Jump to content
Калькуляторы

list

Пользователи
  • Content Count

    59
  • Joined

  • Last visited

About list

  • Rank
    Абитуриент
  1. Добрый день. Дано: ------------------------------------------------------------------------------------------------------------------------------------------ Cisco ASA5515-x, версия софта - 9.7, NAT-нет. Аса подключена к двум провайдерам через интерфейсы с именами OUT1 и OUT2. К асе двумя интерфейсами подключен компьютер. IP адреса сетей между компом и асой являются PA блоками провайдеров ISP1 и ISP2 и снаружи маршрутизируются соответственно через стыковые сетки ISP1 и ISP2. На асе настроен дефолтный маршрут через интерфейс ISP1-172.16.0.2. ! route OUT1 0.0.0.0 0.0.0.0 172.16.0.2 1 ! Для того, что-бы трафик из сети 172.17.1.0/24 ходил через ISP2 настроен PBR: ! ! interface GigabitEthernet0/0.5 vlan 5 nameif IN2 security-level 90 ip address 172.17.1.2 255.255.255.0 policy-route route-map PBR_FROM_ISP2 ! ! access-list PBR_FROM_ISP2 extended permit ip 172.17.1.0 255.255.255.0 any ! ! route-map PBR_FROM_ISP2 permit 10 match ip address PBR_FROM_ISP2 set ip next-hop 172.17.0.2 ! ! Описание проблемы: ------------------------------------------------------------------------------------------------------------------------------------------- Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.16.1.1 ходит нормально в обе стороны через соответствующие интерфейсы и ISP . Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.17.1.1 доходит до компа (tcpdump) и при возвращении последний раз фиксируется на интерфейсе асы IN2 (capture). Трафик же, который инициирует сам компьютер с любого интерфейса на асу или в интернет ходит нормально через соответствующие интерфейсы и ISP.
  2. В рекомендациях роскомнадзора сказано, что при отсутствии в записи информации о доменном имени и указателе страницы сайта, операторам рекомендуется ограничить доступ к сетевому адресу, включая все сетевые порты. Если подойти к вопросу бюрократически, то доставленный на такой хост SYN пакет, уже является осуществлением доступа. Кроме того UDP пакеты доставляются вовсе без handshake.
  3. Какова логика блокировки по IP? В реестре запись с blockType="ip". В записи несколько IP адресов. При обращении http://52.91.100.33 из локальной сети на исходящем интерфейсе бордера виден трафик к хосту 52.91.100.33 на порт 80. СКАТ установлен в разрыв, трафик на бордер приходит уже после ската. Было проверено несколько записей с blockType="ip" и давно находящихся в реестре и свежих. Поведение одинаковое. Версии СКАТ Entry 5.6, 7.2
  4. Подскажите, как lua скриптом сформировать username вида <IPадрес>_<MACадрес>. Используется схема L3, старт сессии по не классифицированному пакету.
  5. DPI СКАТ

    проверьте protocols.dscp м.б. что то осталось от тестового периода. если там нет ничего, напишите SD и прикрепите архив /etc/dpi/* Нет файла /etc/dpi/protocols.dscp и тестового периода не было.
  6. DPI СКАТ

    Лицензия СКАТ - ENTRY Настроена только блокировка по спискам. Списки берет из облака. В логах: По какой причине/причинам он может дропать пакеты и влияет ли это на общий трафик через СКАТ?
  7. DPI СКАТ

    Растут дропы пакетов на интерфейсах dna. СКАТ включается в агрегированную линию. С одной стороны Catalyst3560G с другой сервер Linux. Catalyst: Linux: Куда копать?
  8. DPI СКАТ

    Подскажите, как сделать список для блокировки https запросов к youtube. типа таких:
  9. Спасибо за совет. Дело было во включенных в конфиге параметрах (в скриншот accel-ppp.conf не попали): attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=Framed-IP-Netmask и передачи этих атрибутов радиусом. Система тестовая и до этого экспериментировал с L2,start=dhcp4. Оттуда и остались хвосты. Еще один вопрос: Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно. Этот параметр настраивается?
  10. Схема L3, shared=1, start=up. Версия accel-ppp 1.11.1 Ядро - 4.8.1-1.el6.elrepo.x86_64 Непрерывно запускаются сессии и создаются интерфейсы для одного и того же пользователя (IP-192.168.88.100). К серверу цепляется только один этот пользователь. accel-ppp.conf: log:
  11. Поделитесь кто как организует авторизацию абонентов IPOE. Навскидку 2 варианта. Без учета мак адреса абонента и с учетом его мака. Оба варианта так себе. Первый хорош с точки зрения своей прозрачности для абонента при замене его оборудования, но через некоторое время приведет к тому, что техподдержка перепутает абонентов на портах домового свича. Во втором, абоненту при смене мака приходится вводить логин-пароль на странице регистрации. Для абонента проблемы, зато техподдержка в шоколаде. Может еще какие варианты есть?
  12. Там вроде бы появился модуль vlan_mon, его тоже загрузили? Действительно дело было в не загруженном модуле vlan_mon. С ним все работает.
  13. Коллеги, помогите с настройкой vlan-mon на q-in-q интерфейсе. Версия accel-ppp 1.11.1 Ядро - 4.8.1-1.el6.elrepo.x86_64 dhcp запросы на корневых интерфейсах видны, а сабинтерфейсы не поднимаются. В логе с level=5 тишина. accel-ppp.conf: Интерфейсы в системе: DHCP дисковеры на eth1 и на eth1.40 видны: eth1: eth1.40: