Jump to content

bbober25

Пользователи
  • Posts

    34
  • Joined

  • Last visited

About bbober25

  • Rank
    Абитуриент
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Cогласен что не DPI ))) Нужно было чтобы правила iptables пользовались каким-либо DPI и было принято соответственное ращение после инспектирования пакета. Удалось собрать модуль xt_ndpi с которым работает iptables (Debian 10 iptables v1.8.2 (nf_tables)) Может кому пригодится: https://github.com/vel21ripn/nDPI/tree/netfilter-2.6
  2. Сам не напишу точно) Не логично получается то что были инструменты и вдруг перестали существовать... Потребность то в них не отпала. Видимо ест другие инструменты? Необходимо маркировать трафик p2p. Но, как оказалось практически нечем, или так ищу)))
  3. Коллеги, добрый день! Мы много разговариваем про DPI. Вопрос (прошу прощения если не совсем по теме), кто какой DPI использует? Есть роутер на Debian 10. Третий день ищу DPI для Iptables - не могу найти, все проекты OpenDPI, nDPI и т.д. давно заброшены и не развиваются. Собрать модули для Debian 10 нет возможности. Не подскажите DPI для Iptables (iptables v1.8.2 (nf_tables))?
  4. Коллеги, может кому понадобится... На сегодня FreeBSD не поддерживает PostNAT NetFlow v9, родной модуль ng_neflow это не поддерживает, стороннего ПО отыскать не удалось. Выход -> Пересобрали NASы на Debian, IPT-NetFlow умеет PostNat. Правда, придется пользоваться iptables вместо нового nftables, так как модуль IPT-NetFlow не работает с NFTables.
  5. Коллеги, кому либо удалось реализовать FreeBSD + сенсор, который умеет работать со информацией до и после NAT?
  6. Коллеги, добрый день! Как решили вопрос? У нас тоже BRASS'ы собраны на FreeBSD + MPD5 + IPFW NAT Требуют выгрузку NetFlow v9 c адресами до НАТ с адресами после НАТ. Но Brass'ыNetFlow выгружает только IPv4 Standard 256 а они требуют IPv4 with NAT Standard 260 - т.е. дополнительные поля. Знаем что Cisco умеет это, а вот как быть с FreeBSD и IPFW NAT - не знаем, объемся месяц, ничего не получается. Есть у кого мысли ?
  7. Коллеги, всем доброго времени суток! Ступор... Может кто сталкивался? Необходимо получить NetFlow v9 - набор данных (полей) должен быть IPv4 with NAT Standard (ID шаблона 260) Имеем сервер доступа BRASS: OS: FreeBSD srv_bras3 10.4-RELEASE FreeBSD 10.4-RELEASE На BRASS, для подключения абонентов, поднят MPD5 (авторизация по Radius) + IPFW NAT Со стороны BRASS на NetFlow коллектор прилетает NetFlow v9, но не с тем набором данных - отсутствуют поля с данными по NAT трансляции (прилетают данные по шаблону IPv4 Standart у которого ID 256), а нужен набор данных IPv4 with NAT Standard у которого ID 260 Вопрос: Как сменить набор данных NetFlow v9 , которые должны учитывать NAT? Сейчас так: Смотрим WireShark, данные только по 256 шаблону Шаблоны данных NEtFlow v9: IPv4 Standard 256 IPv4 Enterprise 257 IPv6 Standard 258 IPv6 Enterprise 259 IPv4 with NAT Standard 260 IPv4 with NAT Enterprise 261 IPv6 with NAT Standard 262 IPv6 with NAT Enterprise 263
  8. Всем спасибо за участие, тему закрываем. Если кому интересно, последним штрихом стало поставить IGMPv2 на IGMP роутере.
  9. Почти, товарищи, почти... на LTE-8X следующие настройки (на скриншотах), на NTE-2 правил никаких нет, т.к. за ними стоят коммутаторы доступа L2/ Абонент подписывается на группу и эта подписка видна в Multicast Groups на LTE-8, далее эта подписка видна на коммутаторе агрегации, т.е. все хорошо и кино показывает. Но, при отключении от группы, исчезает только на LTE-8X в Multicast Groups (так и должно быть), на коммутаторе агрегации остается эта группа, т.е. с LTE-8X пакет на отключение от группы не проходит дальше самого LTE-8X, в итоге стрим отключается на IGMP маршрутизаторе по таймауту. Вопрос, коллеги, почему запрос на отключение от группы не проходит дальше LTE-8X в стону реагирующего коммутатора?
  10. XyXEL XGS-4728F победил. Что имеем: 1. Запросы на присоединение к группе проходят от абонента через коммутатор доступа, через среду GePON, попадают на коммутатор агрегации, попадают на IGMP роутер. 2. IGMP роутер начинает вещать мультикаст на коммутатор агрегации, коммутатор агрегации вещает на порт LTE-8X и там мультикаст остается/стопарится, до NTE-2 и коммутатор доступа не доходит. Курим дальше...
  11. Ок, буду смотреть в сторону zuxel-xgs-4728f, если кино будет показывать на абонентском коммутаторе подключенному к корню, то потом думать со средой GePON, пока что, думаю, не в GePON дело...
  12. Дефолтные профили пропускают все прозрачно, т.е. если на FrontPort0 присутствует vlanX то и на любом PonPort, и естественно на портах NTE тоже будет этот vlanX, при условии если он добавлен на Switch LTE-8X. На рисунке (извиняюсь за качество), можду абонентским коммутатором и IGMP роутером, помимо среды GrPON, изображен L3 Коммутатор zuxel-xgs-4728f, может он не пропускает. Буду смотреть. Если настраивать IGMP на LTE-8X значит его нужно делать Quirer'ом я так понимаю? И L3 zuxel-xgs-4728f (агрегация) тоже нужно настроить Quirer'ом?
  13. Профили на NTE-2 стоят дефолтные, т.е. типо моста между L2 коммутаторами (чердачными) и FrontPort0 на LTE-8X. Но Мультикаст (запросы) не ходят.   Я так понимаю, что это в том случае, если настраивать IGMP на LTE-8X, у нас же речь идет о том, чтобы сделать прозрачно через среду GePON, т.е., грубо говоря соединить два коммутатора можду которыми среда GePON. Профили на NTE-2 стоят дефолтные, но почету то не проходит IGMP Report Packet. Куда копать, подскажите?
  14. Здравствуйте! Кто сталкивался с тем, чтобы пропустить мультикаст "прозрачно" через GePON Eltex LTE-8X + NTE-2? Немного о сети: NTE-2 стоят на чердачных помещениях, за ними L2 коммутаторы доступа, к которым подключены абоненты. Необходимо чтобы запрос на присоединение к группе прошел от коммутатора доступа к IGMP routrer'у через NTE-2 и LTE-8X, т.е. как будто их нет, а назад полился за прошеный канал IPTV (т.е. на все NTE-2 и соответственно на все коммутаторы за ними). Профили на NTE-2 default, т.е. необходимые vlan настраиваются на коммутаторах за ONT-2. Если коммутатор доступа напрямую соединить с IGMP маршрутизатором - все работает, через среду GePON - нет. При прикрепляю схему (прошу прощение за качество).
  15. Отписываюсь по тому как удалось решить вопрос. Скажу сразу, это что-то очень странное. Мы даже и не подозревали, что настроить это можно только через одно место))) В итоге: 1. Версия IOS 15.0 и 15.1 поддерживают match vlan, но только от 1 до 1005!!! При этом сконфигурированый map-policy удается повесить на физический интерфейс, без добавлений sub интейфейсов. 2. Версия IOS 15.2 поддерживают match vlan, от 1 до 4095!!! И все казалось бы хорошо, вопрос закрыт, но не тут то было))) Повесить такой map-policy на физический интерфейс можно только при наличии sub интерфейса, причем любого, даже не имеющего отношения к тем vlan которые матчим. Но и тут все не просто, а именно polyci начинает работать только на output. А при удалении sub интерфейса начинает работать и input. Для того, чтобы изменить map-policy который используется, необходимо обязательно создать любой sub, при этом service-policyc input перестает работать до тех пор, пока не удалить sub. class-map match-any smid match vlan 16 106 3040 3045 3050 class-map match-any obl match vlan 15-16 19 106 3012-3013 3016 3020 3025 3030 3035 3085 3115 3135 3300 class-map match-any okt match vlan 16 1001 1006-1020 3011 3055 3060 3065 3070 3075 3080 3090 3095 4003 4023 ! policy-map 10 class okt police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop class obl police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop class smid police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop policy-map 40 class okt police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop class obl police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop class smid police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop interface GigabitEthernet0/0 no ip address ip flow ingress ip flow egress no ip route-cache duplex auto speed auto media-type rj45 negotiation auto service-policy input 40 service-policy output 10 ! connect obl1 GigabitEthernet0/0 GigabitEthernet0/1