Jump to content
Калькуляторы

burevestnik_1983

Пользователи
  • Content Count

    18
  • Joined

  • Last visited

About burevestnik_1983

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Добрый день! Cisco ASR1002-X, с софтом Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S Имеется пользователь с ограниченными правами: username xxxYYY privilege 3 ... Хочу дать ему право на выполнение команды в контексте интерфейса: encapsulation dot1Q xxx second-dot1q yyy Что я ввёл от имени суперпользователя: privilege interface level 3 encapsulation dot1Q Это дало открыло мне возможность задавать одиночный тег от имени пользователя с ограничеными правами, то есть команду: encapsulation dot1Q xxx Как дать привилегию на добавление второго тега? пробовал: privilege interface level 3 encapsulation dot1Q second-dot1q privilege interface level 3 encapsulation dot1Q * second-dot1q privilege interface level 3 encapsulation dot1Q all second-dot1q Какой символ обозначает "любое количество любых символов" при прописывании привилегий? Может я ошибаюсь, это не "*", а что-то другое?
  2. Как заворачивать во внешний тег, понятно. А как можно сделать, чтобы определённые вланы (исключения) не заворачивались во внешний тег, а просто пропускались как есть со своим одним тегом наверх?
  3. Да, пробовал. Именно этой командой. Вижу, что он выполняет запрос и не ругается в логе, но он почему-то не шлёт ответ обратно в radclient. Если я ошибаюсь в COA запросе, он пишет, то No valid session, но опять же в логе, а не отсылает ответ в radclient. По факту вижу, что когда навешиваю политику редиректа 3 уровня, оно работает, хотя ответа в radclient не посылает. Шейпы (если точнее policy cir) навешиваю - пишет, что успешно навешивает, но реально не ограничивают... По поводу идентификаторов - это ведь интерфейсная сессия, поэтому она может быть активной, даже если через интефейс никто не работает. Там юзернейма, как такового и не надо. Я сделал статический роут для фейкового IP в данный интерфейс, и этот IP юзаю для COA запросов. Framed-Ip-Address="10.81.0.4" - вот таким образом указываю, и ASR понимает, о каком интерфейсе речь, и принимает COA запрос Ещё можно юзать Cisco-Account-Info="S10.81.0.4" - работает, запрос проходит Юзернейм сессии у меня - это Nas-port, но если его указывать, то тогда пишет No Valid Session И самое главное то, что даже если я ошибаюсь в атрибуте, то radclient должен даже и тогда получить ответ от ASR и написать его... А ASR в radclient этого ответа не шлёт даже в случае ошибки в запросе. Не шлёт на уровне пакетов (делал зеркало порта, куда подключен ASR). Шлёт NAK только когда я ставлю неправильный server-key. Вот это странно. Может там нужно флаг какой-то дёрнуть, чтобы он стал отвечать...
  4. Не думаю. В принципе долетает ответ от ASR, к примеру, если я намеренно указываю неправильный server-key. Значит проблем со связностью, файрволом, занятостью порта нет.
  5. Ещё вопрос, никто не сталкивался с таким? Пробую так же рулить ip subscriber interface сессиями через COA запросы. Через radclient. ASR в принципе не шлёт мне ответы для radclient. На уровне пакетов вижу, что не шлёт. Шлёт, только если я ошибаюсь в server-key. В остальных случаях по логам (debug aaa coa) вижу, что он выполняет COA запросы, например успешно навешивает редирект 3 уровня (reroute to). При этом в сторону radclient ответов нет, но ответы на coa запросы он пишет в лог, в том числе и негативные ответы типа No valid session или Unsupported service. Клиент в разделе aaa dynamic-author указан правильный, server-key - правильный, но ASR упорно не шлёт ответа, а radclient думает, что ему не ответили, и пытается послать запрос ещё раз... На разных IOS - 03.16.05.S.155-3.S5-ext, 03.11.00.S.154-1.S-std - ситуация та же.
  6. Насчёт неточности формулировки согласен Полтика такая policy-map SHAPE-IN-100000 class NO_SHAPE police cir 107520000 class NO_SHAPE отсеивает группы IP, где скорость не должна ограничиваться, и разрешает все остальные... По поводу странности применения COA запросов - возникло неожиданно, причём успел уже недели две потестить на ASR-1000 - все применялось без проблем. Вот и хочу понять, какую именно ругань пишет CISCO, когда отказывается принимать COA запрос с данным полисером. Какой именно debug * нужно включить на ASR, чтобы видеть сообщения, связанные с применением COA запросов?
  7. Ещё возникла такая засада. Сессия в апе Есть IP для управления, 10.81.0.4, для которого записан статический маршрут в тот интерфейс, где поднята сессия #sh ip route 10.81.0.4 Routing entry for 10.81.0.4/32 Known via "static", distance 1, metric 0 (connected) Routing Descriptor Blocks: * directly connected, via Port-channel1.12444094 Route metric is 0, traffic share count is 1 Этот адрес нужен для отправления COA запросов При накидывании SHAPE, ASR не ругается на неправильный запрос, а просто его не отвечает, как будто убран там dynamic-author Sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Re-sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Re-sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Кто-нибудь с таким сталкивался? При этом на той же машинке есть куча сессий l2-connected, с которым COA запросы как работали, так и работают, то есть в общем случае ASR нормально воспринимал COA запросы.
  8. Большое спасибо за кусок конфига. "authorize aaa password cisco identifier nas-port " это всё равно не помогло (хотя счётчик на данное действие каждый раз увеличивается, значит оно выполняется?..). Сессия стартует, но имя юзера пустое. Мне получается на данном этапе и не нужен RADIUS, мне нужно просто чтобы ASR подставил в качестве имени юзера имя порта (что вполне логично на interface-сессии). А в дальнейшем планировал с помощью COA - запросов управлять данной сессией - накидывать или убирать редиректы, opengarden'ы и проч политики. По какому именно параметру надо включить дебаг в данной ситуации, чтобы понять, что происходит, и где затык при работе этой control-policy?
  9. Если не сложно, приведите кусок конфига (control-policy), который авторизует такие сессии. А в общем случае,как я понимаю ip subscriber interface сессии можно авторизовать без радиуса, если в качестве имени пользователя использовать nas-port?
  10. Каким образом можно сделать ip subscriber interface сессию authen? Мне казалось, что там по автомату имя интерфеса и именем пользователя. В каком мануале можно об этом прочитать? ISG configuration guide, раздел Control Policies или в другом мануале циски?
  11. Спасибо за информацию. Если это было в теме, а не в ЛС, то киньте ссылку пожалуйста на тему
  12. Попутно по IP subscriber interface есть вопрос: cовместим ли данный тип сессий с такими директивами на интерфейсе как ip helper-address и ip unnumbered. В каком именно мануале можно прочитать про совсемстимость или категорическую несовместимость их? Вот конфиг интерфейса: interface Port-channel1.12444092 description test_jurs encapsulation dot1Q 1244 second-dot1q 4092 ip dhcp relay information option-insert ip dhcp relay information policy-action replace ip unnumbered Loopback5 ip helper-address ххх.ххх.ххх.ххх service-policy type control ISG-JURS ip subscriber interface end Задача, чтобы была одна сессия на интерфейс, куда буду навешивать политики, при этом каждый комп, подключённый через этот интерфейс будет получать IP по dhcp. Пока получается так, что когда убираю директиву ip subscriber interface, то сразу идут обращения от клиента, подключённого к данному интерфейсу, к IP, указанному в IP helper-address. Как ставлю директиву ip subscriber interface, ничего не происходит, хотя сама интерфейсная сессия подниается. Все dhcp дебаги включены, там нет вообще никаких попыток обратиться на helper-address Что нужно копать? asr1002x-2#sh running-config interface lo5 Building configuration... Current configuration : 64 bytes ! interface Loopback5 ip address 10.68.23.1 255.255.255.0 end Rule: ISG-JURS Class-map: always event session-start Action: 2 authorize identifier nas-port Executed: 4 Action: 5 set-timer UNAUTH-TIMER 50 Executed: 4 Class-map: always event session-restart Action: 2 authorize identifier nas-port Executed: 0 Action: 5 set-timer UNAUTH-TIMER 50 Executed: 0 Key:
  13. Спасибо за информацию и за ссылку на мануал.
  14. А какое это отношение имеет к proxy-arp? Какой параметр там нужно поискать, который влияет на proxy-arp?
  15. Добрый день! Используем CISCO ASR 1002X для подключения IPOE клиентов Клиенты подключены через несколько интерфейсов (вланов), используется IP-unnumbered и общая IP-подсеть на всех клиентов. В данный момент работает proxy-arp на каждом из интерфейсов, чтобы клиенты из одной IP-подсети, но сидящие через разные интерфейсы, могли общаться. Почему-то не получается его отключить. Прошивка ASR: ASR1002-X#sh ver Cisco IOS XE Software, Version 03.13.00.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S, RELEASE SOFTWARE (fc11) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2014 by Cisco Systems, Inc. Compiled Mon 28-Jul-14 01:21 by mcpre Proxy-arp глобально отключён командой ip arp proxy disable. На интерфейсе, куда подключён тестовый компьютер, proxy-arp тоже отключён, вот его конфиг: ASR1002-X#sh running-config interface po1.1244 Building configuration... Current configuration : 459 bytes ! interface Port-channel1.1244 description test vlan encapsulation dot1Q 1244 second-dot1q 250-1300 ip dhcp relay information option-insert ip dhcp relay information policy-action replace ip unnumbered Loopback4 ip helper-address X.Y.128.28 no ip proxy-arp ip access-group malware-filter-ipoe in no ip route-cache same-interface pppoe enable group test_dump service-policy type control ISG-QNQ ip subscriber l2-connected initiator dhcp end Подсеть абонентов - ip address X.Y.144.1 255.255.248.0 Проблема проявляется в двух вариантах: 1. Я пытаюсь пропинговать неактивный в данный момент IP из той же подсети. На самом ASR1002 смотрю, что нет arp запили для этого IP ASR1002-X#sh ip arp X.Y.146.13 ASR1002-X# С клиентского тестового компьютера пытаюсь пропинговать этот IP, не пингуется, но появляется arp запись для этого IP с маком ASR: C:\Users\burevestnik>arp -a Интерфейс: X.Y.146.161 --- 0xc адрес в Интернете Физический адрес Тип X.Y.144.1 64-12-25-d2-cc-c0 динамический X.Y.146.13 64-12-25-d2-cc-c0 динамический то есть ASR ответил своим маком для того IP адреса, который не работает, и о его реальном маке ASR не знает ничего. 2. Я пытаюсь пропинговать активнный IP из той же подсети На ASR его мак виден, но не в моём интерфейсе ASR1002-X#sh ip arp X.Y.146.46 Protocol Address Age (min) Hardware Addr Type Interface Internet X.Y.146.46 - 0027.227d.06ad ARPA Port-channel1.945 ASR1002-X#sh ru И с клиентского тестового комьютера я могу пропинговать этот адрес, несмотря на то, что отключен proxy-arp! C:\Windows\system32>ping X.Y.146.46 Обмен пакетами с X.Y.146.46 по с 32 байтами данных: Ответ от X.Y.146.46: число байт=32 время=8мс TTL=63 Ответ от X.Y.146.46: число байт=32 время=2мс T C:\Windows\system32>arp -a Интерфейс: X.Y.146.161 --- 0xc адрес в Интернете Физический адрес Тип X.Y.144.1 64-12-25-d2-cc-c0 динамический X.Y.146.46 64-12-25-d2-cc-c0 динамический То есть ASR продолжает фактически делать proxy-arp, даже когда он явно отключен. Кто-нибудь с этим сталкивался? Есть ли ещё какие-то дополнительные параметры, связанные с proxy-arp, которые можно "покрутить" ? В каком из цисквоских мануалов? Я пока в мануале "IP Addressing: ARP Configuration Guide" нашёл только включение/отключене proxy-arp глобально и для интерфейса