Ищу старые сертификаты ССС

[Ищу старые сертификаты ССС]

Господа, доброго времени суток!

 

Разыскиваются сертификаты ССС (изображения) на следующие позиции:

Cisco ASR 1002, Cisco 7609, Cisco SCE 2020, Dell PowerEdge R900 за 2011 год

 

Спасибо!

 

[QOS на CIsco 6500]

В C6500 очень странно работает QoS, особенно вкупе с многоадресным трафиком. Я смог добиться покраски трафика, только когда service-policy устанавливается для SVI в направлении output, а не input. И с портов, на которых VLAN этого SVI является участником, трафик стал отправляться с нужным значением cos.

[OSPF Juniper MX80 Microtik CCR1036(PPPoE авторизация)]

16 часов назад, vvertexx сказал:

buckethead 

хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.

Как вы отфильтруете всё остальное, то есть ospf-related префиксы, кроме дефолта? Вы вообще читаете нить?

 

16 часов назад, Telesis сказал:

перейдите на BGP

Самая верная мысль за всё время.

[OSPF Juniper MX80 Microtik CCR1036(PPPoE авторизация)]

22 часа назад, vvertexx сказал:

Надо больше микротиков ©

и использовать статическую маршрутизацию, ospf - устаревшая технология

 

вот тут можно обрезать маршруты, если что.

from {
        protocol static;
        route-filter 0.0.0.0/0 exact;
    }

    then accept;
}

но с NSSA будет проще

Ребят, не позорьтесь. OSPF -- это link-state, они НЕ обмениваются префиксами, вы не отфильтруете так ничего. Можно только отфильтровать то, что попадает непосредственно в PFE, в RIB у вас всё равно будут маршруты.

 

Сделайте разные area, там можно lsa3 отфильтровать, но это странный кейс, лучше использовать встроенный механизм OSPF, как уже писали.

 

А вообще весь дизайн такой себе, конечно.

[Куплю ASR 1000 series ESP100]

Куплено

[VLAN на абонента БЕЗ opt.82]

В каждом access-accept должен быть framed-ip-address атрибут. Но мне такая схема видится странной. Если вы хотите, чтобы IP-адреса были прибиты гвоздями к каждому абоненту (у нас так тоже раньше было), то проще имхо dhcp relay+opt.82, просто опцию лучше не с доступа тянуть, а с браса.
Вся красота раздачи адресов брасами, по ему скромному мнению, заключается в динамическом пуле.

[VLAN на абонента БЕЗ opt.82]

5 часов назад, xcme сказал:

Кстати да, зачем так? Если IP-адрес выдает радиус, то зачем:

ip helper-address 192.168.100.27

?

 

P.S. Убрал релей, переделал интерфейс вот так:

 ip subscriber l2-connected
  initiator dhcp

И не идут запросы к радиусу.

 

Очевидно, я делаю что-то не так...

 

P.P.S. Наверное, я все же невнимательно прочитал. :)

 

У вас брас выдает, не радиус?

Выдаёт и брас, если nas-port-id, и релеит (там легаси сетка), если remote-id, radius ничего не выдаёт, а лишь указывает брасу какой конкретно выдавать.
P.S. Сейчас эта схема на другом вендоре вообще, там полностью брасы выдают случайный из пула, радиус диктует постоянный адрес, если есть услуга, никаких рилеев, опций и такого.

[VLAN на абонента БЕЗ opt.82]

4 часа назад, xcme сказал:

Попробовал с nas-port - действительно работает, спасибо! А вот при remote-id тишина. У вас, наверное, опцию 82 доступ вставляет? remote-id это же тот самый RID из опции 82?

Нет, мы как раз с опции с доступа с радостью ушли. Там, обратите внимание, что BRAS является relay, он и вставляет этот remote-id, в котором будет пара s-tag/c-tag.

[VLAN на абонента БЕЗ opt.82]

3 часа назад, xcme сказал:

А вот это в каком варианте получается?

Во всех :)

В ISG есть прям параметры s-tag, c-tag, которые можно в идентификаторе передавать, но они, по какой-то причине, не работают на тех версиях IOS XE, что я пробовал, а было бы недурно.

[Куплю ASR 1000 series ESP100]

Куплю ESP100 для ASR 1000 series. Срочно и в любом городе!

[VLAN на абонента БЕЗ opt.82]

14 часов назад, xcme сказал:

Можно пример настроек и версию ПО? Ну и что за колхоз, тоже интересно. :)

Версии разные использовали. Сейчас 03.13.04.S

 

Вот пример порта кастомера

interface Port-channel1.400
 encapsulation dot1Q 400 second-dot1q any
 ip unnumbered Loopback1
 ip helper-address 192.168.100.27
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1500
 ip verify unicast source reachable-via rx l2-src
 ip access-group Bogons in
 shutdown
 service-policy type control Customers
 ip subscriber l2-connected
  initiator dhcp
  arp ignore local
end

 

Вот пример политики

 

policy-map type control Customers
 class type control Unauth event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  1 authorize aaa password cisco identifier remote-id (здесь ещё можно попробовать nas-port-id)
  3 set-timer Unauth 1
 !
 class type control always event session-restart
  1 authorize aaa password cisco identifier remote-id 
  3 set-timer Unauth 1
 !
 class type control always event access-reject
  1 service-policy type service name OpenGarden
  2 service-policy type service name L4R
  3 set-timer Unauth 3
 !
!
class-map type traffic match-any L4R
 match access-group input name WebRedirectIn
 match access-group output name WebRedirectOut
!
class-map type traffic match-any OpenGarden
 match access-group output name OpenGardenOut
 match access-group input name OpenGardenIn
!
class-map type control match-all Unauth
 match timer Unauth 
 match authen-status unauthenticated 
!
policy-map type service L4R
 class type traffic L4R
  redirect to group Enclosure
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service OpenGarden
 class type traffic OpenGarden
  police input 5000000 937500 1875000
  police output 5000000 937500 1875000
 !
 class type traffic default in-out
  drop
 !
!

 

Где remote-id, там порт кастомера работает как DHCP-Relay, где nas-port-id работает как DHCP-Server.

 

Колхоз заключается в парсинге того, что приходит на радиус, на предмет stag/ctag, они там в хексе могут быть, могут быть в аски.

[VLAN на абонента БЕЗ opt.82]

В таком случае опция на брасе лучше чем опция на доступе, да.

 

2 часа назад, xcme сказал:

P.S. Да, забыл, еще можно так:

 

Но у меня так не взлетело - кошак не захотел в запрос к радиусу вставлять svid/cvid, только MAC.

Это что за кошак, у меня есть рабочий BRAS (ISG, asr1k) с авторизацией в RADIUS по паре stag/ctag, там, правда, колхоза немножко, но жить можно.

[VLAN на абонента БЕЗ opt.82]

9 часов назад, xcme сказал:

Если абонентам надо еще и адреса выдавать, то опция 82 все равно нужна) Просто вставлять ее может уже сам BRAS.

Совсем без опции 82, это, наверное, только PPPoE =)

Адреса брасы выдают, зачем опция? Нужен постоянный адрес -- RADIUS выдаёт Framed-IP-Address атрибут, так делается в серьёзных ISP.

[MAG - 254 снят с призводства?]

В 28.11.2017 в 11:45, uk2558 сказал:

Забили на MAG. нигде в наличии нет, берем теперь TVIP 410 с прошивкой под сталкер.

Прошивка предоставляется TVIP'ом, или как-то сами колхозируете это дело?

[alcatel sar 7705 mpls rsvp]

У вас LSP-то есть вообще, не статик, а именно RSVP-signalled? Hello будет появляться тогда, когда есть сессия между LSR. При этом в популярных сетевых ОС (не думаю, что Тимос исключение) -- hello вообще рудиментарный механизм, RSVP сходится за счёт IGP и state refresh (Path, Resv).

[CISCO ASR-1001]

Весьма странный вопрос от Cisco мастера.

 

Что говорят логи на устройстве хотя бы?

[ASR9k+freeradius проблема с выдачей ip]

Ну тут как бы да: мешать в одну кучу разные платформы и сетевые ОС это, мягко говоря, странно.

А то, что вы ищите по stag/ctag не работает на IOS-XE, об этом давно в курсе TAC, но они отмахиваются, ибо это не критикал, и есть альтернативы.

[CISCO ASR 1002x - ограничение скорости на несколько сессий.]

Я вот тут другим вопросом озадачился, а чего это вы policy-map обозвали shape, когда там policer везде? Policer != shaper. Это первое. Второе, зачем передавать их через атрибуты 'ip:sub-qos-policy-in/out'?

[cisco ip unnumbered + virtual stack]

Вам бы в сторону брасов посмотреть всё таки.

[steam content provider]

У нас аналогичная история, тоже хотели бонусы, голды там, так же отшили и особо не скрывали, что из-за РТК.

[steam content provider]

5 минут назад, korsakik сказал:

Конечно, с 1 августа по 14 сентября трафик кольцевался через Германию, такая жопоболь была у игрочков.

 

Объясните, про какие сервера идёт речь? Обновления для танков?

Если да, то всё просто.

Ставим на сети retracker.local если надо, сервер\компьютер с torrent клиентом на котором подписываемся по RSS на обновления танков и готово, обновления тянутся автоматически на комп оператора, далее если пошаманить с шейпером на него - можно снять ограничение по скорости внутри сети и тем самым ускорить скачивание и сэкономить трафик (но не весь).

Нет, тогда речь конкретно велась за размещение у нас их игровых серверов для улучшения юзер экспириенс, мы не против были хостить серваки на весь регион. Они отказали, потому что не безопасно, а потом сами своё поставили не так далеко от нас.

[steam content provider]

Только что, 2fat2fly сказал:

а с кэш сервером, как обстоят дела?

 

Не совсем понял вопроса. Wargaming поставили свои серверы в другом городе, RTT стало удовлетворительным, клиенты перестали ныть.

 

Или Вы на счёт steam? Он работает себе, в районе 1G отдаёт, честно, даже забыли про него.

 

[steam content provider]

Мы пытались как раз с Wargaming договориться по поводу размещения, они нам вежливо отказали, т.к. передавать свои серверы третьим лицам не собирались по причинам безопасности, плюс недалеко от нас поставили сами серверы, и наша проблема решилась.

 

Цитата

We are still looking at servers in Japan with connections to Russia through Rostelecom.

Вот это огромная проблема в том регионе, так как у РТК на ДВ пиринг с Японией то есть, то нет. Они могут его в любой момент на неопределённое время положить. 

[steam content provider]

Это уже немного другой уровень отношений, нежели простой кэш на своей площадке. Не известно, работает ли Steam на такой основе с кем-то в РФ, и что там за условия вообще. Обычно все стараются исключить физический доступ к игровым серверам.

[steam content provider]

Для игр вам никто не даст серверы по вполне очевидным причинам.