aneye

Зачем я буду закапывать pdns, если это "тоже самое"? :) И пересобирать pdns для правки конфига не нужно. Здесь вопрос не в выборе dns-рекурсора, вопрос про конкретную его реализацию и поведение в определенной ситуации.

Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге.

Всё, что требует от абонента дополнительных действий уже не может относиться к "самым простым вариантам". Про единую точку отказа полностью согласен. Хотя, есть впечатление, что это и есть основная мысль.

Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов.

А, я случайно сделал параллельную тему? Извините. Хотя у меня вопрос достаточно конкретный - че делать будем? :)

Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль.

Боюсь вас разочаровать, но в инструкции указана точка - т.е. зона "." :)

Привет. Операторам начали рассылать инструкции по подключению к "национальной системе доменных имен (НСДИ)". В инструкции указано несколько способов, как вы, как оператор, можете произвести подключение. Там ничего особенного: предлагается либо скопировать рутовую зону себе на сервер, если у вас bind, либо сделать форвардинг на предоставленные в инструкции адреса. Можно выбрать любой из способов. У нас для клиентов используются pdns-recursor-ы, но меня смущают некоторые вещи и вот хотел спросить, возможно, кто подскажет. В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. Да собственно, он здесь не так важен. Важно другое: если мы форвардим все запросы на всего пару адресов (причем, они из одного блока, т.е. вариант случайного блэкхола по какой-то причине у апстрима вполне возможен), то что будет, если данные адреса по какой-то причине станут недоступны? Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

Ну, у абонента может быть мизерный тариф на Интернет, но при этом ТВ по юникасту, которое в этот тариф просто не пролезет. Т.к. это юникаст, то нужно каким-то образом отделить мух от котлет. По поводу тарификации "по трафику" - помегабайтные тарифы? Мне кажется, таких уже не осталось, по крайней мере, у немобильных операторов.

Если вариант - это по клиенту на один L3-интерфейс, то да, здесь решается часть проблем. Однако, обычно, L3 стоит на агрегации, а к нему подключен десяток свитчей и просто так порезать скорость на порту уже не выйдет. Т.е. девайс должен уметь абон-сессии и вешать на них то, что получит от радиуса/биллинга. Еще на ум приходят следующие возможные проблемы. 1) Предположим, мы продаем абоненту не один адрес, а блок адресов. И мы должны ограничивать ему скорость на сессию. Если делать через радиус, то брас должен понимать framed-ip-netmask, дабы понимать, что трафик от любого адреса из выданного блока относиться к одной и той же сессии. 2) У абонента может быть узкий тариф на Интернет, но при этом с ТВ. Если ТВ подавать юникастом, то для ТВ трафика нужна отдельная скорость. Здесь я не скажу точно, т.к. не делал подобных вещей на микроте, наверняка такое разделение на нем сделать можно. Но тут важно, что бы была унифицированная система передачи этих данных от биллинга. Т.е. даже если политики настроены на устройствах локально, мы должны иметь возможность довешивать их в зависимости от опций, которые висят у абонента на договоре.

Ломаю голову над подобным вопросом уже довольно давно. И пока вариант с L2 от браса до абонента (не суть важно - чистым vlan, qnq, mpls) побеждает остальные варианты, какими бы более технологичными они не казались. Любой зоопарк оборудования будет с этим работать, и это просто в обслуживании (к вопросу о персонале, который будет это обслуживать). Была идея соорудить некую схему, в которой клиент будет подключен по L2 к некой L3-агрегации, но аутентифицироваться будет уже на толстом брас-е в ядре. Единственный вариант, который пока срабатывал (на столе) - это парные vlan-ы до подобных L3-узлов, в одном из которых ходит управление узлом (IGP-BGP), а трафик абонента через PBR кидается на другой саб, где висит уже политика. Но это over-усложнение и костыль. По поводу вопроса с микротиками в виде мини-брасов: во-первых, микротик вряд ли предложит вам ту же ширину функционала относительно абонентских сессий (наборы поддерживаемых радиус-атрибутов), какую предоставит какой-нибудь cisco ASR1k, ну а во-вторых: будет зависеть от моделей микротов. Больше микрот, больше трафика он прожуёт.

Отловили проблему. Она была в другой части сети и в совершенно другом влане, не относящимся к OLT. Однако, эффект интересный - схема работала, но не полностью. В любом случае, спасибо.

Привет. На форуме уже была тема от 2018-го года, с подобным вопросом, но там на него так и не ответили. Есть OLT GP3600-08B (10.3.0D Build 65417). Задача - настроить два порта как "обычные" switchport trunk-и. Насколько я понял, для этого используется режим dot1q-tunnel-uplink. Но как то оно не сказать, чтоб работало. Собрана простая схема: комп - свитч - OLT - шлюз. Свитч в влане управления свой шлюз пингует, а вот комп - нет. Мак компа на OLT виден, но больше ничего в этом влане не светиться, а в влане управления коммутатором все норм (собственно, поэтому и работает). У кого есть опыт подобной настройки? Спасибо. P.S.: да, я знаю, что железка не для этого, но она рассматривается, как альтернатива оборудованию Eltex, а их OLT (правда, Turbo GEPON) со свитчингом между front-port-ами справляется нормально.

Всем привет. Есть проблема, подскажите пожалуйста. Пытаемся реализовать схему, когда клиент подключен по технологии IPoE со статическим адресом. Т.е. мы аутентифицируем его по его IP, который является одновременно и логином. Никаких DHCP и 82-х опций нет. Есть тестовая ISG (7200 Software (C7200-ADVENTERPRISEK9-M), Version 15.2(4)S6), BGBillng 6.0 модуль Inet. ISG настраивался одновременно по нескольким статьям: статья-1 статья-2 Собственно, схемы именно по ISG в этих статьях почти идентичные. Что бы не быть голословным, вот конфиги: ISG: ISG99#sh run Building configuration... Current configuration : 6186 bytes ! ! Last configuration change at 09:27:31 RTZ-3 Thu Sep 29 2016 ! NVRAM config last updated at 09:27:32 RTZ-3 Thu Sep 29 2016 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec ! hostname ISG99 ! boot-start-marker boot-end-marker ! ! ! aaa new-model ! ! aaa group server radius ISG_TEST server 10.63.9.105 auth-port 1812 acct-port 1813 ip radius source-interface FastEthernet0/0 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU ! aaa authentication login IPOE-CLIENTS group ISG_TEST aaa authentication ppp PPPOE-CLIENTS group ISG_TEST aaa authorization network PPPOE-CLIENTS group ISG_TEST aaa authorization network IPOE-CLIENTS group ISG_TEST aaa authorization subscriber-service default local group ISG_TEST aaa authorization subscriber-service PPPOE-CLIENTS local group ISG_TEST aaa authorization subscriber-service IPOE-CLIETNS local group ISG_TEST aaa accounting update periodic 1 aaa accounting network default start-stop group radius aaa accounting network PPPOE-CLIENTS start-stop group ISG_TEST aaa accounting network IPOE-CLIENTS start-stop group ISG_TEST ! ! ! ! aaa server radius dynamic-author client 10.63.9.105 server-key cisco auth-type any ignore session-key ignore server-key ! aaa session-id common clock timezone RTZ-3 4 0 no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! ! subscriber authorization enable async-bootp dns-server 81.22.63.7 multilink bundle-name authenticated ! ! ! ! ! ! ! username aneye privilege 15 secret 5 $1$OfaS$jw84G4UwlVogs.DQQqAhK0 redirect server-group PORTAL server ip 81.22.63.53 port 80 ! ! ! ! ! ! ip tcp synwait-time 5 class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 199 match access-group output 199 ! class-map type traffic match-any CLASS-TRUSTED match access-group input 198 match access-group output 198 ! class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER ! policy-map type service LOCAL-L4R 5 class type traffic CLASS-TO-REDIRECT redirect to group PORTAL ! class type traffic default in-out drop ! ! policy-map type service SERVICE-TRUSTED 1 class type traffic CLASS-TRUSTED police input 1024000 192000 384000 police output 1024000 192000 384000 ! class type traffic default input drop ! ! policy-map type control ISG class type control always event session-start 1 authenticate aaa list PPPOE-CLIENTS ! ! policy-map type control ISG-IPOE-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list IPOE-CLIENTS password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name LOCAL-L4R ! class type control always event session-restart 10 authorize aaa list IPOE-CLIENTS password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name LOCAL-L4R ! class type control always event radius-timeout 1 service-policy type service name SERVICE-TRUSTED 2 service-policy type service name LOCAL-L4R ! class type control always event account-logoff 1 service disconnect delay 5 ! ! ! ! ! ! ! ! ! ! bba-group pppoe global virtual-template 1 sessions auto cleanup ! ! interface FastEthernet0/0 ip address 10.63.2.96 255.255.255.0 ip nat outside duplex full ! interface FastEthernet0/0.2 ! interface FastEthernet1/0 no ip address duplex full pppoe enable group global ! interface FastEthernet1/0.251 encapsulation dot1Q 251 ip address 60.1.1.1 255.255.255.252 ip nat inside service-policy type control ISG-IPOE-POLICY ip subscriber routed initiator unclassified ip-address ! interface Virtual-Template1 mtu 1492 ip unnumbered FastEthernet0/0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside no peer default ip address ppp authentication chap pap ms-chap-v2 PPPOE-CLIENTS ppp authorization PPPOE-CLIENTS ppp accounting PPPOE-CLIENTS service-policy type control ISG ! ip local pool PPPOE-CLIENT-POOL 10.99.99.200 10.99.99.254 ip nat inside source list NAT interface FastEthernet0/0 overload ip forward-protocol nd ! ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 10.63.2.254 ! ip access-list standard NAT permit 10.37.37.0 0.0.0.255 permit 60.1.1.0 0.0.0.3 ! ip access-list extended PPPOE-ACL-IN deny icmp any any permit ip any any ip access-list extended PPPOE-ACL-OUT deny icmp any any permit ip any any ! ip radius source-interface FastEthernet0/0 access-list 197 permit tcp any any eq www access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any access-list 198 permit tcp any host 194.54.14.159 eq www access-list 198 permit tcp any host 194.54.14.159 eq 443 access-list 198 permit icmp any any access-list 198 deny ip any any access-list 199 permit tcp any any eq www access-list 199 permit tcp any any eq 443 access-list 199 permit tcp any any eq 8080 ! ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 25 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 send nas-port-detail mac-only radius-server host 10.63.9.105 auth-port 1812 acct-port 1813 key cisco radius-server key cisco radius-server vsa send accounting radius-server vsa send authentication ! ! control-plane ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 password 15xbkjdtr transport input telnet ! ntp update-calendar ntp server 132.163.4.101 ntp server 132.163.4.103 ! end На всякий случай еще и конфигурация из биллинга (BGBilling 6.0 модуль Inet): radius.servSearchMode=0 radius.realm=default connection.suspend.timeout=900 connection.close.timeout=130 connection.finish.timeout=5 radius.username.removeDomain=0 radius.realm.default.attributes=Acct-Interim-Interval=60;Idle-Timeout=1300;cisco-avpair=subscriber:accounting-list=IPOE-CLIENTS;cisco-avpair=subscriber:policy-directive=authenticate aaa list IPOE-CLIENTS; radius.inetOption.33.template=framed-mtu=1492;cisco-SSG-Service-Info=I$optionTitle;cisco-SSG-Service-Info=QU;;$speed;;$nburst;;$eburst;;D;;$speed;;$nburst;;$eburst;;; radius.connection.attributes=Acct-Session-Id,User-Name,Framed-IP-Address authorization.mode=1 radius.disable.attributes=Acct-Interim-Interval=60;cisco-avpair=subscriber:accounting-list=IPOE-CLIENTS;cisco-SSG-Service-Info=QU;;1000000;;187500;;375000;;D;;1000000;;187500;;375000;;;cisco-ssg-account-info=ASERVICE-TRUSTED;cisco-ssg-account-info=ALOCAL-L4R; sa.radius.connection.coa.mode=2 sa.radius.connection.close.mode=3 sa.radius.connection.withoutBreak=0 sa.radius.connection.attributes=Acct-Session-Id,User-Name,Framed-IP-Address session.split.onDeviceState=0 session.split.onTariffOption=1 sa.radius.realm.addAttributes=0 sa.radius.connection.attributes=Acct-Session-Id Так вот, проблема в следующем: если у абонента отрицательный баланс, ему возвращается ошибка 12 и Access-Reject: Packet type: Access-Reject Identifier: 6 Authenticator: {DF F5 50 AF 2F 08 66 9F 1F F1 3E B8 42 56 C6 3A} Attributes: Reply-Message=12 На ISG при этом поднимается сессия и применяются сервисы, описанные в policy-map: ISG99#show subscriber session detailed Current Subscriber Information: Total sessions 1 -------------------------------------------------- Type: IP, UID: 7, State: unauthen, Identity: 60.1.1.2 IPv4 Address: 60.1.1.2 Session Up-time: 00:00:02, Last Changed: 00:00:02 Switch-ID: 4135 Policy information: Context 680E7378: Handle 6700001F AAA_id 00000012: Flow_handle 0 Authentication status: unauthen Downloaded User profile, including services: ssg-service-info 0 "QU;1024000;192000;384000;D;1024000;192000;384000" username 0 "LOCAL-L4R" traffic-class 0 "input access-group 199 priority 5" traffic-class 0 "output access-group 199 priority 5" l4redirect 0 "redirect to group PORTAL" traffic-class 0 "input default drop" traffic-class 0 "output default drop" Config history for session (recent to oldest): Access-type: IP Client: SM Policy event: Service Selection Request (Service) Profile name: LOCAL-L4R, 3 references password 0 <hidden> username 0 "LOCAL-L4R" traffic-class 0 "input access-group 199 priority 5" traffic-class 0 "output access-group 199 priority 5" l4redirect 0 "redirect to group PORTAL" traffic-class 0 "input default drop" traffic-class 0 "output default drop" Access-type: IP Client: SM Policy event: Service Selection Request (Service) Profile name: SERVICE-TRUSTED, 3 references password 0 <hidden> username 0 "SERVICE-TRUSTED" traffic-class 0 "input access-group 198 priority 1" traffic-class 0 "output access-group 198 priority 1" ssg-service-info 0 "QU;1024000;192000;384000;D;1024000;192000;384000" traffic-class 0 "input default drop" [b]Active services associated with session: name "LOCAL-L4R", applied before account logon name "SERVICE-TRUSTED", applied before account logon[/b] Rules, actions and conditions executed: subscriber rule-map ISG-IPOE-POLICY condition always event session-start 10 authorize aaa list IPOE-CLIENTS identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name LOCAL-L4R Classifiers: Class-id Dir Packets Bytes Pri. Definition 0 In 0 0 0 Match Any 1 Out 0 0 0 Match Any 26 In 0 0 1 Match ACL 198 27 Out 0 0 1 Match ACL 198 28 In 0 0 5 Match ACL 199 29 Out 0 0 5 Match ACL 199 4294967294 In 0 0 - Drop 4294967295 Out 0 0 - Drop Features: L4 Redirect: Class-id Rule cfg Definition Source 28 #1 SVC to group PORTAL LOCAL-L4R Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 26 In 1024000 192000 384000 SERVICE-TRUSTED 27 Out 1024000 192000 384000 SERVICE-TRUSTED Configuration Sources: Type Active Time AAA Service ID Name SVC 00:00:02 - SERVICE-TRUSTED SVC 00:00:02 - LOCAL-L4R USR 00:00:02 - Peruser INT 00:00:02 - FastEthernet1/0.251 Однако такое впечатление, что сервисы на самом деле не работают, потому что ни редирект, ни выборочный допуск до сайтов (до одного, если быть точным, указанного в ACL 198) не работают... Возможно, сталкивался кто-нибудь? Или если есть опытные люди в плане ISG, подскажите, в чем может быть затык?

Привет. Решил задать вопрос здесь, раз уже создана тема по Dude. Есть два разных сервера, которые поддерживают разные версии Dude. Необходимо одну Network Map перенести из одного Dude в другой. Подскажите пожалуйста, как это можно сделать? Ссылки на соответствующие разделы документации - будет отлично.