Bat

ASR1002. Не пойму что не так. Вешаю простейший policy-map на сабинтерфейс, а он не работает. policy-map 7MBIT class class-default police 7168000 224000 448000 interface Port-channel1.212 encapsulation dot1Q 212 ip address xx.xx.xx.81 255.255.255.252 service-policy input 7MBIT service-policy output 7MBIT

Вопрос снимается. Проблема была в софте. После замены все заработало.

Так там же и высылается в Access-accept ABOD1M: *Sep 20 15:42:00: RADIUS: Received from id 1645/40 X.X.X.26:1812, Access-Accept, len 57 . . *Sep 20 15:42:00: RADIUS: ssg-account-info [250] 8 "ABOD1M"

Настраиваю ISG на ASR1002. Так, чтобы она брала сервисы локально. aaa authentication login default local-case aaa authentication ppp PPPOE group RAD_PPPOE aaa authorization exec default local aaa authorization network PPPOE group RAD_PPPOE aaa authorization subscriber-service default local aaa accounting delay-start aaa accounting update periodic 1 aaa accounting network PPPOE start-stop group RAD_PPPOE class-map type traffic match-any BOD1M_TC match access-group input name BOD1M_IN_ACL_IN match access-group output name BOD1M_ACL_OUT policy-map type service BOD1M 10 class type traffic BOD1M_TC police input 512000 256000 5000 police output 1024000 512000 5000 ! class type traffic default in-out drop ! ! ip access-list extended BOD1M_IN_ACL_IN permit ip any 172.18.32.0 0.0.15.255 deny ip any any ip access-list extended BOD1M_ACL_OUT permit ip 172.18.32.0 0.0.15.255 any deny ip any any В логах: *Sep 20 15:41:59: RADIUS: Framed-Protocol [7] 6 PPP [1] *Sep 20 15:41:59: RADIUS: User-Name [1] 10 "testuser" *Sep 20 15:41:59: RADIUS: CHAP-Password [3] 19 * *Sep 20 15:41:59: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Sep 20 15:41:59: RADIUS: NAS-Port [5] 6 0 *Sep 20 15:41:59: RADIUS: NAS-Port-Id [87] 11 "0/0/0/101" *Sep 20 15:41:59: RADIUS: Vendor, Cisco [26] 41 *Sep 20 15:41:59: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001b.789a.d2d0" *Sep 20 15:41:59: RADIUS: Service-Type [6] 6 Framed [2] *Sep 20 15:41:59: RADIUS: NAS-IP-Address [4] 6 X.X.X.9 *Sep 20 15:41:59: RADIUS(00000035): Sending a IPv4 Radius Packet *Sep 20 15:41:59: RADIUS(00000035): Started 5 sec timeout *Sep 20 15:42:00: RADIUS: Received from id 1645/40 X.X.X.26:1812, Access-Accept, len 57 *Sep 20 15:42:00: RADIUS: authenticator 77 9F DE 9A ED F0 F0 02 - 2C 0E 36 A7 66 8A 52 87 *Sep 20 15:42:00: RADIUS: Acct-Interim-Interva[85] 6 600 *Sep 20 15:42:00: RADIUS: Framed-IP-Address [8] 6 172.18.63.172 *Sep 20 15:42:00: RADIUS: Vendor, Unknown [26] 11 *Sep 20 15:42:00: RADIUS: Ascend-Private-Route[104] 5 *Sep 20 15:42:00: RADIUS: 50 50 50 [ PPP] *Sep 20 15:42:00: RADIUS: Vendor, Cisco [26] 14 *Sep 20 15:42:00: RADIUS: ssg-account-info [250] 8 "ABOD1M" Ниже: *Sep 20 15:42:00: SSS PM [422577A0]: Updated key list: *Sep 20 15:42:00: SSS PM [422577A0]: Logon-Service = "BOD1M" *Sep 20 15:42:00: SSS PM [422577A0]: Nasport = PPPoEoVLAN: slot 0 adapter 0 port 0 sub-interface 101 IP 0.0.0.0 VPI 0 VCI 0 VLAN 101 *Sep 20 15:42:00: SSS PM [422577A0]: Access-Type = 11 (Web-service-logon) *Sep 20 15:42:00: SSS PM [422577A0]: Authen-Status = 1 (Unauthenticated) *Sep 20 15:42:00: SSS PM [422577A0]: Session-Handle = 754974798 (2D00004E) Еще ниже: *Sep 20 15:42:00: RADIUS: User-Password [2] 18 * *Sep 20 15:42:00: RADIUS: User-Name [1] 7 "BOD1M" *Sep 20 15:42:00: RADIUS: Service-Type [6] 6 Outbound [5] *Sep 20 15:42:00: RADIUS: NAS-IP-Address [4] 6 X.X.X.9 Еще ниже: *Sep 20 15:47:15: RADIUS(00000000): Send Access-Request to X.X.X.26:1812 id 1645/43, len 57 *Sep 20 15:47:15: RADIUS: authenticator C7 E6 70 30 3F B4 D1 ED - E8 42 61 73 9A 61 C8 C1 *Sep 20 15:47:15: RADIUS: User-Password [2] 18 * *Sep 20 15:47:15: RADIUS: User-Name [1] 7 "BOD1M" *Sep 20 15:47:15: RADIUS: Service-Type [6] 6 Outbound [5] *Sep 20 15:47:15: RADIUS: NAS-IP-Address [4] 6 X.X.X.9 *Sep 20 15:47:15: RADIUS(00000000): Sending a IPv4 Radius Packet *Sep 20 15:47:15: RADIUS(00000000): Started 5 sec timeout *Sep 20 15:47:15: RADIUS: Received from id 1645/43 X.X.X.26:1812, Access-Reject, len 23 *Sep 20 15:47:15: RADIUS: authenticator 90 DD BE 99 26 13 8E BB - 74 B6 2A 90 D2 45 6E 8A *Sep 20 15:47:15: RADIUS: Reply-Message [18] 3 *Sep 20 15:47:15: RADIUS: 31 [ 1] Т.е. авторизация ISG уходит на Radius-сервер. Но в настройках Cisco есть строчка: aaa authorization subscriber-service default local Которая по идее должна авторизовать сервис локально на ISG. Почему авторизация уходит на радиус?

Если было бы так просто. В том комплексе, куда нужно подать, есть только гигабитные порты. Ну и никаких Po, он вообще как бы не под нашим управлением.

И куда его делать? Там же трафика гораздо больше 1G.

Как вяснилось 6509 не может делать SPAN трафика на интерфейсах-членах группы port-channel. Это как-то можно обойти? cisco-6509(config)#monitor session 1 source interface gigabitEthernet 1/1 % Etherchannel member(s) Gi1/1 cannot be monitor source cisco-6509(config)# Та же 3750 это делает без проблем.

Ага, спасибо.

Тем кто давно использует 6500 серию коммутаторов - какой софт посоветуете для надежной беспробелмной работы. Тербования на данный момент не очень большие - VLAN, BGP.

Хостер unihost продает очень дешевые сертификаты ssl http://unihost.com/ssl/ по 300 руб от Positive SSL. Причем сам Positive SSL минимум за 49$ продает. Кто-нибудь покупал у них?

Откуда забираете, если не секрет?

А причем здесь пиратсво? Речь идет об официальных договорах с операторскими картами.

На сегодняшний день проблем с Irdeto 8 pro по декодированию 8 каналов на Радуге нет? Все работает? Есть смысл брать PBI с этими 8-ми канальными картами или есть риск, что в один момент это возможно перестанет работать?

Perviy kanal USA - что означает USA?

И других вариантов нет?

Поподробней можно?

Читал и сам вопросы там на форуме задавал :) Надеялся, что здесь кто-нибудь использует ту же схему и поделится опытом.

Настроили астру. Забирает поток по http и отдает по http. в качесте input два оператора + заглушка в виде файла ts. Все работает, но периодически наблюдаются глюки. Глюки разные: 1. Падает, тут же поднимается скриптом, работает 1-2 минуты и снова падает. Вроде помогло переключение input только на одного оператора. Дальше понаюлюдаем. Но в таком виде пропадает один из плюсов астра - авторезервирование каналов. 2. Просто падает, поднимается и работает. Ну это самое безобидное, поскольку поднимается тут же скриптом. 3. Зависает. Процесс при этом не падает. Но падает трафик. Помогает перезапуск. Пробовали разные версии астры. 4.308, 4.309, 4.330. Без разницы. Кто как лечит эти глюки или как-то с ними живет?

Вот: Проблема не в сложностях как таковых. А в трудозатратах на обслуживание. Ну например тот же PVLAN, switchport protected - это запрет на L2, при этом L3 остается как есть. Но данные способы, как описано выше, к сожалению нам не подходят.

Так я там пишу про этот способ. Но для этого требуется индивидуальные настройки каждого коммутатора в сети, что резко усложняет ее обслуживание. в Dlink это называется traffic segmentation Да, на нижнем уровне он и работает. Хотя тоже по нему ворпосы есть - если требуется в одном ВЛАНе пропустить, а в другом разрешить обмен, то этот способ не подходит. Короче traffic_seg работает для портов, а не для VLAN. Но это ладно, речь не об нижнем уровне, а об уровне ядра. Traffic_segmentation там никак не получится использовать, смотрите схему. Да опять же, я писал об этом способе, что он не подходит.

День добрый! Хочется сделать изоляцию пользовательского трафика, идущего в одном ВЛАНе. Таким образом, чтобы обмен трафика между пользователями был запрещен, но разрешен обмен с роутером. Теоретически такое было бы сделать возможно с помощью PVLAN, но тут несколько моментов. Во-первых сеть разнородная. В ядре 6509, далее dlink 3120. На доступе 1210. Во-вторых порты идущие от коммутаторов предполагаются транковые и там кроме VLAN100 много других VLAN (на схеме как пример VLAN200). Как я понимаю 6509 не поддерживает функцию PVLAN внтури транкового интерфейса (в отличии от 4500). Еще есть вариант использовать switchport protected, но опять же он не подходит ввиду наличия других VLAN, прохождение которых должно быть разрешено. Трансляция VLAN тоже не подходит, ввиду того, что применяется на группу портов. Сейчас пока этот вопрос решается с помощью ACL на портах DGS3120. 3120, в отличии от 6509, может вешать acl на egress трафике. ACL только на ingress тут не обойдешься, потому что есть широковещательные запросы, и их надо пропускать в центр. Но хочется уйти от схемы с коммутаторами 3120 и ACL. Есть еще вариант вешать отдельные пользовательские ВЛАН на каждую группу коммутаторов, подключаемых к порту 6509, но в этом варианте мы усложняем обслужвиание сети. Сейчас, чтобы поставить/заменить коммутатор заливается типовой конфиг и ставится на место. Это может сделать даже техник. Какие варианты еще есть? Или может из вышеописанных можно что-то как-то использовать и я чего не доглядел?

Это проверим. Чем это лучше, чем гонять через tcp?

День добрый! Стоит вопрос выбора способа доставки IPTV каналов. Первоначально пакета бесплатных каналов. На данный момент в тестовом виде организован способ доставки через Интернет. Потоки запаковываются через getstreamer, дотавляются до сервера через паблик, далее распаковываются в мультикаст, а далее астрой раздаются по http. Схема работает. Но не устраивакт качество. Периодически, особенно в ЧНН начинают появляться артефакты, залипы, потери участков видеоряда вплоть до полной остановки трансляции на несколько секунд. Магистральный канал при этом свободен. Вопрос. У кого-нибудь через паблик идет забор каналов или все используют спутники или какие-то другие способы? Если идет, то как с качеством дела? Каким образом организована схема?

Попробуйте перегрузить циску после того как доабвили команды в конфиг (предварительно сохранившись, разумеется).

Если в городе только один магистрал, да еще который нифига не идет на уступки, сам продает физикам за копейки и видит в тебе прямого конкурента, то вариант с туннелями на абонентских линках, хоть и весьма геморный, но вполне рабочий :) По крайней мере позволит протянут ьвремя на переговоры. Ну и SCE, конечно, хороший вариант, правда качальшики ныть будут.