嘉定都市网

标题: [求解]嘉定电信宽带的认证? [打印本页]

作者: boring 时间: 2003-2-16 10:36
标题: [求解]嘉定电信宽带的认证?
▓我的宽带FTTB每次开机DHCP都已经把设置得到了,为什么还要所谓的认证呢?
▓认证是在做些什么呢?我一直没搞清楚到底网络配置有什么不同,在认证前后…
▓从什么机制上面实现的不管我访问什么网站都会在开机的时候把我的IE转到认证的界面?
▓认证的目的是为了什么呢？为了把欠费的用户屏蔽掉？有人试过在两台机器上面用同一帐号登陆吗？

作者: hotcy小炎 时间: 2003-2-16 10:52
  看你长得像圣诞老人就告诉你吧：
  其实就一个很流行的词：“垄断”，说到垄断，目前国内能挨得上的不止电信业这几家！所谓认证，电信是这样解释的：为了更好的为用户服务，加强系统安全！其实就是控制用户的选择，宽带以深入，但服务内容却了了无几（除了新联的“盗版”点播服务还有点宽带味）
  但是我们也得感谢电信，使我们能高速接入互联网，想想以前用电话线的日子，但出现认证页面，也代表你已经进入宽带行列，只有面对才有进步！

作者: calendar1981 时间: 2003-2-16 12:04
我是fttb
每次上网都要面对那个黑框
老讨厌咯
老是会自动跳到黑框画面
烦死了

作者: ilsem 时间: 2003-2-16 12:15
我没有认证页面的，是adsl

认证是为了更好的管理监测用户上网，清楚了么？adsl的分开独立账户除了以上的作用以外还能起到一户一ip的作用，以前都用81831vip的账号一个adsl接上hub可以每台机器都拨号获得公网ip占用了很大的ip资源

作者: boring 时间: 2003-2-16 14:54
都没人在解释我的技术问题!!关于电信有多黑我是了解的.
楼上关于登陆黑框的麻烦我有办法:等黑框出来后,按Alt-F4.网络仍然可以用而且黑框被杀掉了!

作者: ilsem 时间: 2003-2-16 15:07
认证是为了更好的管理监测用户上网，清楚了么？

不是已经回答你了吗？？？？我还说了adsl的问题，把嘉定有的宽带都解释了，你自己没看到啊

作者: 雨後的天空 时间: 2003-2-16 18:11
fttp还是存在漏洞的，在同一小区内，你可以在其他的电脑上是你的账号上去，不知道现在有没有被改掉

作者: 元宝妹妹 时间: 2003-2-16 18:25
偶以前听说是控制了DNS~~~

作者: hotcy小炎 时间: 2003-2-16 19:24
注销妹妹：
看你长得像机器猫就告诉你：DNS你都知道啊！你还知道什么啊？NSD、DSN什么的！
ilsem老弟说得没错：同一网段的用户间存在着安全隐患，甚至可以完全控制，使用WIN2000的朋友请注意你系统开机后检查本地硬盘属性是否为共享，马上解除共享！

更多安全资料请前往--火车嘉定站-新闻资料中心http://www.hotcy.org/news

此贴由 hotcy小炎在 2003-02-16 19:27:11 最后编辑

作者: boring 时间: 2003-2-16 20:06
DNS没变过,我查过配置的

作者: 元宝妹妹 时间: 2003-2-16 20:42
你查的是你自己的机器？那是不变的吧~~~呵呵~`

作者: boring 时间: 2003-2-16 21:43
DNS不就是几个远程提供域名解析的机器IP地址吗?什么自己人家的机器?你在说什么呀?!

作者: ilsem 时间: 2003-2-17 00:45
是电信局端的DNS服务器设置，如果不通过认证任何域名都会指向那个认证页面，我是这么认为的

作者: 元宝妹妹 时间: 2003-2-17 18:34
我就是这意思呵呵~~ 说不来~~

作者: boring 时间: 2003-2-17 19:19
电信怎么设才能做到这样的呢?我想不通呀!

作者: hotcy小炎 时间: 2003-2-18 00:07
如果你的系统为WIN2000或其他有此服务的系统都可以建立为一台DNS服务器，我们却只能选择服务商，你既然选择电信，那就只能赶快适应，过去的FTTB还是局域网结构，一切有服务商提供第一道防护，但现在都有公网IP，想得到嘉定网关的保护就显得很难了，做好自身防护，学习安全知识！

作者: 网络菜鸟 时间: 2003-2-18 11:31
202.109.117.202
202.109.116.250
哦

作者: joeph 时间: 2003-2-19 12:45

认同
DNS服务器端的设置
原理如这篇:http://www.ccidnet.com/school/net/2002/07/05/100_6884.html
只是,电信用程序来控制实现

作者: boring 时间: 2003-2-19 19:49
作为站长回答的水平这么低让我为你汗颜...

我一上FTTB就可以用PING -t的命令解析到cn.yahoo.com,只是PING不通.认证好以后刚才不通的PING马上就有回应了.
我看见认证页面上有"华为科技"的字样,所以我觉得是嘉定电信用了什么受控的安全路由器来实现这个功能的.

作者: ilsem 时间: 2003-2-19 19:50

我有这样一个设想，如果我是nt系统，使用的是fttb，那么当我同时启动了dhcp和dns服务，可能就会把和我同属一个小区网段的fttb用户拉入我的局域网（因为fttb用户一般是不做任何设置，是自动搜寻dns服务器的），但是此时这些用户得到的会是内网ip，而且不用认证也可以上网，不知道行不行，本人用的是adsl有使用fttb的朋友可以尝试一下

此贴由 ilsem 在 2003-02-19 20:06:06 最后编辑

作者: 元宝妹妹 时间: 2003-2-19 19:54
那不是很不安全？

作者: boring 时间: 2003-2-19 20:00
ilsem:你怎么谈到DHCP去了!?
当然可以了.你好像在谈论社区网吧.

问题是你怎么在硬件上连接这些用户,听起来好像你要私装FTTB.(以前是有人偷电偷水偷有线电视,现在居然有人偷宽带了)
冒被电信起诉的风险免费提供这种服务的人有吗?要是准备违法的话还是抢银行来得方便些

作者: ilsem 时间: 2003-2-19 20:03
哦，对，我概念有点混淆了，是启动dhcp服务

如果启动dhcp服务的话，是否可能把同小区的用户拉入我的局域网呢？因为他们的dhcp都是设为自动搜索dns的，物理连接使用的就是电信的线路啊，本身同小区的用户都是用同一线路的

这样做只是绕过了电信的认证账号管理而已，电信本身应该是不会察觉的吧？就像我启动adsl的路由工作方式，家里的多台电脑同时共享上网一样啊

此贴由 ilsem 在 2003-02-19 20:08:14 最后编辑

作者: boring 时间: 2003-2-19 20:19
我说了是可以的啦!.
可是当你的DHCP的服务器工作的时候所有的小区内的网卡都来获取IP,那么你又怎么能为正常客户端通过同一个子网去找电信的真正的DHCP服务器呢?有点自相矛盾.
别告诉我你准备跨小区申请两个FTTB接入!
听起来你不是想偷宽带了,而是想和嘉定电信抢生意了!

作者: ilsem 时间: 2003-2-19 20:26

不矛盾啊，你好像也说错了，我是说同时打开dns和dhcp服务，这样就不存在这样的矛盾了，因为我的机器已经同时充当了域名解析服务器了，和电信直接发生关系的就我一个用户了

作者: boring 时间: 2003-2-19 20:30
你怎么能连到电信呢?
要是你的网卡先从电信连到INTERNET的话.你再启动DHCP就把现在的INTERNET连接自动终止了.你是骗到了内网的网卡,可是你也失去了INTERNET连接.

作者: hotcy小炎 时间: 2003-2-19 20:35
说的不错，按照10M带宽的接入，完全可以一台主机带上一整楼的电脑，但电信给得带宽就很尴尬，如果一起启动接入互联网的话，恐怕没有谁再会觉得是在使用宽带了！就象有线电视，接入越多收视质量越差！
电信的这个措施，我认为是以后会有不同收费标准，目前都是包月制的，以后会有按接入时间来付费！

作者: ilsem 时间: 2003-2-19 20:38

关键问题是，是否需要第二块网卡呢？而且这块网卡的接入是不能和其他用户属于同一小区，是吧？
可不可能只要一块接入网卡就行了呢？这块接入网卡同时又充当了其他用户与我接入的通道呢？
具体问题是长城宽带已经存在这个问题了，小区内有人无意中开了dhcp导致同小区用户被拉入他的局域网

作者: boring 时间: 2003-2-19 20:41
有线电视在正确使用分配器的情况下接收质量一点不差!
按时间收费的话我就可能要回到MODEM时代啦!

作者: hotcy小炎 时间: 2003-2-19 20:42
只要你有公网IP，运行DNS、DHCP等必要服务，就算新疆的朋友也能靠你接入互联网，其实就是我们城域网中再建一个局域网！主机必须24小时运行，不然还得通知你开机！

作者: ilsem 时间: 2003-2-19 20:49

有线电视是和网络两样的，有线电视的带宽是并行的，用户多不影响收视，但是网络的带宽是叠加的，用户一多每个用户所能享受到的带宽就少了，电信是有计时收费的方案，但是只是在内部试行阶段，60元30小时/月，同时80元/月包月的方案同时保留，只是增加收费方式而已（此方式适用于住校并不是每天都在家的学生族和平时不怎么使用互联网的用户），用户不必过分紧张

作者: boring 时间: 2003-2-19 20:51
我考!现在的年轻人胆子真大.什么话都敢说.没听说过公网IP还能支持DHCP的.
全世界那么多DHCP服务器要是都能响应我的申请的话那岂不是乱死了?
你的默认网关IP也是DHCP分配的,新疆的朋友要是没有他本地的DHCP告诉他gateway IP的话他连怎么找到我的路由都不知道!
DHCP只支持同一子网掩码下的DHCP客户端申请(用MAC广播),
运行一下你的ARP.你会想通一点点.

作者: hotcy小炎 时间: 2003-2-19 20:51
你家不会只连接一台电视吧，电话也不会每一台申请一根电话线吧？

作者: ilsem 时间: 2003-2-19 20:55

小炎的说法是有点夸张了，但是同一小区内绝对是有可能的，而且不像你所说的需要两块网卡，而且跨小区接入
有时候倚老卖老是没有用的，年轻就是力量，年轻就是资本，人有多大胆地有多大产嘛

作者: boring 时间: 2003-2-19 20:56
还好只是按时间收费,那样的话我要开启软件路由,然后在嘉网的二手市场里面贴出:宽带上网路由,包月80!

作者: ilsem 时间: 2003-2-19 20:57

这样的话人家情愿用电信的，因为同样的价钱，用电信的还能享受到更高的带宽和公网ip

作者: hotcy小炎 时间: 2003-2-19 21:01

不好意思，说得是有些夸张，但是可以实现的！
推荐软件一款
扫描器 V2.00 特别版
软件功能介绍:
(1)搜索局域网内的所有活动的计算机,并将
显示这些计算机的IP地址,所属的域或者工作组.
(2)搜索指定的某个计算机的共享资源.
(3)搜索所有计算机的所有共享资源.
(4)打开某个指定的计算机.
(5)打开某个指定的共享目录.
(6)将某个指定的共享目录映射到本地磁盘(映射网络驱动器).
(7)将搜索到的计算机列表导出到文本文件,一目了然.
(8)将搜索到的共享资源列表导出到文本文件.
(9)搜索SQL Server服务器,将局域网中的所有的活动的
SQL Server服务器搜索出来.
(10)搜索局域网中的所有的打印服务器.
(11)增强功能:将局域网中的所有服务器都搜索出来.
(12)给指定的计算机发送消息.
(13)给指定的某个域或者工作组所有的计算机发送消息.
(14)发送消息时,均可以指定发送的次数(请慎重选择该功能).
(15)在发送消息的时候,均可以选择是否匿名发送,(请慎重选择
该功能).并且可以设置签名档.
(16)搜索局域网上的共享文件.
(17)对搜索结果进行排序.
(18)查询服务器上的用户名信息.
(19)自己设置封面显示文字信息.

下载页面 http://www.hotcy.org/download/list.asp?id=341MAC

作者: boring 时间: 2003-2-19 21:02
宽带上网路由.vs.宽带上网代理
公网IP.vs.局域网内网IP

作者: 汪晓雨 时间: 2003-2-19 21:05
FTTB不错啦。。我还是ADSL。。慢死了
看个电影还得缓冲~~~~

作者: hotcy小炎 时间: 2003-2-19 21:10

你家住那里啊？

作者: boring 时间: 2003-2-19 21:11
ADSL比FTTB好呢!!
你是单独到电信的带宽2M/512K
我要和整个小区分享出去的10M,然后和整个嘉定的用户再混在一起分享10M.到底我能有多少带宽?
http://www.computers4sure.com/speed.asp
我最多达到130kbps.还没你上传带宽的1/3.
看新联的电影还是满快的.局域网嘛!

作者: hotcy小炎 时间: 2003-2-19 21:14

不会的，100M到楼10M到进户，ADSL怎么会有FTTB好？
如果他住的地方电话线路是5年或更早的，质量很差的！

作者: ilsem 时间: 2003-2-19 21:15

嘉定的adsl官方说是3m带宽，但是我在朋友家实际看下来，modem的管理页面显示连接速度是5m左右的

看来嘉定这方面管理的并不怎么严格

作者: hotcy小炎 时间: 2003-2-19 21:18

我刚测的：

Your Speed is: 304.3 Kbps

作者: boring 时间: 2003-2-19 21:21
羡慕ADSL!

作者: hotcy小炎 时间: 2003-2-19 21:22
可我是FTTB啊！

PING 一下这个地址www.hotcy.org，看看你会发现啥？

作者: joeph 时间: 2003-2-19 21:31

的确汗颜，
发帖前没测试过，有点想当然了
现在也没测试的条件
所以查了些资料

嘉定电信应该是用WEB/IP认证技术
当用户尚未完成认证时，用户的IP只能到达路由器内置的WEB认证模块。当用户通过认证后，WEB认证模块再将用户的IP地址加入WEB/IP路由器的授权表，开通认证。

ilsem:
你的想法理论上可行
但大多数switch都限制非法dhcp server

作者: boring 时间: 2003-2-19 21:31
我的FTTB现在只有40Kbps ;-(
hotcy.org看来是在WINDOWS XP下的.屏蔽了IP的ICMP回显请求.
怎么把服务器放在XP上?不专业得很呢!

作者: ilsem 时间: 2003-2-19 21:33

可能他用的是windows.net呢

作者: hotcy小炎 时间: 2003-2-19 21:36
哈哈！
如果80元包月，真能租到10M带款的话，电信不早就关门了！
做服务器很费事的，建立容易守着难啊！

作者: boring 时间: 2003-2-19 21:38
呵呵,守网站的话这里的站长可能感触比你深呢

作者: ilsem 时间: 2003-2-19 21:39

嘉网是用虚拟主机的，硬件方面不用操太多的心

作者: hotcy小炎 时间: 2003-2-19 21:42
是的，今天上午跟他第一次交谈，言语中能理解！

我从去年4月1日开始建服务器，目前至今保持24小时在线，所以很多体会，硬件到是可以升到最好，但就是带宽提升却无法解决！

作者: boring 时间: 2003-2-19 21:49
可是嘉网租用人家的服务器更有另外的安全隐患!!!

作者: hotcy小炎 时间: 2003-2-19 21:53
问题倒是只有这个，出问题后无法及时恢复，本来在自己开服前，也是租了个100M空间，但怎么够用呢！一年380，还不如自建，80元也就充分利用了！

作者: boring 时间: 2003-2-19 21:56
你应该和嘉网站长谈谈,我觉得你们该联合一下,你提供主机.安装LINUX,他提供网站后台.现在绝大多数嘉网用户都挤着去访问租用的主机.WEB服务慢死了!

作者: ilsem 时间: 2003-2-19 21:58

租用他人的服务器是有合同条款的约束的，因为硬件问题造成的损失服务提供商是要负责的，所以基本上硬件方面操心的比较少点
自己开服还要考虑电费，不间断供电，还有机器的稳定性，带宽的问题，等等。
嘉网租用的主机还有一个好处。。。。是属于上海热线的，8888的vip用户也可以登陆，呵呵

此贴由 ilsem 在 2003-02-19 22:00:12 最后编辑

作者: hotcy小炎 时间: 2003-2-19 22:02
这倒是可以，但我只会弄弄ASP，服务器虽然能支持PHP，但在WIN环境下，发挥不会理想的！
我提个马上能解决问题的建议，就是按等级进站或者别的！等级小的或不常来的只能进入镜像！如何？

作者: boring 时间: 2003-2-19 22:02
嘉网用户在屏幕前等待的时间怎么计算?怎么量化?
怎么现在电费也上议事日程了?那么嘉网的广告收入呢?
别管什么8888的vip用户,要是那样的话嘉网就更不胜负荷了!

作者: ilsem 时间: 2003-2-19 22:06

自己开服的话不需要计算电费支出吗？

作者: boring 时间: 2003-2-19 22:07
那你还要算服务器的折旧吧.怎么现在搞网站的都穷算到这个地步?当初烧钱的时候怎么没考虑到呢?

作者: ilsem 时间: 2003-2-19 22:09

不开服机器也要折旧，当初烧钱的时候是网络圈地，那时候有赚头啊，现在全都是无偿的，全靠自己的兴趣使然。。。。

作者: hotcy小炎 时间: 2003-2-19 22:12
电费什么的是不会心疼的，目前我这里还有300多个个人主页在运行，家人老说我电脑是给别人买的！10个人登陆一个主页空间，一下就3000人，如果能收费的话，那倒还可以收点补贴回来！但为了兴趣，这点开销还是很小的，有些人玩别的，我这个还不算！

作者: ilsem 时间: 2003-2-19 22:14

这种精神还是值得尊敬的

作者: boring 时间: 2003-2-19 22:15
100M太小CASE了,我在www.pbase.com上面申请的免� ... �对宽带接入...

作者: hotcy小炎 时间: 2003-2-19 22:18
所以，小弟目前的个人空间出现在大大小小的论坛中，本来还是可以在线注册即时开通，但现在关闭了，想想自己的环境也不能充大亨啊！现在只提供一些较为优秀但无钱购空间的朋友，大都是在校学生！

作者: xuanren 时间: 2003-6-3 12:57
这个主题很有讨论的价值。。。抱歉，我才看到。

找了点资料，据偶现在的了解和猜测回答楼主的几个问题。。。

主要的“FTTB+LAN”认证方式
 由于需求的差异性，目前由国外公司主导制定的LAN技术相关国际标准几乎没有涉及用户认证问题，我们现在采用或准备采用的“FTTB+LAN”认证方式都是基于各省电信公司的实际得来的，主要包括三种：基于端口的认证、基于PPPOE协议的认证和基于WEB的认证。
 基于端口的认证是“FTTB+LAN”发展初期的主要认证方式，在该种认证方式下，系统实际上并没有对用户进行特别的认证只是通过底层交换机的端口开/关状态来控制用户的接入。基于端口的认证实现起来比较简单并因此具有了较高的可靠性。但这种认证方式不能够满足电信级规模的用户管理，在开展宽带增值业务的时候也缺少灵活性，目前使用环境都是独自经营的社区或酒店而在未来的电信公司运营的宽带接入网中继续存在的可能性不大。
 基于PPPOE协议的认证方式原来主要应用于ADSL接入。顾名思义，PPPOE就是在以太网上建立PPP连接，具体的协议堆栈如图一所示。由于传统的拨号上网就是基于PPP协议实现的，与此相应的是我们已经建立了成熟的用户管理和计费系统，所以在以太网上继续使用PPP连接协议能够充分利用以前的运行维护经验，这种认证方式基本上得到了电信公司的认可。但是PPP这种点到点的连接协议并不是完全适合以太网这种基于广播式的开放网络，至少不能充分发挥LAN技术的优点，这在后面会详细描述。

 基于WEB的认证实际上是一系列认证方式的统称。这些认证方式的共同特点是：在宽带接入网中设置认证服务器，用户端需要启动IE等浏览器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址，认证服务器控制网络交换机将用户划入设定好的VLAN中接入宽带网。目前，各个厂商在用户与认证服务器的交互过程、对交换机控制方式上不尽相同，暂时没有统一的标准。基于WEB的认证是随着国内“FTTB+LAN”建设的发展而发展的。由于“FTTB+LAN”接入方式非常具有中国特色，我们没有办法充分利用国际成熟的协议或技术来实现电信级的管理，基于WEB认证方式虽然需要一段时间以更加完善，但是很可能成为LAN技术认证技术发展的方向。与基于PPPOE的认证技术相比，基于WEB的认证方式具有很好的扩展性，更能发挥LAN网络的优点。

 3、 PPPOE认证与基于WEB认证两种主要认证方式的比较
 目前，PPPOE的认证方式和基于WEB认证都具备了进行商业使用的条件，但各自都具备比较明显的优点和缺点，以下是二者的主要特点比较。

比较项目
PPPOE方式
基于WEB的认证方式
实际应用中的

评价

客户端软件
需要安装
无需安装
在商业应用中无需安装软件带来很大的方便

实现的网络层面
服务器（BRAS）只能穿透二层交换机与用户相连
认证服务器可以透过二层、三层交换机与用户相连
由于二层的网络不能做的很大，PPPOE的这一特点会导致我们使用很多分布的BRAS

支持组播情况
在用户端与BRAS之间无法支持组播
对组播无影响
目前Internet还不能够支持组播协议

对网络的影响
汇聚所有用户数据流，可能成为网络的瓶颈
只在用户认证过程起作用，认证结束后与网络无关
PPPOE社区本身提供的业务不能够很好的支持，详细的描述在后面讨论

带宽大小的控制
易于实现
认证本身无法控制带宽大小，可以配合具体设备实现带宽控制
社区宽带应用中对于带宽控制的需求并不多

成熟度
非常成熟
目前各个公司刚刚开始应用，但该技术难度不大
对于WEB认证方式在采用前需要对厂商的具体方案进行验证

标准化
已经成为国际标准
厂商只能够在自己的部分设备上实现
IETF已经形成了802.1X标准的草案

实现可靠性
比较可靠
由于包括DHCP、认证服务器等多个设备，并且握手过程比PPPOE复杂，故障点相对多
厂商再投入适当的研发后，可靠性的问题可以完全解决

成本
相对高
相对低
基于WEB式的认证只要几台PC或低档工作站即可实现

集中认证
支持
支持
二者都支持基于RADIUS的用户管理

计费方式
支持基于流量、时长计费
支持对时长的计费，结合设备进行流量计费
目前主要费方式是包月制和按时长计费

FTTB+LAN的接入方式必须具有认证的功能。在我们的两种主要宽带接入方式中，ADSL接入适于采用PPPOE认证方式，而结合LAN网的特点，基于WEB的认证方式相对更为合适。在进一步深入的对基于WEB认证技术进行技术分析后，在与相关厂商共同努力下，该技术可以成为LAN网的主流认证技术。

----------------------------------------
以上是偶转的一点资料，应该大家有个清楚的认识

文中所说的“在宽带接入网中设置认证服务器”，偶估计是在小区的出口，或者说是用户TRACERT后，某个路由器那里设置了用户认证服务器，或者说是防火墙（防火墙应该放在路由器后面）那里自定义了新的用户认证服务，当从用户那里提交IE请求后，出口默认先定义到认证服务器级别上，通过认证服务的验证，通过后，再定义到内网DHCP服务器上，给验证通过的用户分配IP，然后进行正常网络用途，了解CISCO的朋友应该知道写AAA的命令吧，偶估计就是这个做的限制。。。

接着，偶说说偶认为认证是怎么做的。。。

我觉得认证是采用CA用户认证的方式，可能嘉定FTTB可能使用的是上海CA中心颁发的用户，或者只是城域网内部使用的小CA，通过设置authserver服务器，以及CA中心，来达到对认证用户的认证。

怎么实现呢？偶简单说一下，先是CA中心，通过根证书的建立，以及用户证书的颁发，以usb_key或者以其他存储介质的方式储存颁发给用户的认证密钥，在发证服务器上有相应的数据库进行记录，可以统一检索。通过RADIUS协议，用户登陆后验证，将提供给用户手中的密钥传给认证服务器进行认证，认证服务器对数据库进行检索，判断是否有同一性。通过后，认证通过，用户合法，保持会话建立。

这只是偶的初步想法，也没有经过做FTTB网络拓扑的朋友的鉴定，但偶估计万变不离其综了，有兴趣的也可以和偶探讨一下。

请别打击偶的积极性，探讨一下吧。。。

还希望大家多多讨论。

此贴由 xuanren 在 2003-06-04 12:15:03 最后编辑

作者: boring 时间: 2003-6-4 23:18
你的猜测完全有问题：
DHCP是在认证前就分发了IP地址的。而且这时候域名解析也正常。
看了初始页面上“华为”的字样，我觉得他们是靠配置硬件路由器实现的，就是每个人的网关。
看起来我们一开始就能PING通网关，可是我觉得这时候网关并未建立ARP双向连接。直到认证了以后它才更新了MAC-IP的对应表。
我觉得它也利用了控制底层交换机实现了控制连接速度10M并且同时仅支持单一IP连接。

作者: ilsem 时间: 2003-6-5 07:51

希望华为打官司早点打到破产。。。

作者: xuanren 时间: 2003-6-5 09:18
第1，小区的网关肯定首先是接入层级别的交换机，然后通过交换机再连到上层路由器
第2，控制用户带宽速率是很容易完成的问题，在CISCO设备上设置也很简单，即使使用的是华为的设备，其核心技术应该与CISCO的相同。
第3，boring所与偶的想法的冲突之处，就是先认证用户，还是先分配地址，这可能我没你们清楚，因为我没有测试环境，难道在没有输入密码验证用户之前，就可以PING通某些域名么？
第4，你所说的建立MAC-IP对应表，我听朋友说，华为确实有MAC-IP绑定的设备，也就是在三层路由设备里；华为的我没有接触过，但CISCO我知道在2层设备里有MAC与端口的绑定，三层里有MAC和VLAN的绑定（2层里也有设置命令，困惑），至于三层设备里MAC和IP之间的绑定还不确定是否存在，等我咨询一下。

还希望我们多多交流，谢谢。

此贴由 xuanren 在 2003-06-05 09:23:59 最后编辑

此贴由 xuanren 在 2003-06-05 09:28:00 最后编辑

作者: boring 时间: 2003-6-8 21:04
没认证前可以正确解析到IP地址但是PING不通

作者: hzhou 时间: 2003-6-9 08:52
这说明，如果不拨号的话，也能访问三个ip
202.109.117.225
202.109.117.202
202.109.116.250
对吗？
BTW：楼上的boring,你打Q的吗？

作者: xuanren 时间: 2003-6-9 09:22
PING不通，但能解析是什么意思？

它扫描过？开通了部分端口，但禁止了ICMP响应？

我把那些偶的回复在许多论坛里都发了，但没人理偶。。。

没办法，偶的三个困惑也没能解决。。。

作者: hzhou 时间: 2003-6-9 09:36
能解析就是连的上dns的。

作者: xuanren 时间: 2003-6-9 09:38
楼上的，解析这个概念偶不理解么/

偶只是想你是否能回答的具体些，别这么含糊

到底到哪个步骤，既然能解析到公网的网站，那又何必还去认证

又找了点资料：

秉持关注客户需求、提升网络价值的理念，华为公司在与上海当地运营商合作的过程中，为客户提供了低成本、高增值的客户化解决方案，提升了客户的竞争优势，同时与客户一起塑造了一批经典工程：嘉定宽带城域网工程（RADIUM8750、MA5100/5200）、上海上南花园智能小区工程（可运营的 LAN 接入）、上海创世纪花园智能小区工程（ADSL+LAN）、上海公共IP接入平台百万用户上网工程（A8010接入服务器）、上海联通城域网工程（RADIUM8750、MA5100/5200、FA、Metro3000/1000）等。

Radium 8750宽带多业务交换机----这应该是嘉定城域网接入的核心交换设备

Radium 8750宽带多业务交换机
　　Radium 8750 是华为公司具有自主知识产权的宽带多业务交换机。目前已经在北京商业网、黑龙江全省ATM骨干网和城域网、新疆全省ATM城域网、上海嘉定、天津、深圳、香港和记等全国26个省150多个地市得到大量广泛的应用。

　　Radium 8750宽带多业务交换机主要应用于以下几个方面：宽带综合业务城域网的边缘汇聚层，ATM网骨干交换机，ATM/IP综合业务交换机。

　　上图所示，Radium 8750 作为城域网中的综合业务交换机，具有以下特点：

　1、 "一机双平面DPSR"体系结构。
　　Radium 8750 具有 DPSR（Dual Plane Switch Route 一机双业务平面）架构，在一台设备上同时具备完善的 ATM 和 IP 功能，不仅提供强大的ATM交换能力，也提供高速IP路由转发能力，并且在ATM 平面与 IP 平面之间进行高效的互通。实现了 ATM 和 IP 的设备级统一和灵活组网，并可平滑升级到 MPLS，实现ATM和IP在网络级的融合。

　2、提供专线互联和专线上网的VPLS（Virtual Private LAN Switch）解决方案
　　通过 Radium 8750 特有的 VPLS功能，实现网络级的 VPN，可对 VPLS 内用户的互连进行灵活的设置，提供强大的网络安全性保证。
对于通过ATM PVC实现专线互联和专线上网的用户，Radium8750通过 VPLS 实现二层PVC汇聚功能，解决PVC互联的N平方问题，节省大量的PVC资源。

　3、提供内置宽带接入管理模块（BAS）
　　Radium8750内置管理模块模块BAS同时支持ADSL和以太网接入用户的认证，计费等管理，每块BAS板支持4000个用户，可以节约网络投资，降低组网成本，优化组网结构，提高组网灵活性。

　4、提供丰富的业务接口
　　Radium8750宽带多业务交换机对外提供ATM接口、FE接口和GE接口，业务接口类型丰富。

　5、支持策略的地址转换模块
　　Radium8750的NAT模块采用硬件转发，单板数量按照NAT容量灵活配置，支持NAT板间负荷分担和热备份功能，同时支持公网多出口，支持多种ALG以及常用的互联网应用。支持策略NAT，支持城域网公网/私网地址混合解决方案，有效地解决城域网IP地址紧张的难题以及满足灵活组网的需求。

至于radius 服务认证，应该与偶的想法没有大的出入

http://www.huawei.com.cn/news/tech/177/1332.shtml

它应该是插了一个认证系统进行插件的认证

等偶再咨询一下华为的工程师。

此贴由 xuanren 在 2003-06-09 10:31:05 最后编辑

作者: hzhou 时间: 2003-6-9 10:51
我也不知道这贴讨论的是什么。
上面的文章只是一个录由器，认证好像是jsp做的。
至于上网后怎么通过认证上网的这个过程，我也不知道，而且作为用户有必要知道吗？

作者: xuanren 时间: 2003-6-9 10:54
兄弟，你看看楼主的问题，再看看偶的回复，你就知道讨论的是什么了。。。

还有上面介绍的应该是个汇接层交换机，认证的流程我也写过

不是什么JSP，而是用的radius协议

至于你说的用户没必要知道，那你就当你的所谓”用户“，难道多知道点不好么/不然你读书干吗/

作者: hzhou 时间: 2003-6-9 10:59
惭愧.......

我只是看了
http://202.109.117.225/index.jsp
觉得是jsp做的认证，难道不是吗？
那请指教。

btw：看了看前面的帖子，我还是坚持我的观点，是使用了radius协议，但是编写的web认证的语言还是jsp。
至于到底是先认证还是先dhcp分配ip,我觉得还是boring讲的有道理点。因为的确在没有经过web认证前，我们已经可以解析出所有网站的ip地址了....还是同意xuanren的mac－ip绑定，恩。

此贴由 hzhou 在 2003-06-09 11:09:30 最后编辑

作者: xuanren 时间: 2003-6-9 11:07
恩，那你说，既然已经解析成功了，也能访问了，那就不必要再填写用户名，密码认证了咯？

那这不是多余？

此贴由 xuanren 在 2003-06-09 11:14:05 最后编辑

作者: hzhou 时间: 2003-6-9 11:12
网络硬件的那部分，我不是很懂。
但关于这个radius,我只说说我的猜测。大概就是一个java命名空间吧，做jsp的时候调用一下这个认证。
主要嘉定宽带的这套东西是抄来的，大家现在在这里空对空的讨论是讨论不出什么结果的。

btw：jsp不只是做网页的，那只是他做出来的结果，给大家看的。和java开个dos窗口输出一样的。

在回楼上的：我说的是dns解析的出来，ping还是ping不通的，录由里面肯定做了手脚过了。还是需要用户名和密码还web认证的。

此贴由 hzhou 在 2003-06-09 11:16:26 最后编辑

作者: wuxuanwy 时间: 2003-6-9 11:18
上网么就可以了，管那么多干什么！！真他吗的无聊！！！

作者: xuanren 时间: 2003-6-9 11:18
radius协议的小CA程序，偶手头上就有，而且用这个也做了不下几个项目了，卖了usb_key也有300-400个了，所以我想我是有发言权的。

就是我说的那个流程，即使上海CA也是类似，只是应用再大了些，分发服务器，以及认证服务器再多几个有冗余备分而已。

还有，CISCO交换机里有MAC—IP地址的绑定，但华为的交换机里相关功能，CISCO的路由器级别里有MAC-IP地址的绑定，扯远了。。。

但是我觉得不应该是IP-MAC的绑定，不然你重新上线，不是要更改IP么？

我说的是dns解析的出来，ping还是ping不通的：你指的是nslookup可以使用？说的清楚点么，我一直不明白这之间什么关系。PING不通，可能是某个路由级别关掉PING响应。那奇怪了，既然能解析，却不能访问，让我再想想。。。

BTW，楼上的小P孩，该干吗干吗去。。。

此贴由 xuanren 在 2003-06-09 11:25:46 最后编辑

作者: hzhou 时间: 2003-6-9 11:23

那问一下，你的CA程序是什么语言写的，怎么用到认证上去的？

我每次上网ip的都是不变更的。就算重新开机也一样。

作者: fdboy0343 时间: 2003-6-9 11:27
那位朋友知道“鱿鱼程序”啊（可以窃听别人电脑的恶意程序）

作者: xuanren 时间: 2003-6-9 11:30
恩，既然不更改IP，那就是其中的一个绑定

至于你说的程序语言，我简单说一下吧，发怔中心是VC，认证服务是VB（因为我们的程序员对VB比较熟悉），至于前台的与WEB相关的，是插了一个javascript脚本和一个activex控件。顺便说一下，偶已经一年半没碰语言开发了，程序开发的事别细问了，会穿帮的。。。呵呵

作者: hzhou 时间: 2003-6-9 11:35
hehe ,我的qq:77297671,如果愿意叫个朋友吧。私下里问语言问题，不要紧吧。

作者: xuanren 时间: 2003-6-9 11:49
QQ不用的，msn：xuanren_2000@163.com

作者: boring 时间: 2003-9-28 21:26
fdboy0343: 鱿鱼程序可能是squid
这是业界的作为proxy的代理服务器的标准程序.标准的版本是for unix系统的
作为代理服务器当然有可能窃听到所有往来于代理端口的通讯,但是如果是加密的数据(有高打1024位的密钥),窃听来的数据都没有用.
真正可以窃听的数据是LAN里面本网段的数据,利用网卡的广播模式.
程序有sniffit
现在宽带网都配置好你的网络设置了,即使本网段内部的通讯也是经由路由器转发的,你可以用tracert来检查一下.
路由表可以用route print检查

作者: ilsem 时间: 2003-9-29 06:15

嗯，你把网卡禁用一下然后再启用，这样估计就会变了，那不是你有固定ip，只是的ip相对很少变动，dhcp租用协议没有过期罢了

作者: 梅赛得斯 时间: 2003-9-29 08:21
你的上网内容将被不定期记录.

作者: 唐伯虎点蚊香 时间: 2003-9-30 14:22
最近那个黑框也不跳出来了，不知道为什么？

作者: boring 时间: 2003-10-28 16:54
wfeng79 发的主题
[讨论]坏消息！嘉定的电信在改造，以后就不能路由了。
这是怎么回事情呀??怎么改造的??为什么不能路由了?NAT也不可以了吗?

作者: xuanren 时间: 2003-10-28 16:56
不可能不能NAT的

我估计他的意思是不能同时拨号了吧？

作者: yumian 时间: 2003-11-10 21:08
告诉你一个好办法，你用腾讯浏览器登陆宽带，然后关掉浏览器，就不会出现那个黑色的框框了！！！

作者: boring 时间: 2003-11-10 22:19
最近有说法是新装的FTTB用户要用特殊的拨号程序上网了,是PPPoE吗?

作者: zd7474 时间: 2003-11-11 09:49
郁闷死了，装了宽带还有那么多麻烦

欢迎光临嘉定都市网 (http://www.jiading.com.cn/)