infery

Здравствуйте. Очень нужен IOS на 1002 asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin и rommon 15.4(2r)S. Гугл не помог, очень рассчитываю на вашу помощь! Заранее спасибо. Из самого ценного в ответ есть s72033-advipservicesk9-mz.122-33.SXI12.bin на 6500 sup720.

Просто личный опыт: Логин пользователя (который не в учетке, а в "Пользователи") должен быть уникальным и не быть пустым. Напоролись при обновлении. В остальном все гладко.

Разбираюсь с абсолютно такой же проблемой. Конфиг: policy-map type service SERVICE-PERMITED-DEST 1 class type traffic CLASS-PERMITED-DEST ! class type traffic default input drop ! ! policy-map type control ISG-CUSTOMER-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control SUBSCRIBER-NETWORKS event session-start 5 service-policy type service name SERVICE-RKN-BLOCKED 10 authorize aaa list ISG-AUTH-1 password 100.67.0.61 identifier source-ip-address ! class type control SUBSCRIBER-NETWORKS event access-reject 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name SERVICE-PERMITED-DEST 40 service-policy type service name REDIRECT-SERVICE Пробовал 20, 30 и 40 перемещать в event session-start, удалив event access-reject, ничего не изменяется. При попытке захода на сайт из списка CLASS-PERMITED-DEST перекидывает на страницу из REDIRECT-SERVICE. IOS: asr1000rp1-adventerprisek9.03.08.01.S.153-1.S1.bin. Ждем 3.12.1S, может кто поделиться asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin?

Спасибо. Поделитесь, пожалуйста, результатами после запуска. Мы остановимся на ASR

А в чем кривость? Нам нужно, например, в 1 белый IP занатить 32 серых, максимум 64, но не больше.

Спасибо за ответ. SE600 дороговато на данный момент, бюджет примерно до стоимости БУ 9001, которая судя по всему отпадает. Остаются вопросы по лицензированию и стабильности IOS 3.12S.

Добрый день. Планируем покупку браса, есть небольшой выбор, но не знаем ответов не некоторые вопросы. 1. На ASR1002 можно залить IOS и не мучиться с лицензированием. Прокатит ли такая схема на 1004 или 1006? Какие есть варианты? Что с лицензированием на ASR 9001 (интересует можно ли поставить и использовать ОС без лицензий)? 2. На брасе нам нужны следующие функции - NAT, ISG/(BNG?), BGP (default route). На ASR1k в последнем IOS анонсировали "ISG and NAT Combination" (статья на cisco.com), 3.12.1S. Кто-то уже использует этот софт? Уверен, что рабочий, но наверняка есть и подводные камни. Как дела с NAT на 9001? 3. Читал на наге, что 9k проигрывает по фичам 1k именно в роли браса, но и требования у нас небольшие. Так ли это на текущий момент? На брасе будем натить и шейпить, чуть-чуть bgp. Может, еще ospf. Используем LanBilling, тип подключения абонентов - IPoE, ip-адреса раздаем из isc-dhcp-server.

Спасибо, будем связываться с проблемными сервисами и ждать.

Здравствуйте. Подскажите, пожалуйста, как в кратчайшие сроки сменить Geo-привязку (или как это правильно называется) у арендованного пула ip-адресов? Это мешает тем, что, например, стим у абонентов неправильно определяет регион и соответственно вводит ограничения и т.д.. Прошлись по ссылкам, которые нам посоветовали: google : http://support.google.com/websearch/bin/request.py?&contact_type=ip https://support.google.com/websearch/contact/ip yandex: http://feedback2.yandex.ru/default/main/region/wrong/ maxmind (geoIP): https://www.maxmind.com/en/correction ip2location: email request to update@ip2location.com Даже не могу сказать, помогло или нет. В райп все переписано нормально в том смысле, что вся информация только о текущем арендаторе. Ждем уже примерно месяц.

Добрый вечер. Всплыла такая проблема: одна подсеть не натится, остальные натятся, хотя настройки для них абсолютно идентичны. Не натится 100.64.1.0/24. Остальные, например, 100.64.0.0/24 натится. Проблемы только с указанной Конфиг ната: #!/bin/bash iptables -F -t nat iptables -F -t raw iptables -t raw -A PREROUTING -d 3.3.3.0/25 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.128/26 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/24 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.0/25 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -d 3.3.3.128/26 -i bond0 -j NOTRACK iptables -t raw -A PREROUTING -s 3.3.0.0/21 -i bond1 -j NOTRACK sleep 1 sysctl -w net.core.rmem_max=16777216 sysctl -w net.core.wmem_max=16777216 sysctl -w net.ipv4.tcp_rmem="4096 87380 16777216" sysctl -w net.ipv4.tcp_wmem="4096 65536 16777216" sysctl -w net.netfilter.nf_conntrack_generic_timeout=180 sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800 sysctl -w net.netfilter.nf_conntrack_max=262144 sysctl -w net.netfilter.nf_conntrack_udp_timeout=10 sysctl -w net.netfilter.nf_conntrack_icmp_timeout=10 sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=30 sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_sent=30 echo "262144" > /sys/module/nf_conntrack/parameters/hashsize sleep 1 #ZAPAS----------3.3.3.240-253 iptables -t nat -A POSTROUTING -s 100.64.0.0/27 -o bond0 -j SNAT --to 3.3.3.192 iptables -t nat -A POSTROUTING -s 100.64.0.32/27 -o bond0 -j SNAT --to 3.3.3.193 iptables -t nat -A POSTROUTING -s 100.64.0.64/27 -o bond0 -j SNAT --to 3.3.3.194 iptables -t nat -A POSTROUTING -s 100.64.0.96/27 -o bond0 -j SNAT --to 3.3.3.195 iptables -t nat -A POSTROUTING -s 100.64.0.128/27 -o bond0 -j SNAT --to 3.3.3.196 iptables -t nat -A POSTROUTING -s 100.64.0.160/27 -o bond0 -j SNAT --to 3.3.3.197 iptables -t nat -A POSTROUTING -s 100.64.0.192/27 -o bond0 -j SNAT --to 3.3.3.198 iptables -t nat -A POSTROUTING -s 100.64.0.224/27 -o bond0 -j SNAT --to 3.3.3.199 iptables -t nat -A POSTROUTING -s 100.64.1.0/27 -o bond0 -j SNAT --to 3.3.3.200 iptables -t nat -A POSTROUTING -s 100.64.1.32/27 -o bond0 -j SNAT --to 3.3.3.201 iptables -t nat -A POSTROUTING -s 100.64.1.64/27 -o bond0 -j SNAT --to 3.3.3.202 iptables -t nat -A POSTROUTING -s 100.64.1.96/27 -o bond0 -j SNAT --to 3.3.3.203 iptables -t nat -A POSTROUTING -s 100.64.1.128/27 -o bond0 -j SNAT --to 3.3.3.204 iptables -t nat -A POSTROUTING -s 100.64.1.160/27 -o bond0 -j SNAT --to 3.3.3.205 iptables -t nat -A POSTROUTING -s 100.64.1.192/27 -o bond0 -j SNAT --to 3.3.3.206 iptables -t nat -A POSTROUTING -s 100.64.1.224/27 -o bond0 -j SNAT --to 3.3.3.207 Счетчики root@nat:~/scripts# iptables -L -v --line-numbers -t nat Chain PREROUTING (policy ACCEPT 839K packets, 65M bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 271K packets, 21M bytes) num pkts bytes target prot opt in out source destination 1 33327 2758K SNAT all -- any bond0 100.64.0.0/27 anywhere to:3.3.3.192 2 33718 2561K SNAT all -- any bond0 100.64.0.32/27 anywhere to:3.3.3.193 3 9636 610K SNAT all -- any bond0 100.64.0.64/27 anywhere to:3.3.3.194 4 17968 1468K SNAT all -- any bond0 100.64.0.96/27 anywhere to:3.3.3.195 5 15061 1149K SNAT all -- any bond0 100.64.0.128/27 anywhere to:3.3.3.196 6 27512 1918K SNAT all -- any bond0 100.64.0.160/27 anywhere to:3.3.3.197 7 27818 2667K SNAT all -- any bond0 100.64.0.192/27 anywhere to:3.3.3.198 8 22301 1820K SNAT all -- any bond0 100.64.0.224/27 anywhere to:3.3.3.199 9 3120 174K SNAT all -- any bond0 100.64.1.0/27 anywhere to:3.3.3.200 10 3871 225K SNAT all -- any bond0 100.64.1.32/27 anywhere to:3.3.3.201 11 1981 124K SNAT all -- any bond0 100.64.1.64/27 anywhere to:3.3.3.202 12 0 0 SNAT all -- any bond0 100.64.1.96/27 anywhere to:3.3.3.203 Проверяю командой hping3 --spoof 100.64.1.64 <OUTSIDE-IP>, т.е. пингую себя, находясь в другом городе; пингую с тестовой машины в сети провайдера. Мой домашник микротик в TORCH показывает Ip 100.64.1.64 вместо 3.3.3.202. Да и абоненты из сети 100.64.1.0/24 жалуются. Ума не приложу где копать, конфиги перезаливал, модули перезагрузил. Linux nat 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux P.S. Проблема решена и была не в нате - кто-то по BGP анонсировал маршрут 100.64.1.0/24. По стечению обстоятельств натим мы пока на бордере, поэтому вышел такой косяк.

Каждый раз, когда ОС не знает мака dest-ip, она шлет арп заррос и получает мак шлюза. Этот мак ОС указывает в отправляемом фрейме как dest-mac. Полученный мак сохраняется в кеше на определеное время. Если по нему больше не было обращений в течение этого времени, он удаляетя из кеша.

Локальный трафик полисится командой ip local policy route-map, а ip policy route-map к локальному трафику отношения не имеет, ЕМНИП. Могу ошибаться

Рассматривал альтернативу вланам, но похоже что так и сделаем, вместо GRE используем влан с /30. А что насчет динамической маршрутизации? Использовать статические маршруты будет не оптимальней? В каждом районе минимум 2 подсети, не для всех можно использовать суммаризованные маршруты. Для себя вижу в центре area 0, по нас. пунктам stub area XX, например. Имеет право на жизнь такой вариант? Влан управления в районе менять нельзя, слишком накладно. Можно менять "между"

Сеть состоит из нескольких населенных пунктов, один из которых является "центральным". В каждый пункт проброшено по 2 влана - Пользовательский /30 и Влан Управления. Пользовательский траффик маршрутизируется, все нормально, а вот управляющий влан "размазан", т.е. broadcast пролетает "от края до края". В центре стоит cisco 6500 (sup 720), по нас. пунктам 3750-12s. Для себя вижу такое решение: убираю межу пунктами manage vlan, пробрасываю например GRE туннели с маской /30, поднимаю на туннелях OSPF. (ospf нужен чтобы на обоих концах не прописывать кучу маршрутов). По влану управления ходит в основном ICMP от мониторинга и в гораздо меньшей степени tcp (telnet и проч.). Может есть какое-то более оптимальное решение? Поделитесь, пожалуйста, опытом.

Если ip не динамический, попробуйте не "action=masquerade", а action=src-nat и to-address=WAN_IP_ADDRESS. Возможно, скорость поднимется.

И такой команды нет, DES-1228/ME:5#config dhcp_relay Command: config dhcp_relay Next possible completions: add delete option_82 hops time DES-1228/ME:5# Будем считать, что дело не в этом, но спасибо за помощь.

Не подскажете, как это сделать? config dhcp_local_relay option_82 ports 25-28 policy дальше только параметры policy, state dis|en нет

В итоге все оказалось чуть проще, но проблема осталась. И проблема эта только с пользователями на длинках. Так выглядит настройка для dhcp для коммутаторов dlink: class "match_p_24_sw_84c9b2172280" { match if ( binary-to-ascii(10,16,"",substring(option agent.circuit-id,4,2)) = "24" and binary-to-ascii(16, 8, ":", substring(option agent.remote-id, 2, 6)) = "84:c9:b2:17:22:80" ); } pool { range 12.12.12.72; allow members of "match_p_24_sw_84c9b2172280"; } Вот настройка на dlink: DES-1228/ME:5#show config current_config inc "local_relay" Command: show config current_config include "local_relay" enable dhcp_local_relay config dhcp_local_relay option_82 remote_id default config dhcp_local_relay vlan vlanid 158 state enable config dhcp_local_relay option_82 ports 1-24 policy replace config dhcp_local_relay option_82 ports 25-28 policy keep Так выглядит лиза абонента с dlink: lease 12.12.12.72 { starts 3 2013/11/06 04:41:49; ends 3 2013/11/06 05:41:49; cltt 3 2013/11/06 04:41:49; binding state active; next binding state free; hardware ethernet 00:23:81:16:e4:ff; uid "\001\000#\201\026\344\377"; option agent.circuit-id 0:4:0:9e:0:18; option agent.remote-id 0:6:84:c9:b2:17:22:80; } И только на них связь и рвется, на SNR и edge-core все нормально.

Перенес на другую машину с другой подсетью, сделал tail -f /var/log/syslog | grep 12.12.12.72 (<-ip тестируемого ноута). Через некотторое время отвалился и в логах было вот что: Oct 31 10:21:52 localhost dhcpd: DHCPREQUEST for 12.12.12.72 from 00:23:81:16:e4:ff via 12.12.12.1: lease 12.12.12.72 unavailable. Нагуглил вот что Handling Leases Marked as Unavailable Отключил ping-check в DHCP, наблюдаю. Похоже, что сервер просто не может найти лизы для адреса, который он уже выдавал, шлет NACK, абонент пытается переполучить IP, возникает разрыв. Уже рою исходники сервера =\

Мне кажется, если было бы именно так, то абоненты всегда бы отваливались, а так они отваливаются только при opt82. Кстати, все абоненты, релай и сервер в одной сети, но в разных broadcast доменах. Делал и одинаковые и разные. dhcpdump 12.12.12.3 -- DHCP сервер, 12.12.12.1 -- циска-шлюз

Мне тоже интересно почему он пересоздается. В другой сети opt82 не используется, на такой же циске маршруты ведут себя правильно

Маршрут на клиента берется, исходя из источника запроса и ответа от dhcp-сервера. Разве нет? Релеем выступает циска. До любого в интернете. Тестируем на ноуте, к которому подключаемся через ammy admin. Ноут в ящике с оборудованием на доме. В качетсвет браса PC с linuxISG.

Добрый день. Наблюдаем следующую проблему: выдаем абонентам IP по Opt82, наблюдаем периодические (раз в ~30 мин.) разрывы, установили ноут в ящик с оборудованием, подключили ammy admin. При это на циске с unnumbered и helper-adress наблюдаем в дебаге вот что: Oct 30 09:56:23.098: RT: del 12.12.12.3/32 via 0.0.0.0, connected metric [0/0] Oct 30 09:56:23.098: RT: delete subnet route to 12.12.12.3/32 c1# Oct 30 09:56:29.012: RT: SET_LAST_RDB for 12.12.12.3/32 NEW rdb: is directly connected Oct 30 09:56:29.012: RT: add 12.12.12.3/32 via 0.0.0.0, connected metric [0/0] Т.е. по наблюдениям маршрут к абоненту пересоздается, TCP рвется. (!)НО, если выдавать абоненту адрес не через opt82, а обычной записью host с fixed-address, то связь не рвется. Вот пример из dhcpd.conf, при котором связь не рвется: host nout { hardware ethernet 00:23:81:16:e4:ff; fixed-address 12.12.12.3; } А вот запись, с которой соединение рвется: class "match_p_24_sw_17216058" { match if ( binary-to-ascii(10,16,"",substring(option agent.circuit-id,4,2)) = "24" and substring(option agent.remote-id,2,15) = "172.16.0.58" ); } pool { range 12.12.12.3; allow members of "match_p_24_sw_17216058"; } Настройка влана на циске: interface Vlan158 ip unnumbered Loopback10 ip helper-address 12.12.12.254 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface end sh ver Настройки dhcp authoritative; ddns-update-style none; ddns-update-style none; shared-network local { subnet 12.12.12.0 netmask 255.255.255.0 { option domain-name-servers 12.12.12.254; option subnet-mask 255.255.255.0; option routers 12.12.12.1; max-lease-time 7200; default-lease-time 3600; } } Подскажите, в чем может быть проблема? Хотелось бы победить эти разрывы без перехода на выдачу ip по mac

Сделал и пинги в интернет пошли: iptables -t raw -A PREROUTING ! -s 100.64.0.0/10 -i bond1 -j NOTRACK но похоже это не совсем то, что нужно, т.к.: # conntrack -L | wc -l conntrack v0.9.14 (conntrack-tools): 91359 flow entries have been shown. 91359 хотя натится только 1 компьютер, на котором запущен пинг P.S. Добавил iptables -t raw -A PREROUTING ! -d 11.11.11.100 -i bond0 -j NOTRACK, кол-во записей в коннтраке неуклонно снижается. Похоже это то, что нужно

Добрый день. Подскажите, пожалуйста, вот что. В сети на данный момент все адреса белые, IPoE, все работает. Нужно настроить NAT на бордере. Делаю так: 11.11.11.0/24 - белые 100.64.0.0/24 - серые Так не работает: iptables -F -t nat iptables -t raw -A PREROUTING ! -s 100.64.0.0/24 -j NOTRACK iptables -t nat -A POSTROUTING -s 100.64.0.0/24 -o bond0 -j SNAT --to 11.11.11.100 Убираю правило с NOTRACK - начинает работать, но и в conntrack попадает весь транзитный трафф, который натить не нужно. Вопрос в том, как занатить 100.64.0.0/24, а остальным сделать NOTRACK?