ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] =?KOI8-R?Q?=D3=C5=D2=D4=C9=C6=C9=CB=C1=C3=C9=D1?= =?KOI8-R?Q?_=C2=C9=CC=CC=C9=CE=C7=CF=D7=CF=CA?= =?KOI8-R?Q?_=D3=C9=D3=D4=C5=CD=D9?=



> > > У вас что, так часто оракл лежит?
> >   Не часто, но бывает. Жизнь неидеальна. Вот недавно добавляли диски и
> > пересобирали RAID. Год назад ставили доп. контроллер. Летом навернулся
> > кондиционер, проклятый sun перегрелся и встал. Еще бывают свичи, фаоеволы
> Это да, бывает.
> 
> > и каналы по дороге. Их тоже нужно обслуживать и с ними тоже могут быть
> > проблемы.
> С этим у нас проще - все под боком и вся резервируемость сконцентрированна в пределах
> одной комнаты...

  Ооо, т.е. одно неверное движение электрика, админа или уборщицы в этой
комнате приводит к колосальным для MTU последствиям? Круто. А как насчет 
удаленных филиалов? А как развиваться?  IMHO столь сильно проповедуемая
централизация - тупиковый путь развития.

> 
> >   Но все это не влияет на авторизацию. Вот если ее нет, то это просто
> > пи$#@$. Телефон саппорта раскаляется. Ужас первых лет существования не
> > отпускает меня уже 3-й год :-)
> Ж;-)) Сейчас пользователь ученый пошел - сам себя резервирует 2-3 логина в разных местах
> на пожарный случай...

  За отмазку не канает. Извини. 

> 
> > > Пускает невзирая на остатки, ну еще можно по желанию таймаут на всех поставить.
> >   Ага, значит мой алгоритм с DoS должен работать.
> ??? Куда? Ж;-))

  Если ты пускаешь всех, то:

 1. заходишь в сеть под demo login
 2. Устраиваешь DoS того или иного сорта против твоего oracle. Проще всего
    с WWW найти тормозной отчет и быстро спросить его 1000 раз. Ответ можно
    не слушать. Oracle точно озвереет.
 3. Спокойно зайти под любым логином и успешно работать в минус.

> 
> > > (Хотя, кажеться сейчас с этим опс случился - пулы IP-addr то-же в оракле....)
> >   Круто. Маньяки ораклофилы совсем озверели. Кудаж пулы-то....  Т.е.
> > все-таки вариант первый - всех юзеров нафиг, пусть support отдувается под
> > лозунгом "через 15 минут".
> Похоже что так....
> (( 
> Это все от сохранения IP-addr при перезвоне между пулами - Юркина идея...
> У вас ведь это не работает?

  У нас это работает. Если клиент перезванивает на тот-же пулл (что логично
при обрыве), то ему дается тот-же адрес. Пулы не перегружены. Клиент обычно 
звонит на один пулл, с которым у него лучше связь. Опять-же пулов 10, а 
серверов всего два.

  Сохранение между _всеми_ пулами работало раньше, когда был один основной
авторизационный сервер и один запасной. Но нам показалось, что балансинг
- достаточно ценная вещь, особенно учитывая бесполезность кеширования
IP для W95. Опять-же backup требует отдельного пула адресов, а это
необоснованный перерасход. Поэтому сделали так. Сначала надежность, потом 
среднеполезные фичи, а не наоборот.

> 
> Попробую что-нибудь придумать и попинать кого следует...
> 
> > > Потом идет постпроцессинг и списываются деньги израсходованные в отсутствии оракла.
> > > Только вот оракл отсутствует крайне редко....
> >   Так вот крайне редко - это сколько? Там уже в ru.internet народ задавался
> > вопросами пусков нахаляву и наоборот.
> Так это не нахаляву, а аутентифицированный пользователь (т.е. с + балансом), вот только баланс в тот момент
> покрыт мраком... Денюжки потом просто спишутся....

   Так ты же говоришь, что может пускать всех, в том числе и с отрицательным?
Деньги конечно спишуться, но кто их заплатит?

> 
> >   Это понятно. Что ты делаешь с вопросами - "я этого не хотел" и "Вы
> > неправильно выставили счет-фактуру".  Если ничего, то нафига эти попытки
> > тормознуть счет сразу? Ну тормознется он не на 0, а на -$0.2, и что?
> Счет-фактура вы
> ставляется по закрытии периода.
> 
> Из договора:
> ===
> Абонент самостоятельно следит за состоянием своего лицевого счета и производит платежи в произвольный момент времени на любую сумму.
> При достижении нулевого баланса лицевого счета предоставление Услуги прекращается до поступления очередного платежа Абонента.
> ===
> 
> Из ФАКу:
> ===
> Вопрос: Почему состояние лицевого счета с учетом его состояния на начало месяца не совпадает с расходом в текущем месяце.
> Ответ: Приблизительное состояние текущего счета дается в реальном масштабе времени, но раз в сутки расход пересчитывается с учетом
> изменения стоимости отработанных часов. Поэтому полное совпадение может быть тоьлко в случае если вы в данные сутки вообще не
> работали.
> ===
> Немного не то, но ИМХО понятно - мы не даем гарантий реал-тайм учета.

  Именно это я и говорю. Мы тоже не даем. Но и не тратим денег (с потерей
надежности) на частичную эмуляцию real-time.

> 
> > > > > А у вас, если я правильно понял получается дырка - просидел свои денюшки единой сесией,
> > > > > тебя кошка скинула, тут-же перезвонил и просидел еще такой-же срок. Так?
> > > >   Не так. Просидеть можно не более 5 мин. - скинет по SNMP. 10-15 центов.
> > > Ой-ой и груда висячих модемов.... Хммм.... Ню-ню... Ж;-))
> >   С чего бы это? Или это на USR/3COM? На cisco все хорошо.
> На кошке. Если размер буфера пакетов на передачу более определенной величины и сказать либо cle line,
> либо cle modem, либо сбросить по SNMP - MICA встанет в DSP-hung state. Раньше ее можно было вывести из этого ступора
> переливкой прошивки. На 12-м релизе и это пофиксили... Ж;-))

  Наверное у нас 12 стоит :-)) А на 2511 этого нет. Вобщем не виснут. 

> >   .db вещь старинная. Если бы делал сегодня, то пошел бы по Бутенковскому
> > пути с text file cached in memory. Но вобщем разница невелика. Главное -
> > все просто и без базы.
> Гммм.... Мне казалось с хеш алгоритмом всяко лучше чем без онного...

  В _памяти_  На диске может лежать что угодно.

> >   Паралельно работает некая тулза, которая обходит по SNMP все пулы,
> > изучает вопрос двойных заходов (каждый сервер авторизации обеспечивает один
> > заход только внутри себя), лечит нарушителей сначала почтой, а потом
> > закрытием, и сносит тех кому сейчас не положено работать. Плюс делает
> > еще кое-какие полезные вещи.
> Рекомендую сползти с SNMP на finger для кошек - быстрее, менее напряжно, ну и
> багов SNMP-шных нет.

  finger там то-же где-то есть. Типа в tacacs'e от рождения. Но без SNMP все
равно далеко не уйдешь.

> >   Сшибалка - вещь сколь странная, столько и полезная. Это плата за
> > слабосвязанные сервера авторизации. Заметим, что distributed решение
> > от Cisco (Secure Server) стоит $32k.
> Ой-ой, еще можно вспомнить NetFlow тулзы, CiscoWorks и т.д. и т.п.
> AccessPatch я этой кошке точно никогда не прощу! Ж;-))

  Гады буржуи, чего возьмешь. Одни баксы на уме :-))))

  Это все к вопросу, что сколько стоит. И является ли сумма в $30k за весь
биллинг адекватной. Вон cisco такас без биллинга за столько продает. Даже
если на 10 поделить, все одно $3k получается. А еще биллинг денег стоит.

> > > Сценарий:
> > > ===
> > > Зашел логин с 18$ ==10 часами повремянки.
> > > Отсидел 9 часов, вышел и тут-же (30 сек)  зашел.
> > > ===
> > >
> > > Вопрос: сколько времени просидит этот логин после второго захода?
> > > 1) 10 часов
> > > 2) 1 час
> > > Если 2, то по каким тех. критериям?
> >   Запуск прямого тарификатора для online логина и вычисление что пора сшибить.
> Бррр... Он у Вас всех пользователей он-лайн осматривает? =8-0

  Натурально. Осматривает, учитывает, строит графики по пулам и по типам
контрактов, лечит нарушителей, ищет хаченные эккаунты, сшибает неположенных.

  Типичная штука от админской лени. Спрашивают - делаем. Машина железная. 
Не самим же это все делать.

> 
> Большое спасибо за такой подробный и обстоятельный ответ по системе ААА в Зеноне.
> Сделано прямо на случай ядреной войны...

  Интернет все-таки. Его натурально проектировали на случай ядреной войны.
Мы просто следуем заложенной в нем идеологии. Плохо, когда в некую среду
начинают внедрять чуждую ей идеологию. Она (среда) сопротивляется.

Boris.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.