V1talya
Активный участник-
Публикации
174 -
Зарегистрирован
-
Посещение
Все публикации пользователя V1talya
-
Cisco - protocol pptp
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Все заработало... только как мне указать имя службы ? (ac name XXX - оно ? ) ( как бороться с другими серверами pppoe в сети ? имя службы спасет на время, но потом думаю и его будут у себя ставить... на домах L2 свитчи стоят... ) -
Cisco - protocol pptp
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
vpdn-group 2 делал, там тоже нету protocol pppoe... на счет "bba-group" попробую, Спасибо -
Current configuration : 4291 bytes ! ! Last configuration change at 15:04:49 Yakutsk Mon Apr 28 2008 by vitalya ! NVRAM config last updated at 14:35:23 Yakutsk Mon Apr 28 2008 by vitalya ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption no service dhcp ! hostname router ! boot-start-marker boot-end-marker ! logging buffered 51200 debugging logging console critical enable secret 5 00000 ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius ! aaa session-id common clock timezone Yakutsk 9 clock summer-time Yakutsk recurring last Sun Mar 2:00 last Sun Oct 3:00 no ip source-route no ip gratuitous-arps ! ! ip cef ! ! no ip bootp server ip domain name xx.ru ip name-server 195.xx.xx.xx ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface GigabitEthernet0/1 ip ssh version 2 no ip rcmd domain-lookup vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! voice-card 0 no dspfarm ! username vitalya password 7 000000 ! interface Loopback1 no ip address ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description Connect to ISP ip address 87.226.215.xx 255.255.255.xx ip access-group in_Gi0/0 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 description Connect to Servers ip address 195.xx.xx.xx 255.255.255.192 ip access-group in_Gi0/1 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1.2 description PPPoE & PPTP clients encapsulation dot1Q 2 ip address 192.168.0.2 255.255.224.0 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp shutdown no cdp enable ! interface Virtual-Template1 ip unnumbered Loopback1 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ppp authentication chap ms-chap ms-chap-v2 ! router bgp 000000 no synchronization bgp log-neighbor-changes network 195.xx.xx.xx mask 255.255.xx.xx neighbor 87.226.xx.xx remote-as 00000 neighbor 87.226.xx.xx ebgp-multihop 10 neighbor 87.226.xx.xx remote-as 00000 no auto-summary ! ip route 0.0.0.0 0.0.0.0 87.226.215.xx ip route 87.226.129.xx 255.255.255.255 87.226.215.xx ip route 195.xx.xx.xx 255.255.xx.xx Null0 ! ! no ip http server no ip http secure-server ! ip access-list extended in_Gi0/0 deny tcp any host 87.226.215.xx eq 1723 deny tcp any host 195.xx.xx.xx eq 1723 permit tcp host 87.226.215.xx host 87.226.215.xx eq bgp permit tcp host 87.226.129.xx host 87.226.215.xx eq bgp deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.215.xx eq bgp log permit ip any any ip access-list extended in_Gi0/1 deny tcp any host 195.xx.xx.xx eq 1723 deny tcp any host 87.xx.xx.xx eq 1723 deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.xx.xx eq bgp deny icmp any any fragments permit ip any any ! ip radius source-interface GigabitEthernet0/1 access-list 8 permit 195.xx.xx.xx access-list 10 permit 195.xx.xx.xx snmp-server community 0000 RW 8 no cdp run ! radius-server attribute 31 mac format ietf radius-server configure-nas radius-server host 195.xx..xx.xx auth-port 1812 acct-port 1813 radius-server timeout 30 radius-server key 7 0000 radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! line con 0 line aux 0 line vty 0 4 access-class 10 in transport input ssh ! scheduler allocate 20000 1000 ntp clock-period 17180047 ntp peer 83.222.4.154 ! end делаю vpdn-group -> accept-dialin хочу сделать protocol pppoe а он мне "% Invalid input detected at '^' marker." Как теперь мне заставить работать PPPOE ? ( до protocol pptp - protocol pppoe был ) interface GigabitEthernet0/1.2 - pppoe enable нечего не дает... ( команда применяться но подключиться не могу... ) Может чего не так делаю ?
-
Cisco - rate-limit & traffic-shape
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
И появился список прошивок... значит есть у меня эта функции, правильно же ? 1. Как правильно применить traffic-shape ? так: 64k cisco-avpair+="lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=traffic-shape rate 64000" ? и стоит ли указывать [burst-size [excess-burst-size]] [buffer-limit] ? 2. traffic-shape больше ресурсов ест чем rate-limit ? ( и на много ли ? ) ---- спустя час: попробовал работает... по sh traffic-shape показывает: Interface Vi4 Access Target Byte Sustain Excess Interval Increment Adapt VC List Rate Limit bits/int bits/int (ms) (bytes) Active - 64000 2000 8000 8000 125 1000 - ---- спустя день: протестировал rate-limit и traffic-shape в такой конфигурации: 64k - traffic-shape cisco-avpair+="lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=traffic-shape rate 64000" 64k - rate-limit cisco-avpair+="lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop"" с traffic-shape скорость была 3-5кбайт, с rate-limit 7,5-8кбайт. Почему так плохо работает traffic-shape ? -
Cisco - rate-limit & traffic-shape
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Поищу... Спасибо -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
1. Интересно... почитаю на эту тему... Спасибо -
Cisco - rate-limit & traffic-shape
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
1. Ясно2. Cisco 2821 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(12) должна же уметь ? -
Сейчас режу скорость вот так: ( для vpn клиентов ) 64k cisco-avpair+="lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop" 96k cisco-avpair+="lcp:interface-config#1=rate-limit input 96000 12000 12000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 96000 12000 12000 conform-action transmit exceed-action drop" 128k cisco-avpair+="lcp:interface-config#1=rate-limit input 128000 16000 16000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop" 192k cisco-avpair+="lcp:interface-config#1=rate-limit input 192000 20000 20000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 192000 20000 20000 conform-action transmit exceed-action drop" 256k cisco-avpair+="lcp:interface-config#1=rate-limit input 256000 32000 32000 conform-action transmit exceed-action drop", cisco-avpair+="lcp:interface-config#2=rate-limit output 256000 32000 32000 conform-action transmit exceed-action drop" 1. На форуме многие пишут, что для маленьких скоростей 64-96-128 лучше использовать traffic-shape, так ли это ? 2. traffic-shape режит только input ? 3. как правильно высчитывать значение 256000 32000 32000 ? ( нашел вот такую формулы x/8*1.5 так ли правильно высчитывать ? )
-
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
2. Спасибо, почитаю... проще не значит лучше :)), да и устраивает пока меня моя схема... -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
1. пока нельзя обойтись без него... 2. "Общайтесь с пиром через лупбэк." - а можно с этого места по подробней ? -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
1. что б защититься :), и что б небыло гемора с написанием acl`ов. я и так acl`ями сейчас запрещаю 1723 порт... ( ну вот зачем мне pptp на всех адресах :) ) 2. Ну что б BGP слушал только на int Gi0/0 а на остальных свой tcp 179 порт не открывал, что б удобней acl писать было... -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Current configuration : 4291 bytes ! ! Last configuration change at 15:04:49 Yakutsk Mon Apr 28 2008 by vitalya ! NVRAM config last updated at 14:35:23 Yakutsk Mon Apr 28 2008 by vitalya ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption no service dhcp ! hostname router ! boot-start-marker boot-end-marker ! logging buffered 51200 debugging logging console critical enable secret 5 00000 ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius ! aaa session-id common clock timezone Yakutsk 9 clock summer-time Yakutsk recurring last Sun Mar 2:00 last Sun Oct 3:00 no ip source-route no ip gratuitous-arps ! ! ip cef ! ! no ip bootp server ip domain name xx.ru ip name-server 195.xx.xx.xx ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface GigabitEthernet0/1 ip ssh version 2 no ip rcmd domain-lookup vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! voice-card 0 no dspfarm ! username vitalya password 7 000000 ! interface Loopback1 no ip address ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description Connect to ISP ip address 87.226.215.xx 255.255.255.xx ip access-group in_Gi0/0 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 description Connect to Servers ip address 195.xx.xx.xx 255.255.255.192 ip access-group in_Gi0/1 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1.2 description PPPoE & PPTP clients encapsulation dot1Q 2 ip address 192.168.0.2 255.255.224.0 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp shutdown no cdp enable ! interface Virtual-Template1 ip unnumbered Loopback1 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ppp authentication chap ms-chap ms-chap-v2 ! router bgp 000000 no synchronization bgp log-neighbor-changes network 195.xx.xx.xx mask 255.255.xx.xx neighbor 87.226.xx.xx remote-as 00000 neighbor 87.226.xx.xx ebgp-multihop 10 neighbor 87.226.xx.xx remote-as 00000 no auto-summary ! ip route 0.0.0.0 0.0.0.0 87.226.215.xx ip route 87.226.129.xx 255.255.255.255 87.226.215.xx ip route 195.xx.xx.xx 255.255.xx.xx Null0 ! ! no ip http server no ip http secure-server ! ip access-list extended in_Gi0/0 deny tcp any host 87.226.215.xx eq 1723 deny tcp any host 195.xx.xx.xx eq 1723 permit tcp host 87.226.215.xx host 87.226.215.xx eq bgp permit tcp host 87.226.129.xx host 87.226.215.xx eq bgp deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.215.xx eq bgp log permit ip any any ip access-list extended in_Gi0/1 deny tcp any host 195.xx.xx.xx eq 1723 deny tcp any host 87.xx.xx.xx eq 1723 deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.xx.xx eq bgp deny icmp any any fragments permit ip any any ! ip radius source-interface GigabitEthernet0/1 access-list 8 permit 195.xx.xx.xx access-list 10 permit 195.xx.xx.xx snmp-server community 0000 RW 8 no cdp run ! radius-server attribute 31 mac format ietf radius-server configure-nas radius-server host 195.xx..xx.xx auth-port 1812 acct-port 1813 radius-server timeout 30 radius-server key 7 0000 radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! line con 0 line aux 0 line vty 0 4 access-class 10 in transport input ssh ! scheduler allocate 20000 1000 ntp clock-period 17180047 ntp peer 83.222.4.154 ! end Вообще надо будет что б pptp слушал только на Gi0/1.2 ? и как бы такое же провернуть только с BGP что б он только слушал на Gi0/0 ? -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Можно ли для PPTP указать на каком интерфейсе слушать ? а то он зараза на всех интерфейсах слушает что не есть гуд... -
Выбор недорогого коммутатора 8-16 портов под LAN и VoiP с QoS
тему ответил в dss пользователя V1talya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ZyXELCommunications ES-2108-G ( 8 портов 100, 1 порт 1000 ) ~ 4500-5000 Тут еще посмотрите: http://www.4isp.ru/core.asp?main=catalog&cat=1 -
Cisco - access-list
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Если ли в Cisco в access-list`ах параметр как во ipfw me ? а то блин ип изменится на интерфейсе и придется половину правил перебирать... -
C цисками только начал работать... Как лучше и правильней реализовывать access-list`ы ? Пока сделал вот так: ( нужно было со стороны ISP закрыть доступ к PPTP SSH и разрешить только некоторым хостам соединятся с BGP ) interface GigabitEthernet0/0 description Connect to ISP ip address 87.226.XX.YY 255.255.255.252 ip access-group in_Gi0/0 in ip access-list extended in_Gi0/0 remark "Deny connect to SSH & PPTP" deny tcp any host 87.226.XX.YY eq 22 deny tcp any host 87.226.XX.YY eq 1723 remark "Deny&Permit connect to BGP" permit tcp host 87.226.XX.XX host 87.226.XX.YY eq bgp permit tcp host 87.226.XX.XX host 87.226.XX.YY eq bgp deny tcp any host 87.226.XX.YY eq bgp log permit ip any any Может можно как-то удобней и лучше это делать ? И если таким способом пользоваться то как например потом добавить между remark "Deny connect to SSH & PPTP" и remark "Deny&Permit connect to BGP" еще одно правило ? Вот сейчас стал делать access-list на другой интерфейс и забыл в начале поставить remark, можно ли не переделывая весь access-list поставить remark ip access-list extended in_Gi0/1 ВОТ СЮДА deny tcp any host 195.28.XX eq 1723 deny tcp any host 195.28.XX.XX eq bgp permit tcp host 195.28.XX.XX host 195.28.XX.XX eq 22 deny tcp any host 195.28.XX.XX eq 22 deny icmp any any fragments permit ip any any Блин как удобно в iptables работать :)))
-
Cisco - ip rcmd rsh-enable
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
и такое стоит :)) Не то слово странно... в инете почитал, не только у меня такое... -
Cisco - ip rcmd rsh-enable
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
ai:~# rsh 192.168.0.88 sh users root@192.168.0.88's password: Permission denied, please try again. root@192.168.0.88's password: Line User Host(s) Idle Location *322 vty 0 root idle 00:00:07 192.168.0.11 Interface User Mode Idle Peer Address channel_by_id: 0: bad id: channel free client_input_channel_req: channel 0: unknown channel только после ввода пароля пускает :)... --- Local user Host/Access list Remote user root 192.168.0.11 root -
Cisco - ip rcmd rsh-enable
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
router(config)#username root privilege 15 password rootroot router(config)#ip rcmd rsh-enable router(config)#ip rcmd remote-host root 192.168.0.11 root enable 192.168.0.11 login as: root root@192.168.0.11's password: ai:~# rsh -l root 192.168.0.88 sh users root@192.168.0.88's password: не хотит... -
Cisco - ip rcmd rsh-enable
тему ответил в V1talya пользователя V1talya в Программное обеспечение, биллинг и *unix системы
Помогите... -
Cisco 2821 System image file is "flash:c2800nm-adventerprisek9-mz.124-12.bin" Не могу заставить циску не спрашивать пароль для RSH... 1. username admin privilege 15 password admin 2. ip rcmd rsh-enable 3. no ip rcmd domain-lookup 3. ip rcmd remote-host admin 192.168.0.11 root enable Захожу на машину 192.168.0.11 под root`ом rsh -l admin 192.168.0.88 sh user А он у меня гад пароль спрашивает... Как уже не крутил, не получается отучить его спрашивать пароль... Что делать ?
-
Cisco 2821 - Calling Station ID
тему ответил в V1talya пользователя V1talya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Не помогло... А можно с этого места по подробней... ? Вот тут у человека http://forum.nag.ru/forum/index.php?showto...st&p=223899 вроде бы как все передается... Может попробовать сменить прошивку ? -
[PPPoE] Не могу заставить передавать циску радиусы Calling Station ID Как ее заставить это делать ? System image file is "flash:c2800nm-adventerprisek9-mz.124-12.bin" Current configuration : 1453 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! enable secret 5 123456432 ! aaa new-model ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius ! aaa session-id common ! ip cef ! ip domain name neryungri.ru ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 vpdn enable ! voice-card 0 no dspfarm ! username vitalya password 7 12334532 ! bba-group pppoe global virtual-template 1 ! interface GigabitEthernet0/0 ip address 172.26.244.2 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.0.88 255.255.224.0 duplex auto speed auto pppoe enable group global ! interface Virtual-Template1 ip unnumbered GigabitEthernet0/1 ppp authentication chap ms-chap ms-chap-v2 ! no ip http server no ip http secure-server ! radius-server attribute 31 mac format ietf radius-server configure-nas radius-server host 172.26.244.1 auth-port 1812 acct-port 1813 radius-server retransmit 5 radius-server key 7 00101615105205015E731F radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! line con 0 line aux 0 line vty 0 4 transport input ssh ! scheduler allocate 20000 1000 ! end rad_recv: Accounting-Request packet from host 172.26.244.2:1646, id=1, length=165 Acct-Session-Id = "00000001" Cisco-AVPair = "client-mac-address=0013.e847.a20d" Framed-Protocol = PPP User-Name = "bob" Cisco-AVPair = "connect-progress=Call Up" Acct-Authentic = RADIUS Acct-Status-Type = Start NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/1/0" Service-Type = Framed-User NAS-IP-Address = 172.26.244.2 Acct-Delay-Time = 0 ( В гугле был... нечего что-то не нашел )
-
AS; 512-PI
тему ответил в V1talya пользователя V1talya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Конечно возможно, своя АС это заявление о себе наружу, а точ то вы принимаете вовнутрь - ваше дело. Если вам впихивают фулвью а мощность роутеров не позволяет - не отказывайтесь, просто фильтруйте по нужным критериям. Да вроде бы как не впихивают, сам когда-то просил... просто сейчас будем комп на циску менять... Просто смутило, что сказали "а как вы будете работать если у вас будет не фуллвью"... а фильтрация тоже же будет давать нагрузку на CPU ? -
поругайте схему :)
тему ответил в V1talya пользователя V1talya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
А fullview дает большую нагрузку на CPU ? rate-limit будет у 50-60 клиентов , ната не будет все получают прямые адреса...