Konstantin Klimchev

Для IPoE меняет. В вот для PPPoE меняет в сервисах. Вот что прилетает от радиуса (эксперементирую, добавил несколько полей в ответ) Aug 4 16:37:02: RADIUS: Received from id 1645/32 192.168.251.215:1812, Access-Accept, len 76 Aug 4 16:37:02: RADIUS: authenticator 7F 59 2C 88 52 E7 B7 EE - F2 63 9E D4 4A F1 35 44 Aug 4 16:37:02: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 16:37:02: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 16:37:02: RADIUS: Vendor, Cisco [26] 18 Aug 4 16:37:02: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 16:37:02: RADIUS: User-Name [1] 20 "User-10.1.10.102-6" Aug 4 16:37:02: RADIUS: Service-Type [6] 6 Framed [2] вот что на брасе #sss Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Up-time TC Ct. Identifier 16 Vi2.1 authen Lterm 00:01:48 1 user #show subscriber session uid 16 detailed Type: PPPoE, UID: 16, State: authen, Identity: user IPv4 Address: 100.121.0.0 Session Up-time: 00:02:15, Last Changed: 00:02:15 Interface: Virtual-Access2.1 Switch-ID: 4181 Policy information: Context 4433111C: Handle 4900002E AAA_id 0000001C: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Downloaded User profile, including services: traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Config history for session (recent to oldest): Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: apply-config-only, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Access-type: Web-service-logon Client: SM Policy event: Service Selection Request (Service) Profile name: INET30000, 3 references password 0 <hidden> username 0 "INET30000" traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Access-type: PPPoE Client: SM Policy event: Service Selection Request Profile name: nas-port:00:1D:09:AB:F6:04::10.1.10.102::6, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] ...... т.е. в сервисах user-name меняет, а вот в Identity, Peer-Name, в аккаунтинге - нет (остается, что введено у абонента). про прошивку: пробовал и на asr1000rp1-advipservicesk9.03.04.04.S.151-3.S4.bin и на asr1000rp1-adventerprise.03.13.10.S.154-3.S10-ext.bin И еще на что обратил внимание первый запроc авторизации с нужным мне user-name (на основе nas-id) идет с Service-Type Outbound а вот второй, с user-name введенного у абонента с Service-Type Framed и после второго - уже прилетаю и сервисы и в аккаунтинг, но с user-name что введено у абонента..... UPDATE посмотрел различия для PPPoE и IPoE PPPoE сначала отправляет Access-Request с User-Name прописанным в настройках Браса (у меня nas-port:....) затем отправляет еще один Access-Request с User-Name прописанным у абонента а только затем Accounting-Request IPoE сначала отправляет Access-Request c User-Name прописанным в настройках Браса (у меня source ip) затем сразу же Accounting-Request

увы, нет... :-( условие - PPPoE с авторизацией по порту....

В продолжение изменил policy-map type control PPPoE class type control always event session-start 1 authorize identifier nas-port 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! ! сейчас новое всплыло. Сначала BRAS отправляет запрос с User-Name [1] 44 "nas-port..... он проходит, получает Access-Accept и назначенные сарвисы а затем отправляет еще один запрос на радиус уже с User-Name [1] 6 "user" - т.е. с тем, что введено у пользователя и получает от radius'а Access-Reject и закрывает соединение. Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/39, len 327 Aug 4 10:29:24: RADIUS: authenticator F2 FA FC EF 62 55 38 A9 - 39 2A 1B 85 A6 C1 44 0F Aug 4 10:29:24: RADIUS: User-Name [1] 44 "nas-port:00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: User-Password [2] 18 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 16 "001d.09ab.f604" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Outbound [5] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:24: RADIUS: Received from id 1645/39 192.168.251.215:1812, Access-Accept, len 64 Aug 4 10:29:24: RADIUS: authenticator CF A1 8D 9C A9 24 96 08 - 58 D1 78 55 9C E3 80 E9 Aug 4 10:29:24: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 18 Aug 4 10:29:24: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 10:29:24: RADIUS: User-Name [1] 20 "User-10.1.10.101-1" Aug 4 10:29:24: RADIUS(0000002D): Received from id 1645/39 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/40, len 299 Aug 4 10:29:24: RADIUS: authenticator 88 0C E8 33 30 40 C3 96 - 5E 90 3C 21 84 99 54 D2 Aug 4 10:29:24: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 10:29:24: RADIUS: User-Name [1] 6 "user" Aug 4 10:29:24: RADIUS: CHAP-Password [3] 19 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 19 "00:1d:09:ab:f6:04" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Framed [2] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:25: RADIUS: Received from id 1645/40 192.168.251.215:1812, Access-Reject, len 20 Aug 4 10:29:25 RADIUS: authenticator 12 91 A8 6C C0 6D A7 1F - 23 C4 AC F3 53 8A 10 DA Aug 4 10:29:25: RADIUS(0000002D): Received from id 1645/40 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Добрый день! Озадачился применением PPPoE circuit-id на cisco asr1002 Уже много лет успешно работает авторизация по логин:пароль. По порту тоже авториазция получилась, но... Так как авторизация происходит по порту и я хочу уйти от уникальности логина возникает проблема. Если несколько абонентов с одним и тем же логином заавторизируются, то как из идентифицировать на bras'е? попытка отправить через радиус "User-Name", например, номер договора у меня то-то не проходит.... bras видет в полученном пакете этот параметр, но не навешивает на абонента.... в выводе "show subscriber session" в поле "Identifier" значится то, что ввел абонент, а не то, что я прошу. Aug 3 15:43:32: RADIUS(0000000D): Sending a IPv4 Radius Packet Aug 3 15:43:32: RADIUS(0000000D): Started 10 sec timeout Aug 3 15:43:32: RADIUS: Received from id 1645/2 192.168.251.215:1812, Access-Accept, len 57 Aug 3 15:43:32: RADIUS: authenticator 1C DA 8E C3 D2 45 38 5F - 8B 77 9A 13 55 0A 13 00 Aug 3 15:43:32: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 3 15:43:32: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 3 15:43:32: RADIUS: Vendor, Cisco [26] 18 Aug 3 15:43:32: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 3 15:43:32: RADIUS: User-Name [1] 7 "user1" Aug 3 15:43:32: RADIUS(0000000D): Received from id 1645/2 Фрагмент конфига.... aaa group server radius CAR server name freeradius1 ip radius source-interface Loopback0 load-balance method least-outstanding ignore-preferred-server aaa authentication login default local group CAR aaa authentication ppp default group CAR aaa authorization network default group CAR aaa authorization subscriber-service default local group CAR aaa accounting delay-start all aaa accounting update periodic 30 aaa accounting network default start-stop group CAR aaa accounting network ACCNT_LIST1 start-stop group CAR policy-map type control PPPoE class type control always event session-start 2 authenticate aaa list default 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! Что-то я не так описал?

Спасибо.

Добрый день! В эксплуатации имеем openCallAgent (OpenCA). Вопросов к работе не возникает уже много лет. НО... возникла потребность расширить количество линий. Т.е. необходим прикупить еще лицензий. Подскажите контакты, у кем можно связаться, чтобы прикупить дополнительный пакет. Старые контакты уже не существуют :-( Заранее спасибо.

А ведь кто-то конкретно стал хулиганить.... еще один за сегодня bongplanet.space

Эх... опять кто-то брошенный домен с типом блокировки "домен" подхватил... веселухи от dymoff.space много будет...

А чего доказывать? В протоколе один url (вернее 4-е, но на один ресурс. в базе на этот ресурс - больше 10 url'ов). В скриншотах (в последнее время на скриншотах, как я понял, url рисуется) - другой (и протокол и домен не 3-го, а 2-го уровня). Т.е. скриншот (в даном конкретно случае) не является доказательством о неблокировании ресурсов. "Другой" url в базе отсутствует. Раньше, когда было чуть-чуть - звонили и говорили "ай-яй-яй". Мы разбирались, и устраняли (где-то кириллица некорректно или еще чего) или говорили - а у нас блокирует (типа как в этот раз)... Щас, наверое, поступила указивка - сразу административку оформлять... Глючит походу Ревизор с последними изменениями. Связьнадзор - ему пришло указание - он его выполнил...

Strict-Transport-Security и HSTS срабатывают? Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? А логи о блокировании http имелись и по времени совпадали. А когда приводят скриншоты экрана с другим протоколом, да еще и вместо домена 3-го уровня - с доменом 2-го....

Пришли сегодня на выписывание административки. с собой имели логи работы нашей системы блокировки - сайты знали какие, но скриншотов не было. Когда увидели скриншоты - все стало понятно. в базе реестра, и материалах - http, а в скриншотах https в базе реестра записаей по протоколу https для "проблемных" ресурсов нет. будьте внимательны.

ASA5585-SSP-10 тянет гарантированно 1,8 Гигов входящего. Стоимость менее 20k$. pptp и еже с ними - инспектит корректно.

Только мне кажется что количество соединений многовато для такого? Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется.

Мне не нужна web-морда. Мне нужно свои сенсоры подсунуть.

Добрый день! Близится момент когда будем переходить на netflow v9 Выбор пал на nfdump Вопрос: не получается использовать опцию -x в nfcapd Если, как в man'овском примере отбиваешь имя вызываемого скрипта с аргументами кавычками - первую кавычку вопринимает как частью имени скрипта и, соответственно, ругается, что такого скрипта нет. Если без кавычек - "теряем" аргументы. Пробовал все на debian squeeze и на дистрибутивной версии и на последней 1.6.8p1 Никто не сталкивался?

какая версия ios'а у Вас?

Cisco ME 3400G-12CS

Разговор был про 5585. точно проверено, что 5585-10 тянет больше 1,5 Гбит/с и стоит новая в районе 16К$. Нет проблем с инспектами всяких sip'ов, pptp и т.п.

General Electric

если без FV или с сильно порезанным - cisco 4900M + WS-X4908-10GE (8-port (2:1) 10GbE (X2) half card)

Если мне память не изменяет, то second-dot1q range работает только для PPPoE. Для IPoE - придется создавать "большое количество подинтерфейсов"

на форуме длинка что говорят?

Для 4-х автономок на cisco будет выглядеть как-то так: ^[1-9][0-9]*(_[1-9][0-9]*)?(_[1-9][0-9]*)?(_[1-9][0-9]*)?$ Для 3-х - так: ^[1-9][0-9]*(_[1-9][0-9]*)?(_[1-9][0-9]*)?$ дальше, по аналогии, сделаете то условие, которое вам подойдет.

А вот если так: для "длинных" маршрутов (например, больше 4 автономок) занизить вес на том провайдере, где перегруз по исходящему.

интересно, ASA5585-SSP10 и -SSP20 сколько прожуют.... ASA5585-SSP10 - в районе 20k$ получается, даже чуть меньше. 1,5 Гига в одну сторону смогет? ASA5550 - In+0ut в районе 750-800 Мбит/с. Дальше дропы начинаются на интерфесах. UP. пару дней назад проанонсили новые линейки ASA5500 5555-x выглядит интересно, и ценник походу будет чуть дороже чем у 5550