dmvy

Некоторые сервера KraftWay имеют сертификаты CCC. Можете для органов такой купить. Можно даже наклейку на любой сервер наклеить и показывать как часть сети надзорным органам.

на некоторых вендорах изоляция портов кроме L2 изолирует и L3. Как решение проблемы: L2-агрегация на одной железке, а L3 на другой + некоторая сегментация по vlan.

есть вирус, который прописывает забугорные DNS на роутерах, чтобы красть данные абонента и показывать порно-баннеры. найдите эти адреса и заверните на свои DNS.

у D-Link нерешаемая проблема с большим количеством ARP-записей. Подвержены модели 3612/3627. Крайне не рекомендую использовать их для L3-агргеации абонентов. Для L2-аггрегации хороши и возможно для L3-ядра подойдут, где мало arp-записей

вам сказали oid для реавторизации. наверняка есть oid и для disconnect.

По первому вопросу: дропнуть абонентов. Кто-то выкладывались snmp oid, чтобы быстро скриптом сбросить.

я про шейперы в ACL. в верхних MIC можно использовать 256000 очередей, а нижние порты по логике предназначены для подсоединения к SwitchFabric и в них всего 8 очередей. Вот и спрашиваю: есть ли шейперы в ACL?

А что в фаерволе ACC? На встроенных десятках нет HQoS...

Да. Возможно у вас многовато дропов. dmvy@border> show pfe statistics traffic Packet Forwarding Engine traffic statistics: Input packets: 19282150465538 5628014 pps Output packets: 19254233688239 5679768 pps Packet Forwarding Engine local traffic statistics: Local packets input : 360243000 Local packets output : 201250289 Software input control plane drops : 0 Software input high drops : 0 Software input medium drops : 0 Software input low drops : 0 Software output drops : 0 Hardware input drops : 14397 Packet Forwarding Engine local protocol statistics: HDLC keepalives : 0 ATM OAM : 0 Frame Relay LMI : 0 PPP LCP/NCP : 0 OSPF hello : 951628 OSPF3 hello : 950643 RSVP hello : 0 LDP hello : 1906290 BFD : 0 IS-IS IIH : 0 LACP : 38029476 ARP : 81521434 ETHER OAM : 0 Unknown : 58 Packet Forwarding Engine hardware discard statistics: Timeout : 0 Truncated key : 0 Bits to test : 0 Data error : 0 Stack underflow : 0 Stack overflow : 0 Normal discard : 27630917519 Extended discard : 0 Invalid interface : 0 Info cell drops : 0 Fabric drops : 0 Packet Forwarding Engine Input IPv4 Header Checksum Error and Output MTU Error statistics: Input Checksum : 0 Output MTU : 300900 Normal discard : 25642368567 это скорее всего ACL У нас MX80 соединен с 2 X670 десятками в LACP.

Можно посмотреть то, что в буфер не влезло. Перегрузка в общем: p1-vost92.4 # sh ports 17-20 congestion no-refresh Port Congestion Monitor Port Link Packet State Drop ================================================================================ r1-ae1-x> A 0 r1-ae1-x> A 51 r1-ae1-x> A 0 r1-ae1-x> A 4854274 ================================================================================ Link State: A-Active, R-Ready, NP-Port Not Present L-Loopback

коммутаторы не умеют балансировать не по 2^n портам. делайте либо 2, либо 4 порта.

15.5.2.9 - где "по-новому" ACL? Можно кусочек описания, что изменилось? есть подозрения, что как-то не так оно работает - в лабе пока не проверял, чтобы предъявить в TAC Extreme у вас тот же софт что и у нас. Были ли проблемы со встроенными портами 10G и роутингом на них ( через SVI) ? Везде стоят модули на 4 SFP+. Проблем не было. на 10G портах исключительно L3 на /30 сетях OSPF+LDP/MPLS. Причем порты 10G в untagged.

а сессия у абонента не рвется? что в логах? debug?

вода -> лед.

DGS-1100/06me

Сам сижу на 15.5.2.9 (работает без нареканий). На паре железок сегодня залил 15.5.3.4 и 15.6.1.4, чтоб оценить их. используем 15.3.1.4 пробовали 15.5.2.9 - есть существенные исправления в плане VPLS, но не нравится как работают по новому ACL.

http://soliton-1.com/ S-8 Блок силовых розеток 19 дюймов с переключателем. Подробно >> 1096р http://soliton-1.com/str1.html Размеры блока 19" и 1U Электрические характеристики: 250 В, 16 А Комплектация: 1. 8 розеток Shuko или IEC320 2. Шнур 3 * 1.0 или 3 * 1.5 с литой вилкой, длина L= 1.8 м 3. Переключатель с подсветкой на 16 А 4. 2 кронштейна крепления к поверхности или в стойку (уточняется при заказе) Корпус выполнен из аннодированного алюминия, розетки - из высококачественного негорючего пластика, что является гарантом защиты от пожара блока и содержимого шкафа. Об этом говорит и ниже приведенный ролик.

Серьёзных ошибок не вижу. Это глобальные acl. Они действуют на все порты и на весь трафик. В condition для других правил можно использовать условием и порт. По умолчанию трафик пропускается, который не попал ни под одно из правил. Про disposition не вспомню - лучше доку почитать или подсказку в cli. Правила можно писать какие угодно - применятся они только после qos apply. Посмотретьчто получилось можно командой show policy rule. Со знаком + будет показано, что изменится.

policy network group Trusted 10.66.66.66 10.10.10.0 mask 255.255.255.0 policy condition to-me-http-trusted source network group Trusted destination network group Switch destination tcp port 80 policy condition to-me-http-blocked destination network group Switch destination tcp port 80 policy action accept policy action drop disposition drop policy rule rule-to-me-http-trusted precedence 17003 condition to-me-http-trusted action accept policy rule rule-to-me-http-blocked precedence 17000 condition to-me-http-blocked action drop qos apply

ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся)

Интересная вот особенность :) СПАСИБО! PS IS-IS маршрутизацию поднял через intercontext интерфейсы по примеру из мануала. По этой самой причине BGP между коньекстами делают на loopback интерфейсах, поедварительно написав /32 маршруты в соседний контекст.

intercontext интерфейсы не пингуются в принципе. делайте loopback интерфейс и его проверяйте. что за oid? сброс сессии или переавторизация? все же raius/coa более правильное решение

Абоненту нужно повесить существующий на коробке профиль, который создан как Dynamic. ./coa-ipoe2.sh 0102FFFF78007712-520B1DBE Qos-Rate-Inbound=6000:750000:1125000,Qos-Rate-Outbound=6000:750000:1125000,Forward-Policy=in: #!/bin/sh # # Example ./coa-docsis.sh SESSION-ID TARIFF(2 or 6) # RadCMD="/usr/local/bin/radclient -d /usr/local/radd/dic 10.2.2.2:3799 coa secret" if [ $2 ]; then if [ $2 == "block" ]; then COA="Acct-Session-Id=$1, Qos-Policy-Policing=blocked-users-out, Qos-Policy-Metering=blocked-users, HTTP-Redirect-Profile-Name=DOCSIS, Forw ard-Policy=in:http-redirect-docsis" else #COA="Acct-Session-Id=$1, Qos-Policy-Policing=$2-in, Qos-Policy-Metering=$2-out, Forward-Policy=in:" COA="Acct-Session-Id=$1, $2" fi echo ${COA}|${RadCMD} t=`date +'[ %Y/%m/%d %H:%M:%S ]'` tfile=`date +'%Y%m%d'` echo "$t $1 $2" >> /var/logg/rad/$tfile-coa.log #echo ${COA} else echo "error" fi

с Acct-Session-Id контекст не нужен и ip тоже. еще зависит какой профиль вы дали пользователю. покажите конфиги.

Нужен acct-id. Включить его как доп параметр при авторизации и запоминать в БД до окончания сессии. В этом случае можно будет управлять сессией.