Перейти к содержимому
Калькуляторы

Macro

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    149

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Macro

  1. Опубликовано · Жалоба на ответ

    Поделитесь стабильным иосом advipservices 3.1.1S на Cisco ASR 1002, плиз.

    3.1.2S2 самый нормальный.

    есть уже 3.1.3 не пробовали.

    в июне будет еще один релиз, с поправленными багами в районе NAT.

    Поделитесь 3.1.2S2?

    А то в наличии 3.1.0S - баг с рррое в конфиге на основном интерфейсе с vlan-id и vlan-range.

  3. Опубликовано · Жалоба на ответ

    FreeBSD 8.1

    Генерирует Netflow и отправляет на коллектор.

     

    Задача: Как указать резервный коллектор, чтобы нетфлоу отправлялось на 2 коллектора одновременно.

    /usr/sbin/ngctl -f- <<-SEQ
        mkpeer bge1: netflow lower iface0
        name bge1:lower netflow
        connect bge1: netflow: upper out0
        mkpeer netflow: ksocket export inet/dgram/udp
        msg netflow: settimeouts { inactive=60 active=5 }
        msg netflow:export connect inet/xx.xx.xx.148:9999
SEQ

  4. Опубликовано · Жалоба на ответ

    Cisco 7206.

    Серая подсетка (192.168.0.0/24) введена в отдельный VRF.

    НАТ для клиентов в этой подсети работает.

    Но обнаружилась проблема, у клиентов не проходит РРТР соединение на внешние сервера - 619 ошибка вылазиет.

    L2TP/IPSec соединения работают.

    Попробывал уйти от VRF'a, и РРТР заработало.

     

    Мой конфиг:

    interface Loopback1

    ip vrf forwarding WIFI

    ip address 192.168.0.1 255.255.255.0

     

    interface GigabitEthernet0/1

    ip address хх.хх.хх.94 255.255.255.252

    ip nat outside

    ip portbundle outside

    ip ospf network point-to-point

    media-type rj45

    speed 1000

    duplex full

    no negotiation auto

    no cdp enable

     

    interface GigabitEthernet0/2.500

    encapsulation dot1Q 500

    ip vrf forwarding WIFI

    ip dhcp relay information option-insert

    ip dhcp relay information check-reply

    ip dhcp relay information policy-action replace

    ip unnumbered Loopback1

    ip helper-address 192.168.1.2

    no ip proxy-arp

    ip nat inside

    no cdp enable

     

    ip nat inside source list For_WiFi interface GigabitEthernet0/1 vrf WIFI overload

     

    ip access-list standard For_WiFi

    permit 192.168.0.0 0.0.0.255

     

    ip route vrf WIFI 0.0.0.0 0.0.0.0 GigabitEthernet0/1 хх.хх.хх.93

     

    IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin

     

  5. Опубликовано · Жалоба на ответ

    Cisco 7206vxr.

    IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin

     

    настроил ip subscribers aware ethernet.

    Проблема в стоповом пакете радиус аккаунтинга.

    Из Acct-Session-Time не высчитывается Idle-Timeout.

    Т.о. получается неточность учета реального времени работы клиента.

     

    Можно конечно рихтовать скл код в конфига радиуса, но как то это неправильно.

    До этого использовал софт роутер ПК базед (m0n0wall), там сам роутер высчитывал реальное время путем вычета Idle-Timeout.

     

    Можно ли циску научить этому?

  6. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    PBHK - Port bundle Host key - проприетарная Цисковская технология.

    Возможно что здесь народ уже сталкивался с этим.

  7. Опубликовано · Жалоба на ответ

    Спасибо, заработало с:

    ip nat inside source list For_LOCAL interface GigabitEthernet0/1 vrf LOCAL overload
ip route vrf LOCAL 0.0.0.0 0.0.0.0 GigabitEthernet0/1 92.xx.xx.xy

    И наверняка с: 
    interface GigabitEthernet0/1
  ip vrf forwarding LOCAL

    Чего не было в изначальных условиях?

    Нет.

    giga 0/1 неизменна:

     

    interface GigabitEthernet0/1

    description 7600_Uplink

    ip address 92.хх.хх.хх 255.255.255.252

    ip nat outside

    ip ospf network point-to-point

    media-type rj45

    speed 1000

    duplex full

    no negotiation auto

    no cdp enable

    end

     

  8. Опубликовано · Жалоба на ответ

    Здравствуйте, коллеги.

    Пишу портал для авторизации клиентов Cisco ISG.

    На Cisco использую PBHK, для идентификации клиента.

     

    Клиент подключается к сети, получает по ДХСП ип адрес, НТТР(S) запросы его редиректятся на страницу авторизации.

    Там он вводит логин и пароль в форме, РНР (обработчик формы) формирует СоА запрос (Account-Logon) на циску.

    Осталось дело за определением PBHK клиента.

     

    Сорс порт клиента далеко не похож на PBHK (например: 4096 а на циске Bundle Number = 69) и каждый раз разный.

    Portbundle Length - 4 (default).

     

    Как научить PHP вычислять PBHK? У кого есть опыт, подскажите.

  9. Опубликовано · Жалоба на ответ

    Попробуйте добавить:

    ip route vrf LOCAL 0.0.0.0 0.0.0.0 92.xx.xx.xx global

    Спасибо, заработало с:

    ip nat inside source list For_LOCAL interface GigabitEthernet0/1 vrf LOCAL overload
ip route vrf LOCAL 0.0.0.0 0.0.0.0 GigabitEthernet0/1 92.xx.xx.xy

  10. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    Cisco 7206vxr.

    В ходе работе столкнулся с проблемой, когда включаю внутреннюю подсеть в VRF то перестает работать НАТ для нее.

    Пример конфига упростил для исключения ошибок:

    giga 0/1 - внешняя сетевая

    giga 0/2.25 - внутренняя сетевая

     

    interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip vrf forwarding LOCAL
ip address 192.168.2.1 255.255.255.0
ip nat inside
no cdp enable

interface GigabitEthernet0/1
ip address 92.xx.xx.xx 255.255.255.252
ip nat outside
ip ospf network point-to-point
media-type rj45
speed 1000
duplex full
no negotiation auto
no cdp enable

ip nat inside source list For_LOCAL interface GigabitEthernet0/1 overload
ip access-list standard For_LOCAL
permit 192.168.0.0 0.0.255.255

ip vrf LOCAL
rd 1984:1984

     

    Внутренняя сетевая (giga 0/2.25) в VRF обязательна.

     

    Если исключить ip vrf forwarding LOCAL - то НАТ работает.

  11. Опубликовано · Жалоба на ответ

    radius-server attribute 44 include-in-access-req [vrf vrf-name]

     

    часом не оно?

    Циска не отправляет request-access.

    Складывается ощущение что циске не хватает каких то параметров передаваемых в Account-Logon пакете для идентификации клиента.

    PBHK или что то в этом роде. Только вот что?

  12. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    Cisco 7206

    Настраиваю доступ в Интернет по ИП, клиент подключается к сети, получает ИП адрес по DHCP, редиректится на страницу авторизации, вводит логин и пароль.

    Портал отправляет СоА пакет Account-Logon:

            User-Name = "vasya"
        Cisco-AVPair = "subscriber:password=vasyapass"
        Cisco-AVPair = "subscriber:command=account-logon"
        Cisco-Account-Info = "S192.168.0.130"

    Клиенты подключены через VRF:

    interface Loopback1
ip vrf forwarding WIFI
ip address 192.168.0.1 255.255.255.0

interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip vrf forwarding WIFI
ip dhcp relay information option-insert
ip dhcp relay information check-reply
ip dhcp relay information policy-action replace
ip unnumbered Loopback1
ip helper-address 192.168.1.2
no ip proxy-arp
ip nat inside
no cdp enable
service-policy type control ISG-WIFI-SESSION
ip subscriber routed
  initiator dhcp

ip vrf WIFI

     

    Клиент на циске есть в unauth:

    Router_PPPoE#sh subsc sess | incl IP
1334    IP           unauthen      Local Term   0026.b611.7b84       00:00:31

     

    Таблица маршрутизации для vrf WIFI:

    Router_PPPoE#sh ip route vrf WIFI

Routing Table: WIFI
Gateway of last resort is not set

      192.168.0.0/24 is variably subnetted, 4 subnets, 2 masks
C        192.168.0.0/24 is directly connected, Loopback1
L        192.168.0.1/32 is directly connected, Loopback1
S        192.168.0.130/32 is directly connected, GigabitEthernet0/2.25
S        192.168.0.137/32 is directly connected, GigabitEthernet0/2.25
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, GigabitEthernet0/2.26
L        192.168.1.1/32 is directly connected, GigabitEthernet0/2.26

     

    Проблема: циска принимает Account-Logon пакет, но не отправляет Access-Request на указанный радиус сервер и возвращает CoA-NAK.

     

    Если уйти от VRF - то работает отлично.

  13. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    Cisco 7206VXR.

    IOS: c7200-advipservicesk9-mz.122-33.SRE1.bin

     

    Есть куча вланов приходящие на 72-ую. Надо:

    1. Подключившемуся клиенту в любом из вланов выдать ИП адрес по DHCP из 192.168.0.0/24

    2. Попробывать авторизовать его по МАС адресу.

    3. В случае неудачи пункта 2, клиента редиректят на страницу авторизации (портал).

     

    Пример одного сабинтерфейса:

    interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip dhcp relay information option-insert
ip dhcp relay information check-reply
ip dhcp relay information policy-action replace
ip unnumbered Loopback1
ip helper-address 192.168.1.2
ip nat inside
no cdp enable
service-policy type control ISG-WIFI-SESSION
ip subscriber l2-connected
  initiator unclassified mac-address

     

    Loopback 1:

    interface Loopback1
ip address 192.168.0.1 255.255.255.0

     

    Проблема:

    При таком конфиге, клиент подключается к сети, получает по DHCP адрес из 192.168.0.0/24, пытается выйти в Интернет - и получает болт.

    Пинг гейтвея (192.168.0.1) с клиента какой то эпизодический... то пингует, то не пингует.

    Пинг DHCP сервера (192.168.1.2) - также отсутствует.

    На циске отсутствует информация об клиенте:

    sh subsc sess | incl IP - ничего не показывает.

     

     

    Теперь приведем конфиг к такому виду:

    удаляем Лупбэк 1

    избавимся от ip unnumbered и пропишем явно ип адрес на сабинтерфейсе.

    interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip dhcp relay information option-insert
ip dhcp relay information check-reply
ip dhcp relay information policy-action replace
ip address 192.168.0.1 255.255.255.0
ip helper-address 192.168.1.2
ip nat inside
no cdp enable
service-policy type control ISG-WIFI-SESSION
ip subscriber l2-connected
  initiator unclassified mac-address

     

    В этом случае - все работает хорошо.

    Вначале клиент прозрачно пытается авторизоваться по МАСу. Потом его редиректят на страницу авторизации.

    на циске:

    Router_PPPoE#sh subsc sess | incl IP
1500    IP           unauthen      Local Term   192.168.0.100        00:00:00

    - клиент пытается выйти в интернет.

     

    Теперь другой случай:

    Исключим DHCP. Оставим ip unnumbered и на клиенте пропишем ИП из 192.168.0.0/24 статически и на циске впишем роут до клиента.

    interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip dhcp relay information option-insert
ip dhcp relay information check-reply
ip dhcp relay information policy-action replace
ip unnumbered Loopback1
ip nat inside
no cdp enable
service-policy type control ISG-WIFI-SESSION
ip subscriber l2-connected
  initiator unclassified mac-address

    ip route 192.168.0.13 255.255.255.255 GigabitEthernet0/2.25

    В этом случае также все работает.

    Router_PPPoE#sh subsc sess | incl IP

    624 IP unauthen Local Term 192.168.0.13 00:00:07

    - клиент на циске в unauth. Его редиректят на страницу авторизации.

     

    Вот как теперь заставить работать два конфига воедине - как показано в самом начале.

    Как соединить

    ISG + ip unnumbered + ip subscriber l2-connected + DHCP relay

    вместе?

  15. Опубликовано · Жалоба на ответ

    Возникает проблема с коннектом РРРоЕ на голосовых шлюзах Micronet.

    PPPoE BRAS - Cisco 7206 vxr.

    Voip gateway - Micronet SP5002.

    Субьективно, проблема возникает примерно после 20 дней аптайма циски.

     

    Дамп wireshark:

    38 70.452619 Micronet_04:70:7b Broadcast PPPoED Active Discovery Initiation (PADI)
39 70.471507 Cisco_64:06:1a Micronet_04:70:7b PPPoED Active Discovery Offer (PADO) AC-Name='Router_PPPoE'
40 70.472433 Micronet_04:70:7b Cisco_64:06:1a PPPoED Active Discovery Request (PADR) AC-Name='Router_PPPoE'
41 70.491187 Cisco_64:06:1a Micronet_04:70:7b PPPoED Active Discovery Session-confirmation (PADS) AC-Name='Router_PPPoE'
42 70.501079 Micronet_04:70:7b Cisco_64:06:1a PPP LCP Configuration Request

    Внутри последнего пакета:

    Payload Length: 6 [incorrect, should be 44]
Expert Info (Warn/Malformed): Possible bad payload length 6 != 44
Message: Possible bad payload length 6 != 44

    Далее происходит обмен PPP LCP Request/Reject между голосовым шлюзом и Cisco BRAS.

     

    И РРРоЕ соединение не устанавливается. В то же время, на Windows XP и на Dlink голосовых шлюзах РРРоЕ соединение поднимается без проблем.

     

    Как можно это исправить и в чем причины? Сегодня ночью буду ребутить БРАС, в прошлый раз это помогло.

  16. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    В публичной wifi сети появляется вредитель, прописывает на своей вайфай карте ИП адрес шлюза.

    Т.о. происходит ARP spoofing.

    Девайс: Linksys WRT54GL

    Возможно ли реализовать что то вроде internal station connection на нем, чтобы изолировать клиентов друг от друга.

    Рассматриваю даже вариант перепрошивки роутера на что то вроде openwrt и все что с ним связанно.

  17. Опубликовано · Жалоба на ответ

    Cisco AS 5400.

    IOS: 12.4-20.T3

    При звонке на определенный номер включается приветствие и производится запись голоса абонента.

    По окончании записи, запись должна проиграться абоненту.

    Основные куски скрипта:

    proc act_Setup { } {

puts "\n DEBUGGING: Start act_Setup"
        init_perCallVars

        set ani [infotag get leg_ani]
        set dnis [infotag get leg_dnis]

        if { $dnis == "0555005211" } {
                puts "\n DEBUGGING: Welcome Play"
                leg setupack leg_incoming
                leg proceeding leg_incoming
                leg connect leg_incoming
                media play leg_incoming flash:welcome.au
                fsm setstate RECORD
        }
        aaa authenticate $ani $dnis
puts "\n DEBUGGING: Stop act_Setup"

}

.....

proc act_Record { } {
        global param
        global filename

        set filename [infotag get leg_guid]
        puts "\n DEBUGGING: Filename for record - $filename"
        media record leg_incoming -p codec=5 -p maxDuration=15000 -m %b flash:$filename
        fsm setstate RECORD_PLAY
}

proc act_RecordPlay {} {
        global param
        global filename

        puts "\n DEBUGGING: Play Record"
        puts "\n DEBUGGING: Filename for play - $filename"
        media play leg_incoming flash:$filename
        fsm setstate CALLACTIVE
}

....

    set fsm(CALL_INIT,ev_setup_indication) "act_Setup AUTHENTICATE"
    set fsm(RECORD,ev_media_done) "act_Record RECORD_PLAY"
    set fsm(RECORD_PLAY,ev_recorder) "act_RecordPlay CALLACTIVE"

     

    sh log:

  DEBUGGING: Start act_Setup
*Jul 9 01:53:09.265:
*Jul 9 01:53:09.265: //42//TCL :/tcl_PutsObjCmd:
  DEBUGGING: Welcome Play
*Jul 9 01:53:09.265:
*Jul 9 01:53:09.265: //42//TCL :/tcl_PutsObjCmd:
  DEBUGGING: Stop act_Setup
*Jul 9 01:53:09.265:
*Jul 9 01:53:12.769: //42//TCL :/tcl_PutsObjCmd:
  DEBUGGING: Filename for record - 5BAAA23E.0005E000.9560AC14.C81613C4
*Jul 9 01:53:12.769:
*Jul 9 01:53:45.005: error flushing recorded ms_sid = 0
*Jul 9 01:53:46.025: //42//TCL :/tcl_PutsObjCmd:
  DEBUGGING: Play Record
*Jul 9 01:53:46.025:
*Jul 9 01:53:46.025: //42//TCL :/tcl_PutsObjCmd:
  DEBUGGING: Filename for play - 5BAAA23E.0005E000.9560AC14.C81613C4
*Jul 9 01:53:46.025:

    1. Напрягает ошибка:

    "*Jul 9 01:53:45.005: error flushing recorded ms_sid = 0"

    2. И судя по логу запись начинает проигрываться не через 15 секунд как выставленно в maxDuration - а через 33 секунды.

    3. Проверил, запись голоса производится полные 32 секунды - говорил в трубку все время, пока не началось проигрывание моей записи.

    Хотя maxDuration=15000.

  19. Опубликовано · Изменено пользователем Macro · Жалоба на ответ

    А по имено можно? А то всеобъемлющим словом "софт" слишком многое охватывается

     

    также:

    откуда берется mcastbootd ?

    isc-dhcpd - подойдет на роль dhcp сервера для Amino?

  21. Опубликовано · Жалоба на ответ

    Здравствуйте,

    Запустил VLC для стриминга видео в сеть по мултикасту на Linux'e(Debian).

    На клиентских машинах видео показывает.

    Есть также STB Amino 110. При подключении к ТВ, на экране только 

    Loading...

    Что еще необходимо для получения видео на приставке?

    В инете встречал упоминания о mcastbootd и dhcp.

    Заранее спасибо.