? Вони дублюються моїми скриптами?

З того що Idle timeout дублюється скриптом, може відвалюватися доступ в інтернет?

мікротик

У нас немає скриптів. Keepalive зробив добу. Інакше убоненти так само по таймууту відвалювалися і була купа дзвінків від них із проблемою, що не можуть натиснути кнопку ОК. Толі роутери глючать, або абоненти. Зараз шквал дзвінків припинився.

mikbill

А ось Keepalive у нас не встановлений зовсім, чи є сенс спробувати 24 години поставити?

Від чого взагалі залежить Idle time, якщо від клієнта немає трафіку, то таймер зростає?

мікротик

Як вони одне з одним взаємодіють, зараз сказати не можу. У мене стоїть тільки keepalive на добу.

mikbill

Поставив Keepalive timeout на 24 години, Idle timeout прибрав. ну і скрипти залишив. Подивлюсь що вийде.

Ці таймаути важливі, якщо у користувача закінчилися гроші і повинен заблокуватися інтернет, він (інтернет) заблокується у нього тільки при наступному логіні, а аптайм у клієнтських роутерів буває у нас до 40 або 60 днів.

оптимальні

У вас Radius викине з хотспоту клієнта за негативного балансу.

mikbill

Навіть якщо користувач активний постійно? Відразу після закінчення оплаченого періоду (о 23:59) одразу викине? Тоді так, сенсу у таймерах немає.

mikbill

А таймери стежать за абонентом на мікротиці, білінг про них нічого не знає. Таймери по суті зроблені для того, щоб не було сесій, що зависли, та іншого. Не активний абонент протягом якогось часу -> видаляємо сесію і обнуляємо лічильники.

Само собою це все приблизно і умовно.

мікротик

налаштування

Знову надійшла скарга на відвалювання на невеликі проміжки часу від 30 с до хвилини (за залізом аптайм 6 днів).

Idle timeout вимкнено, kepalive timeout встановлено в 1 день. А в хот-споті у користувачів Idle timeout і kepalive timeout коштує 1 хвилина, чому так і що робити?

оптимальні

Вимкніть у користувачів таймери. Може, допоможе.

hotspot

Я вибачаюсь за таке питання), які таймери вимикати і як це зробити?

Торкнемося першоджерела проблеми.

Спробую пояснити простими словами, що взагалі може бути і звідки.

він (першоджерело проблем) знаходиться в рівні L2, коли пари mac + port в основній таблиці комутаторів fdb зберігаються в буефері для комутації L2 . При втручанні в роботу цих буферів, а без захисту включених, це може зробити будь-який ваш абонент, і навіть не навмисно і це відбувається регулярно і в кожного.

Як правило, причини бувають наступні:

- Вірус у клієнтів, флудить на рівні мак.

1. Вірус з атакою схеми man in middle (рідко зустрічається останніми роками)

2. Вірус класу 'вбивця мереж' - де кожен заражений формує на своєму порту всі маки що знає в результаті залізо "божеволіє".

Що можна зробити, щоб це не відбувалося:

увімкніть та налаштуйте у себе описані нижче функціонал на останній милі:

- "isolation" варіації назв функціоналу у вендрів AP isoletion, client isoletoion - насправді заборона трафіку між клієнтами хоча вони в одному vlan;

- Повністю увімкнути всю підсистему "option 82" на свічі

1 Вказати trusted port для аплінків

2 увімкнути option 82

3 увімкнути dinamyc arp inspector

4 увімкнути ip source guard

Без функціоналу захисту обладнання будь-який клієнт може покласти весь vlan і від цього немає альтернативного методу боротьби.

Ці заходи зводять проблему на 0.

Як альтернативу можна використовувати QinQ - по суті більш простим методом налаштування отримуємо той же функціональний результат, проте при роботі з мікротіком цей метод не практичний. Для Qinq правильніше використовувати Juniper/Cisco ASR/Erricson/Accel

Надіюсь це допоможе

роботи

Спасибі, напрямок зрозумілий.

У нас мережа поділена на сегменти (Vlan на сегмент), бездротовий доступ, БС ізолює трафік клієнтів один від одного, клієнтська CPE у режимі роутера з NAT.

Проблема спостерігається тільки на 1 сегменті, і мабутьтепертільки у 1 клієнта. До того як вимкнув таймери, у цьому сегменті були скарги від інших клієнтів.

таймери, можуть щось не те робити, але ви їх відключили.