Jump to content
Калькуляторы

list

Пользователи
  • Content Count

    62
  • Joined

  • Last visited

About list

  • Rank
    Абитуриент
  1. Помогла замена IOSXE на версию 16.12.05b
  2. Добрый день. Имею: cisco C9200L-24P-4X Cisco IOS XE Software, Version 16.12.03a Суть вопроса: Тестирую коммутатор 9200L и столкнулся с непонятным поведением STP. К порту gi 1/0/7 подключен обычный неуправляемый коммутатор, на котором делаю петлю. На gi 1/0/7 включен bpduguard. interface GigabitEthernet1/0/7 switchport access vlan 600 switchport mode access spanning-tree bpduguard enable end При появлении петли bpduguard срабатывает и отключает порт. Светодиод порта тухнет и вывод команды show spanning-tree выглядит следующим образом: Switch#show spanning-tree No spanning tree instance exists. Проблема в том, что в этот момент появляется приличная нагрузка на CPU коммутатора и остается до тех пор, пока не снимешь петлю. Switch#show proc cpu sort CPU utilization for five seconds: 32%/25%; one minute: 22%; five minutes: 15% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 215 67092 963530 69 9.59% 4.48% 2.31% 0 Spanning Tree 108 5524 1518 3638 0.15% 0.18% 0.17% 0 Crimson flush tr 151 1612 787 2048 0.07% 0.06% 0.06% 0 Thermal backgrou 3 0 1 0 0.00% 0.00% 0.00% 0 PKI Trustpool 4 64 15 4266 0.00% 0.00% 0.00% 0 RF Slave Main Th 5 0 1 0 0.00% 0.00% 0.00% 0 Retransmission o 2 8 630 12 0.00% 0.00% 0.00% 0 Load Meter 6 0 1 0 0.00% 0.00% 0.00% 0 IPC ISSU Dispatc 9 1768 474 3729 0.00% 0.04% 0.05% 0 Check heaps 8 0 106 0 0.00% 0.00% 0.00% 0 VIDB BACKGD MGR 11 0 1 0 0.00% 0.00% 0.00% 0 DiscardQ Backgro Подскажите, в какую сторону копать?
  3. Доброго времени суток. Есть RAD Megaplex-2100 с модулем MCL-2 ETH (все новое). Помогите найти дефолтный IP адрес/логин/пароль этого модуля, что-бы подключиться телнетом через порт CONRTOL-ETH.
  4. Добрый день. Дано: ------------------------------------------------------------------------------------------------------------------------------------------ Cisco ASA5515-x, версия софта - 9.7, NAT-нет. Аса подключена к двум провайдерам через интерфейсы с именами OUT1 и OUT2. К асе двумя интерфейсами подключен компьютер. IP адреса сетей между компом и асой являются PA блоками провайдеров ISP1 и ISP2 и снаружи маршрутизируются соответственно через стыковые сетки ISP1 и ISP2. На асе настроен дефолтный маршрут через интерфейс ISP1-172.16.0.2. ! route OUT1 0.0.0.0 0.0.0.0 172.16.0.2 1 ! Для того, что-бы трафик из сети 172.17.1.0/24 ходил через ISP2 настроен PBR: ! ! interface GigabitEthernet0/0.5 vlan 5 nameif IN2 security-level 90 ip address 172.17.1.2 255.255.255.0 policy-route route-map PBR_FROM_ISP2 ! ! access-list PBR_FROM_ISP2 extended permit ip 172.17.1.0 255.255.255.0 any ! ! route-map PBR_FROM_ISP2 permit 10 match ip address PBR_FROM_ISP2 set ip next-hop 172.17.0.2 ! ! Описание проблемы: ------------------------------------------------------------------------------------------------------------------------------------------- Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.16.1.1 ходит нормально в обе стороны через соответствующие интерфейсы и ISP . Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.17.1.1 доходит до компа (tcpdump) и при возвращении последний раз фиксируется на интерфейсе асы IN2 (capture). Трафик же, который инициирует сам компьютер с любого интерфейса на асу или в интернет ходит нормально через соответствующие интерфейсы и ISP.
  5. В рекомендациях роскомнадзора сказано, что при отсутствии в записи информации о доменном имени и указателе страницы сайта, операторам рекомендуется ограничить доступ к сетевому адресу, включая все сетевые порты. Если подойти к вопросу бюрократически, то доставленный на такой хост SYN пакет, уже является осуществлением доступа. Кроме того UDP пакеты доставляются вовсе без handshake.
  6. Какова логика блокировки по IP? В реестре запись с blockType="ip". В записи несколько IP адресов. При обращении http://52.91.100.33 из локальной сети на исходящем интерфейсе бордера виден трафик к хосту 52.91.100.33 на порт 80. СКАТ установлен в разрыв, трафик на бордер приходит уже после ската. Было проверено несколько записей с blockType="ip" и давно находящихся в реестре и свежих. Поведение одинаковое. Версии СКАТ Entry 5.6, 7.2
  7. Подскажите, как lua скриптом сформировать username вида <IPадрес>_<MACадрес>. Используется схема L3, старт сессии по не классифицированному пакету.
  8. DPI СКАТ

    проверьте protocols.dscp м.б. что то осталось от тестового периода. если там нет ничего, напишите SD и прикрепите архив /etc/dpi/* Нет файла /etc/dpi/protocols.dscp и тестового периода не было.
  9. DPI СКАТ

    Лицензия СКАТ - ENTRY Настроена только блокировка по спискам. Списки берет из облака. В логах: По какой причине/причинам он может дропать пакеты и влияет ли это на общий трафик через СКАТ?
  10. DPI СКАТ

    Растут дропы пакетов на интерфейсах dna. СКАТ включается в агрегированную линию. С одной стороны Catalyst3560G с другой сервер Linux. Catalyst: Linux: Куда копать?
  11. DPI СКАТ

    Подскажите, как сделать список для блокировки https запросов к youtube. типа таких:
  12. Спасибо за совет. Дело было во включенных в конфиге параметрах (в скриншот accel-ppp.conf не попали): attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=Framed-IP-Netmask и передачи этих атрибутов радиусом. Система тестовая и до этого экспериментировал с L2,start=dhcp4. Оттуда и остались хвосты. Еще один вопрос: Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно. Этот параметр настраивается?
  13. Схема L3, shared=1, start=up. Версия accel-ppp 1.11.1 Ядро - 4.8.1-1.el6.elrepo.x86_64 Непрерывно запускаются сессии и создаются интерфейсы для одного и того же пользователя (IP-192.168.88.100). К серверу цепляется только один этот пользователь. accel-ppp.conf: log:
  14. Поделитесь кто как организует авторизацию абонентов IPOE. Навскидку 2 варианта. Без учета мак адреса абонента и с учетом его мака. Оба варианта так себе. Первый хорош с точки зрения своей прозрачности для абонента при замене его оборудования, но через некоторое время приведет к тому, что техподдержка перепутает абонентов на портах домового свича. Во втором, абоненту при смене мака приходится вводить логин-пароль на странице регистрации. Для абонента проблемы, зато техподдержка в шоколаде. Может еще какие варианты есть?