zelfix

Причем для блокировки через nfqfilter достаточно пропускать не весь исходящий абонентский трафик, а только интересный (тот, который направляется на те IP-адреса, которые резловлятся в запрещенные домены).

max1976, установил и настроил фильтрацию на основе nfqfliter. Пилот работает отлично, почти не кушает ресурсы. Мне кажется, пользователи должны иметь возможность отблагодарить вас за труд через donate. Нигде не нашел информации, как это можно сделать.

Обычно в новых версиях просто добавляются новые функции и убираются баги. Зачем вендору трогать рабочий проверенный код? Гнаться за циферкой в версии имеет смысл только на домашнем роутере да на домашней ОС.

Коллеги, всем привет. Кто может помочь выкачать с сайта циски стабильный IOS asr1001-universalk9.03.10.05.S.153-3.S5-ext.bin ? На текущем asr1001-universalk9.03.10.01.S.153-3.S1-ext.bin имею непонятную ситуацию с натом, количество сессий не поднимается выше 104 тысяч, ни при CGNat, ни при default. Хочу попробовать другую ios.

Верно, 2960X может быть либо LanBase, либо LanLite. FeatureSet там не бывает, лицензирование не требуется. Подробнее здесь http://www.smbpartner.net/email/news/DE/2013/2013_12/download/cisco_c2960x_qa_e.pdf

У вас уже имеется отличный коммутатор ядра 3 уровня, какая плата управления стоит на 6506? Хорошим дизайном будет что-то типо

Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться.

Как уже ответили, OpenVPN на циске поднять не получится, поэтому если у вас несколько десятков филиалов на нем работает, то смысла циску внедрять нет. А балансировка двух каналов делается на ней достаточно несложно. Вот например мануал http://www.anticisco.ru/pubs/DualISPRouter.pdf от Сергея Федорова

Какой замечательный топик: сам спросил, сам ответил, ответы выложил )

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

Да незачто. itt1b, подскажи, а в чем для тебя преимущество dhcp для управления коммутаторами перед статическим назначением адресов? Ты хранишь конфиги централизованно, и у тебя коммутаторы по dhcp идут на tftp-сервер и забирают свой конфиг?

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/12-4t/dhcp-12-4t-book/config-dhcp-server.html Some DHCP clients send a client identifier (DHCP option 61) in the DHCP packet. To configure manual bindings for such clients, you must enter the client-identifier DHCP pool configuration command with the appropriate hexadecimal values identifying the DHCP client. To configure manual bindings for clients who do not send a client identifier option, you must enter the hardware-address DHCP pool configuration command with the appropriate hexadecimal hardware address of the client.

Снимите дамп в момент, когда коммутаторы пытаются получить адрес. Тогда будет понятно, кто виноват. Скорее всего в DHCPOFFER от ASR не предлагается нужный адрес. Возможно, оттого, что в DHCPDISCOVER от коммутатора указывается chaddr, который отличается от client-identifier. Без дампа можно долго гадать. PS term mon debug ip dhcp server packet detail на ASR еще может помочь.

Согласен, stp если и быть, то только на доступе. На аггрегации не совсем предсказуемые перестроения STP не нужны, не говоря уже о возможности положить всю сеть случайно зафильтрованным bpdu

а иначе ? В соседней теме http://forum.nag.ru/forum/index.php?showtopic=99042 все уже сказали. А ацл на порт для арп - это дорого в обслуживании, и, имхо, колхозно.

У меня в сети более 2000 абонентов, абонентам выдаю серые адреса. Сегментирую по /26 на коммутатор, по /16 на микрорайон. Плюс traffic segmentation на абонентских портах. Но это серые адреса, можно не экономить. Если бы у меня изначально была /20 белая сеть, я бы думал о vlan-per-user

И строить на них отдельную независимую сеть, что бы получить многоуровневую независимую сеть следующего покаления!!! Можно еще с тунелями поиграться. Конечно, не забудьте использовать прогрессивную технологию туннелирования EoIP для соединения в вашей сети.

Вот из ordering guide http://www.cisco.com/c/en/us/products/collateral/routers/asr-1000-series-aggregation-services-routers/guide-c07-731639.html Значит, все будет работать.

Действительно, с ASR1001 можно не заморачиваться. Лицензии на нее - просто бумажки. Тоже боялся, что будет по прошествии триала. Но в результате лицензии затвердели и все работает. BSR01_ASR1001#show lic Index 1 Feature: adventerprise Period left: Life time License Type: RightToUse License State: Active, In Use License Count: Non-Counted License Priority: Low Index 2 Feature: advipservices Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA accepted License Count: Non-Counted License Priority: Low Index 3 Feature: ipbase Index 4 Feature: avc Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 5 Feature: broadband Index 6 Feature: broadband_4k Index 7 Feature: cube_250 Index 8 Feature: cube_250_red Index 9 Feature: cube_ent_100 Index 10 Feature: cube_ent_100_red Index 11 Feature: cube_lab Index 12 Feature: cube_video_b2btp Index 13 Feature: cube_video_b2btp_red Index 14 Feature: firewall Index 15 Feature: fpi Index 16 Feature: fwnat_red Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 17 Feature: gtp_addon_aic Index 18 Feature: internal_service Index 19 Feature: ipsec Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 20 Feature: lawful_intr Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 21 Feature: lisp Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 22 Feature: nat64_stateful_2m Index 23 Feature: otv Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 24 Feature: sgt_fw Index 25 Feature: sw_redundancy Period left: 8 weeks 3 days License Type: EvalRightToUse License State: Active, Not in Use, EULA accepted License Count: Non-Counted License Priority: Low Index 26 Feature: throughput Period left: Life time License Type: RightToUse License State: Active, In Use License Count: Non-Counted License Priority: Low Index 27 Feature: vpls Period left: 8 weeks 4 days License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None

Если микротик умеет авторизовывать пользователей по радиусу, то вам нужно лишь поднять промежуточный Access control server, который будет получать запросы от микротика по радиусу, авторизовывать пользователя в AD, и отвечать опять же по радиусу микротику. Вот пример http://habrahabr.ru/post/135419/ с использованием Microsoft NPS (Network Policy Server), вот пример http://habrahabr.ru/post/153625/ с использованием Cisco ACS (Access control server). Уверен, также есть свободные решения под свободные ОС.

1800 евро в год, и 2000 евро единоразово за вступление.

Приветствую всех. Такой вопрос. Есть некая компания с множеством филиалов в пределах РФ. Поскольку сеть развивалась лавинообразно, спланировать такое не успели и опоздали на свободную раздачу PI-адресов. На данный момент очень хочется свою AS с IPv4 и IPv6 пулом адресов, поскольку нат совместно с Dual ISP на каждом споке изрядно достал. С получением IPv6 проблем никаких нет, но, к сожалению, мало кто из провайдеров пока готов дать пиринг по IPv6, поэтому ищу варианты на IPv4. У кого-нибудь есть опыт становления Лиром на момент последней /8 в RIPE NCC и получения /22 IPv4? Знаю, что есть регистраторы, которые сделают все от 1000$, но не уверен, нужны ли их услуги. Возможно, все делается достаточно просто самостоятельно?

Мало данных, ничего не сказано про бюджет вопроса и про количество трафика. Я бы ставил либо mikrotik RB2011, либо cisco 880/890, в зависимости от этих параметров.