buckethead
-
Публикации
192 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем buckethead
-
-
В C6500 очень странно работает QoS, особенно вкупе с многоадресным трафиком. Я смог добиться покраски трафика, только когда service-policy устанавливается для SVI в направлении output, а не input. И с портов, на которых VLAN этого SVI является участником, трафик стал отправляться с нужным значением cos.
-
16 часов назад, vvertexx сказал:
хватит позориться. Таким образом фильтруется, что ты будешь редистрибьютить. Я уж не говорю, что в итоге маршрут получается external, который тоже легко фильтруется.
Как вы отфильтруете всё остальное, то есть ospf-related префиксы, кроме дефолта? Вы вообще читаете нить?
16 часов назад, Telesis сказал:перейдите на BGP
Самая верная мысль за всё время.
-
22 часа назад, vvertexx сказал:
Надо больше микротиков ©
и использовать статическую маршрутизацию, ospf - устаревшая технология
вот тут можно обрезать маршруты, если что.
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}then accept;
}но с NSSA будет проще
Ребят, не позорьтесь. OSPF -- это link-state, они НЕ обмениваются префиксами, вы не отфильтруете так ничего. Можно только отфильтровать то, что попадает непосредственно в PFE, в RIB у вас всё равно будут маршруты.
Сделайте разные area, там можно lsa3 отфильтровать, но это странный кейс, лучше использовать встроенный механизм OSPF, как уже писали.
А вообще весь дизайн такой себе, конечно.
-
-
В каждом access-accept должен быть framed-ip-address атрибут. Но мне такая схема видится странной. Если вы хотите, чтобы IP-адреса были прибиты гвоздями к каждому абоненту (у нас так тоже раньше было), то проще имхо dhcp relay+opt.82, просто опцию лучше не с доступа тянуть, а с браса.
Вся красота раздачи адресов брасами, по ему скромному мнению, заключается в динамическом пуле. -
5 часов назад, xcme сказал:
Кстати да, зачем так? Если IP-адрес выдает радиус, то зачем:
ip helper-address 192.168.100.27
?
P.S. Убрал релей, переделал интерфейс вот так:
ip subscriber l2-connected initiator dhcp
И не идут запросы к радиусу.
Очевидно, я делаю что-то не так...
P.P.S. Наверное, я все же невнимательно прочитал. :)
У вас брас выдает, не радиус?
Выдаёт и брас, если nas-port-id, и релеит (там легаси сетка), если remote-id, radius ничего не выдаёт, а лишь указывает брасу какой конкретно выдавать.
P.S. Сейчас эта схема на другом вендоре вообще, там полностью брасы выдают случайный из пула, радиус диктует постоянный адрес, если есть услуга, никаких рилеев, опций и такого. -
4 часа назад, xcme сказал:
Попробовал с nas-port - действительно работает, спасибо! А вот при remote-id тишина. У вас, наверное, опцию 82 доступ вставляет? remote-id это же тот самый RID из опции 82?
Нет, мы как раз с опции с доступа с радостью ушли. Там, обратите внимание, что BRAS является relay, он и вставляет этот remote-id, в котором будет пара s-tag/c-tag.
-
3 часа назад, xcme сказал:
А вот это в каком варианте получается?
Во всех :)
В ISG есть прям параметры s-tag, c-tag, которые можно в идентификаторе передавать, но они, по какой-то причине, не работают на тех версиях IOS XE, что я пробовал, а было бы недурно.
-
Куплю ESP100 для ASR 1000 series. Срочно и в любом городе!
-
14 часов назад, xcme сказал:
Можно пример настроек и версию ПО? Ну и что за колхоз, тоже интересно. :)
Версии разные использовали. Сейчас 03.13.04.S
Вот пример порта кастомера
interface Port-channel1.400 encapsulation dot1Q 400 second-dot1q any ip unnumbered Loopback1 ip helper-address 192.168.100.27 no ip redirects no ip unreachables no ip proxy-arp ip mtu 1500 ip verify unicast source reachable-via rx l2-src ip access-group Bogons in shutdown service-policy type control Customers ip subscriber l2-connected initiator dhcp arp ignore local end
Вот пример политики
policy-map type control Customers class type control Unauth event timed-policy-expiry 1 service disconnect ! class type control always event session-start 1 authorize aaa password cisco identifier remote-id (здесь ещё можно попробовать nas-port-id) 3 set-timer Unauth 1 ! class type control always event session-restart 1 authorize aaa password cisco identifier remote-id 3 set-timer Unauth 1 ! class type control always event access-reject 1 service-policy type service name OpenGarden 2 service-policy type service name L4R 3 set-timer Unauth 3 ! ! class-map type traffic match-any L4R match access-group input name WebRedirectIn match access-group output name WebRedirectOut ! class-map type traffic match-any OpenGarden match access-group output name OpenGardenOut match access-group input name OpenGardenIn ! class-map type control match-all Unauth match timer Unauth match authen-status unauthenticated ! policy-map type service L4R class type traffic L4R redirect to group Enclosure ! class type traffic default in-out drop ! ! policy-map type service OpenGarden class type traffic OpenGarden police input 5000000 937500 1875000 police output 5000000 937500 1875000 ! class type traffic default in-out drop ! !
Где remote-id, там порт кастомера работает как DHCP-Relay, где nas-port-id работает как DHCP-Server.
Колхоз заключается в парсинге того, что приходит на радиус, на предмет stag/ctag, они там в хексе могут быть, могут быть в аски.
-
Опубликовано · Изменено пользователем buckethead · Жалоба на ответ
В таком случае опция на брасе лучше чем опция на доступе, да.
2 часа назад, xcme сказал:P.S. Да, забыл, еще можно так:
Но у меня так не взлетело - кошак не захотел в запрос к радиусу вставлять svid/cvid, только MAC.
Это что за кошак, у меня есть рабочий BRAS (ISG, asr1k) с авторизацией в RADIUS по паре stag/ctag, там, правда, колхоза немножко, но жить можно.
-
9 часов назад, xcme сказал:
Если абонентам надо еще и адреса выдавать, то опция 82 все равно нужна) Просто вставлять ее может уже сам BRAS.
Совсем без опции 82, это, наверное, только PPPoE =)
Адреса брасы выдают, зачем опция? Нужен постоянный адрес -- RADIUS выдаёт Framed-IP-Address атрибут, так делается в серьёзных ISP.
-
В 28.11.2017 в 11:45, uk2558 сказал:
Забили на MAG. нигде в наличии нет, берем теперь TVIP 410 с прошивкой под сталкер.
Прошивка предоставляется TVIP'ом, или как-то сами колхозируете это дело?
-
У вас LSP-то есть вообще, не статик, а именно RSVP-signalled? Hello будет появляться тогда, когда есть сессия между LSR. При этом в популярных сетевых ОС (не думаю, что Тимос исключение) -- hello вообще рудиментарный механизм, RSVP сходится за счёт IGP и state refresh (Path, Resv).
-
Весьма странный вопрос от Cisco мастера.
Что говорят логи на устройстве хотя бы?
-
Ну тут как бы да: мешать в одну кучу разные платформы и сетевые ОС это, мягко говоря, странно.
А то, что вы ищите по stag/ctag не работает на IOS-XE, об этом давно в курсе TAC, но они отмахиваются, ибо это не критикал, и есть альтернативы.
-
Я вот тут другим вопросом озадачился, а чего это вы policy-map обозвали shape, когда там policer везде? Policer != shaper. Это первое. Второе, зачем передавать их через атрибуты 'ip:sub-qos-policy-in/out'?
-
Вам бы в сторону брасов посмотреть всё таки.
-
У нас аналогичная история, тоже хотели бонусы, голды там, так же отшили и особо не скрывали, что из-за РТК.
-
5 минут назад, korsakik сказал:
Конечно, с 1 августа по 14 сентября трафик кольцевался через Германию, такая жопоболь была у игрочков.
Объясните, про какие сервера идёт речь? Обновления для танков?
Если да, то всё просто.
Ставим на сети retracker.local если надо, сервер\компьютер с torrent клиентом на котором подписываемся по RSS на обновления танков и готово, обновления тянутся автоматически на комп оператора, далее если пошаманить с шейпером на него - можно снять ограничение по скорости внутри сети и тем самым ускорить скачивание и сэкономить трафик (но не весь).
Нет, тогда речь конкретно велась за размещение у нас их игровых серверов для улучшения юзер экспириенс, мы не против были хостить серваки на весь регион. Они отказали, потому что не безопасно, а потом сами своё поставили не так далеко от нас.
-
Только что, 2fat2fly сказал:
а с кэш сервером, как обстоят дела?
Не совсем понял вопроса. Wargaming поставили свои серверы в другом городе, RTT стало удовлетворительным, клиенты перестали ныть.
Или Вы на счёт steam? Он работает себе, в районе 1G отдаёт, честно, даже забыли про него.
-
Мы пытались как раз с Wargaming договориться по поводу размещения, они нам вежливо отказали, т.к. передавать свои серверы третьим лицам не собирались по причинам безопасности, плюс недалеко от нас поставили сами серверы, и наша проблема решилась.
ЦитатаWe are still looking at servers in Japan with connections to Russia through Rostelecom.
Вот это огромная проблема в том регионе, так как у РТК на ДВ пиринг с Японией то есть, то нет. Они могут его в любой момент на неопределённое время положить.
-
Это уже немного другой уровень отношений, нежели простой кэш на своей площадке. Не известно, работает ли Steam на такой основе с кем-то в РФ, и что там за условия вообще. Обычно все стараются исключить физический доступ к игровым серверам.
-
Для игр вам никто не даст серверы по вполне очевидным причинам.
Ищу старые сертификаты ССС
в Работа с бумагами
Опубликовано · Жалоба на ответ
Господа, доброго времени суток!
Разыскиваются сертификаты ССС (изображения) на следующие позиции:
Cisco ASR 1002, Cisco 7609, Cisco SCE 2020, Dell PowerEdge R900 за 2011 год
Спасибо!