Jump to content
Калькуляторы

Macro

Активный участник
  • Content Count

    149
  • Joined

  • Last visited

Everything posted by Macro


  1. 3.1.2S2 самый нормальный. есть уже 3.1.3 не пробовали. в июне будет еще один релиз, с поправленными багами в районе NAT. Поделитесь 3.1.2S2? А то в наличии 3.1.0S - баг с рррое в конфиге на основном интерфейсе с vlan-id и vlan-range.
  2. Cisco 7206 Настраиваю доступ в Интернет по ИП, клиент подключается к сети, получает ИП адрес по DHCP, редиректится на страницу авторизации, вводит логин и пароль. Портал отправляет СоА пакет Account-Logon: User-Name = "vasya" Cisco-AVPair = "subscriber:password=vasyapass" Cisco-AVPair = "subscriber:command=account-logon" Cisco-Account-Info = "S192.168.0.130" Клиенты подключены через VRF: interface Loopback1 ip vrf forwarding WIFI ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip vrf forwarding WIFI ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip helper-address 192.168.1.2 no ip proxy-arp ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber routed initiator dhcp ip vrf WIFI Клиент на циске есть в unauth: Router_PPPoE#sh subsc sess | incl IP 1334 IP unauthen Local Term 0026.b611.7b84 00:00:31 Таблица маршрутизации для vrf WIFI: Router_PPPoE#sh ip route vrf WIFI Routing Table: WIFI Gateway of last resort is not set 192.168.0.0/24 is variably subnetted, 4 subnets, 2 masks C 192.168.0.0/24 is directly connected, Loopback1 L 192.168.0.1/32 is directly connected, Loopback1 S 192.168.0.130/32 is directly connected, GigabitEthernet0/2.25 S 192.168.0.137/32 is directly connected, GigabitEthernet0/2.25 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/2.26 L 192.168.1.1/32 is directly connected, GigabitEthernet0/2.26 Проблема: циска принимает Account-Logon пакет, но не отправляет Access-Request на указанный радиус сервер и возвращает CoA-NAK. Если уйти от VRF - то работает отлично.
  3. FreeBSD 8.1 Генерирует Netflow и отправляет на коллектор. Задача: Как указать резервный коллектор, чтобы нетфлоу отправлялось на 2 коллектора одновременно. /usr/sbin/ngctl -f- <<-SEQ mkpeer bge1: netflow lower iface0 name bge1:lower netflow connect bge1: netflow: upper out0 mkpeer netflow: ksocket export inet/dgram/udp msg netflow: settimeouts { inactive=60 active=5 } msg netflow:export connect inet/xx.xx.xx.148:9999 SEQ
  4. Cisco 7206. Серая подсетка (192.168.0.0/24) введена в отдельный VRF. НАТ для клиентов в этой подсети работает. Но обнаружилась проблема, у клиентов не проходит РРТР соединение на внешние сервера - 619 ошибка вылазиет. L2TP/IPSec соединения работают. Попробывал уйти от VRF'a, и РРТР заработало. Мой конфиг: interface Loopback1 ip vrf forwarding WIFI ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/1 ip address хх.хх.хх.94 255.255.255.252 ip nat outside ip portbundle outside ip ospf network point-to-point media-type rj45 speed 1000 duplex full no negotiation auto no cdp enable interface GigabitEthernet0/2.500 encapsulation dot1Q 500 ip vrf forwarding WIFI ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip helper-address 192.168.1.2 no ip proxy-arp ip nat inside no cdp enable ip nat inside source list For_WiFi interface GigabitEthernet0/1 vrf WIFI overload ip access-list standard For_WiFi permit 192.168.0.0 0.0.0.255 ip route vrf WIFI 0.0.0.0 0.0.0.0 GigabitEthernet0/1 хх.хх.хх.93 IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin
  5. Здравствуйте, коллеги. Пишу портал для авторизации клиентов Cisco ISG. На Cisco использую PBHK, для идентификации клиента. Клиент подключается к сети, получает по ДХСП ип адрес, НТТР(S) запросы его редиректятся на страницу авторизации. Там он вводит логин и пароль в форме, РНР (обработчик формы) формирует СоА запрос (Account-Logon) на циску. Осталось дело за определением PBHK клиента. Сорс порт клиента далеко не похож на PBHK (например: 4096 а на циске Bundle Number = 69) и каждый раз разный. Portbundle Length - 4 (default). Как научить PHP вычислять PBHK? У кого есть опыт, подскажите.
  6. Cisco 7206vxr. IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin настроил ip subscribers aware ethernet. Проблема в стоповом пакете радиус аккаунтинга. Из Acct-Session-Time не высчитывается Idle-Timeout. Т.о. получается неточность учета реального времени работы клиента. Можно конечно рихтовать скл код в конфига радиуса, но как то это неправильно. До этого использовал софт роутер ПК базед (m0n0wall), там сам роутер высчитывал реальное время путем вычета Idle-Timeout. Можно ли циску научить этому?
  7. PBHK - Port bundle Host key - проприетарная Цисковская технология. Возможно что здесь народ уже сталкивался с этим.
  8. И наверняка с: interface GigabitEthernet0/1 ip vrf forwarding LOCAL Чего не было в изначальных условиях? Нет.giga 0/1 неизменна: interface GigabitEthernet0/1 description 7600_Uplink ip address 92.хх.хх.хх 255.255.255.252 ip nat outside ip ospf network point-to-point media-type rj45 speed 1000 duplex full no negotiation auto no cdp enable end
  9. Cisco 7206vxr. В ходе работе столкнулся с проблемой, когда включаю внутреннюю подсеть в VRF то перестает работать НАТ для нее. Пример конфига упростил для исключения ошибок: giga 0/1 - внешняя сетевая giga 0/2.25 - внутренняя сетевая interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip vrf forwarding LOCAL ip address 192.168.2.1 255.255.255.0 ip nat inside no cdp enable interface GigabitEthernet0/1 ip address 92.xx.xx.xx 255.255.255.252 ip nat outside ip ospf network point-to-point media-type rj45 speed 1000 duplex full no negotiation auto no cdp enable ip nat inside source list For_LOCAL interface GigabitEthernet0/1 overload ip access-list standard For_LOCAL permit 192.168.0.0 0.0.255.255 ip vrf LOCAL rd 1984:1984 Внутренняя сетевая (giga 0/2.25) в VRF обязательна. Если исключить ip vrf forwarding LOCAL - то НАТ работает.
  10. Спасибо, заработало с: ip nat inside source list For_LOCAL interface GigabitEthernet0/1 vrf LOCAL overload ip route vrf LOCAL 0.0.0.0 0.0.0.0 GigabitEthernet0/1 92.xx.xx.xy
  11. Циска не отправляет request-access.Складывается ощущение что циске не хватает каких то параметров передаваемых в Account-Logon пакете для идентификации клиента. PBHK или что то в этом роде. Только вот что?
  12. Cisco 7206VXR. IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin Есть куча вланов приходящие на 72-ую. Надо: 1. Подключившемуся клиенту в любом из вланов выдать ИП адрес по DHCP из 192.168.0.0/24 2. Попробывать авторизовать его по МАС адресу. 3. В случае неудачи пункта 2, клиента редиректят на страницу авторизации (портал). Пример одного сабинтерфейса: interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip helper-address 192.168.1.2 ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber l2-connected initiator unclassified mac-address Loopback 1: interface Loopback1 ip address 192.168.0.1 255.255.255.0 Проблема: При таком конфиге, клиент подключается к сети, получает по DHCP адрес из 192.168.0.0/24, пытается выйти в Интернет - и получает болт. Пинг гейтвея (192.168.0.1) с клиента какой то эпизодический... то пингует, то не пингует. Пинг DHCP сервера (192.168.1.2) - также отсутствует. На циске отсутствует информация об клиенте: sh subsc sess | incl IP - ничего не показывает. Теперь приведем конфиг к такому виду: удаляем Лупбэк 1 избавимся от ip unnumbered и пропишем явно ип адрес на сабинтерфейсе. interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip address 192.168.0.1 255.255.255.0 ip helper-address 192.168.1.2 ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber l2-connected initiator unclassified mac-address В этом случае - все работает хорошо. Вначале клиент прозрачно пытается авторизоваться по МАСу. Потом его редиректят на страницу авторизации. на циске: Router_PPPoE#sh subsc sess | incl IP 1500 IP unauthen Local Term 192.168.0.100 00:00:00 - клиент пытается выйти в интернет. Теперь другой случай: Исключим DHCP. Оставим ip unnumbered и на клиенте пропишем ИП из 192.168.0.0/24 статически и на циске впишем роут до клиента. interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber l2-connected initiator unclassified mac-address ip route 192.168.0.13 255.255.255.255 GigabitEthernet0/2.25 В этом случае также все работает. Router_PPPoE#sh subsc sess | incl IP 624 IP unauthen Local Term 192.168.0.13 00:00:07 - клиент на циске в unauth. Его редиректят на страницу авторизации. Вот как теперь заставить работать два конфига воедине - как показано в самом начале. Как соединить ISG + ip unnumbered + ip subscriber l2-connected + DHCP relay вместе?
  13. БРАС ребутнул, после ребута шлюзы смогли поднять РРРоЕ соединение. Но это конечно не вариант, ребутить циску каждые 20 дней.
  14. Возникает проблема с коннектом РРРоЕ на голосовых шлюзах Micronet. PPPoE BRAS - Cisco 7206 vxr. Voip gateway - Micronet SP5002. Субьективно, проблема возникает примерно после 20 дней аптайма циски. Дамп wireshark: 38 70.452619 Micronet_04:70:7b Broadcast PPPoED Active Discovery Initiation (PADI) 39 70.471507 Cisco_64:06:1a Micronet_04:70:7b PPPoED Active Discovery Offer (PADO) AC-Name='Router_PPPoE' 40 70.472433 Micronet_04:70:7b Cisco_64:06:1a PPPoED Active Discovery Request (PADR) AC-Name='Router_PPPoE' 41 70.491187 Cisco_64:06:1a Micronet_04:70:7b PPPoED Active Discovery Session-confirmation (PADS) AC-Name='Router_PPPoE' 42 70.501079 Micronet_04:70:7b Cisco_64:06:1a PPP LCP Configuration Request Внутри последнего пакета: Payload Length: 6 [incorrect, should be 44] Expert Info (Warn/Malformed): Possible bad payload length 6 != 44 Message: Possible bad payload length 6 != 44 Далее происходит обмен PPP LCP Request/Reject между голосовым шлюзом и Cisco BRAS. И РРРоЕ соединение не устанавливается. В то же время, на Windows XP и на Dlink голосовых шлюзах РРРоЕ соединение поднимается без проблем. Как можно это исправить и в чем причины? Сегодня ночью буду ребутить БРАС, в прошлый раз это помогло.
  15. В публичной wifi сети появляется вредитель, прописывает на своей вайфай карте ИП адрес шлюза. Т.о. происходит ARP spoofing. Девайс: Linksys WRT54GL Возможно ли реализовать что то вроде internal station connection на нем, чтобы изолировать клиентов друг от друга. Рассматриваю даже вариант перепрошивки роутера на что то вроде openwrt и все что с ним связанно.
  16. Cisco AS 5400. IOS: 12.4-20.T3 При звонке на определенный номер включается приветствие и производится запись голоса абонента. По окончании записи, запись должна проиграться абоненту. Основные куски скрипта: proc act_Setup { } { puts "\n DEBUGGING: Start act_Setup" init_perCallVars set ani [infotag get leg_ani] set dnis [infotag get leg_dnis] if { $dnis == "0555005211" } { puts "\n DEBUGGING: Welcome Play" leg setupack leg_incoming leg proceeding leg_incoming leg connect leg_incoming media play leg_incoming flash:welcome.au fsm setstate RECORD } aaa authenticate $ani $dnis puts "\n DEBUGGING: Stop act_Setup" } ..... proc act_Record { } { global param global filename set filename [infotag get leg_guid] puts "\n DEBUGGING: Filename for record - $filename" media record leg_incoming -p codec=5 -p maxDuration=15000 -m %b flash:$filename fsm setstate RECORD_PLAY } proc act_RecordPlay {} { global param global filename puts "\n DEBUGGING: Play Record" puts "\n DEBUGGING: Filename for play - $filename" media play leg_incoming flash:$filename fsm setstate CALLACTIVE } .... set fsm(CALL_INIT,ev_setup_indication) "act_Setup AUTHENTICATE" set fsm(RECORD,ev_media_done) "act_Record RECORD_PLAY" set fsm(RECORD_PLAY,ev_recorder) "act_RecordPlay CALLACTIVE" sh log: DEBUGGING: Start act_Setup *Jul 9 01:53:09.265: *Jul 9 01:53:09.265: //42//TCL :/tcl_PutsObjCmd: DEBUGGING: Welcome Play *Jul 9 01:53:09.265: *Jul 9 01:53:09.265: //42//TCL :/tcl_PutsObjCmd: DEBUGGING: Stop act_Setup *Jul 9 01:53:09.265: *Jul 9 01:53:12.769: //42//TCL :/tcl_PutsObjCmd: DEBUGGING: Filename for record - 5BAAA23E.0005E000.9560AC14.C81613C4 *Jul 9 01:53:12.769: *Jul 9 01:53:45.005: error flushing recorded ms_sid = 0 *Jul 9 01:53:46.025: //42//TCL :/tcl_PutsObjCmd: DEBUGGING: Play Record *Jul 9 01:53:46.025: *Jul 9 01:53:46.025: //42//TCL :/tcl_PutsObjCmd: DEBUGGING: Filename for play - 5BAAA23E.0005E000.9560AC14.C81613C4 *Jul 9 01:53:46.025: 1. Напрягает ошибка: "*Jul 9 01:53:45.005: error flushing recorded ms_sid = 0" 2. И судя по логу запись начинает проигрываться не через 15 секунд как выставленно в maxDuration - а через 33 секунды. 3. Проверил, запись голоса производится полные 32 секунды - говорил в трубку все время, пока не началось проигрывание моей записи. Хотя maxDuration=15000.
  17. Приветствую, пожалуйста, поделитесь mcastbootd - нигде не могу найти. tuxper at hotmail.kg
  18. Здравствуйте, Запустил VLC для стриминга видео в сеть по мултикасту на Linux'e(Debian). На клиентских машинах видео показывает. Есть также STB Amino 110. При подключении к ТВ, на экране только Loading... Что еще необходимо для получения видео на приставке? В инете встречал упоминания о mcastbootd и dhcp. Заранее спасибо.
  19. А по имено можно? А то всеобъемлющим словом "софт" слишком многое охватывается также: откуда берется mcastbootd ? isc-dhcpd - подойдет на роль dhcp сервера для Amino?
  20. Также, как проверить залочен или нет STB? На пульте внизу бренд: СтримТВ - интерактивное телевидение Это совсем плохо??? Есть еще одна Amino 124 - на нем нет бренда СтримТВ, просто Amino