ya4ya

Спасибо, понял. Сегодня поймал ещё один глюк. Пришел запрос на блокировку sergey-mavrodi.com. Ок, добавили *sergey-mavrodi.com http, https блокируются в том числе и на www.sergey-mavrodi.com. А вот почему то https://lk.sergey-mavrodi.com ни в какую, http блокируется, а https никак... Проверьте кто нибудь у себя, пожалуйста. Да, спасибо, уже нашел.

Интересно, топикстартер решил проблему или забил как и многие?

Не всем так везет. У меня, например: мегафон, ростелеком оба послали.

ok, на вскидку на отвлеченные темы: 1. Вопрос лицензии 2. Вопрос СОРМ По моему как-раз в 500т.р. влезают оба вопроса. добавлено: Ой, нет. Омега.II на 100 мегабит с нуля 495т.р по прайсу.

Блин, ларчик просто открывался... но бага наверно все таки - бага. Плюс бага в шаблоне ответа радиуса, которую конечно же поправили и все заработало как нужно :) Происходит следующее: 1. Первая авторизация, циска посылает запрос на радиус. 2. Радиус отвечает ему Access-Accept, но в реплае закралась ключевая строка "Cisco-AVPair = lcp:interface-config description ...". 3. Циска не переварив её, оставляет сессию unauthed, взводит таймер. 4. После таймера сессия пропадает и повторных авторизаций не происходит. 5. Удаление, создание интерфейса вновь не помогает, авторизации нет, трафик блокируется. 6. Выход а)сменить идентификатор интерфейса (то что после точки), влан можно оставить б)поменять номер влана на интерфейсе, авторизация пройдет (успешная/не успешная - не важно), вернуть нужный влан. Что странно 7200 данную avpair переваривает.

Да нет, бросьте. Да нет, aaa method отдельный не нужен (если например радиус тот же самый), а вот policy-map type control конечно отдельный. То что укажите в policy-map type control, в моем случае identifier nas-port (формат его такой "nas-port:0.0.0.0:0/1/0/352")

Да нет, dhcp тут вообще не причем. Повторная авторизация на unauthed session доложна быть сразу же после того как закончится таймер (отвалится по "10 service disconnect") - принцип "ip subscriber interface" (инициатором тут является не клиент за интерфейсом, а признак наличие самого интерфейса не зависимо от его состояния). Все что относится к данной ситации: aaa group server radius raddef server name raddef ! aaa authentication ppp ipoe group raddef aaa authorization network ipoe group raddef aaa authorization subscriber-service default local group raddef aaa accounting exec ipoe start-stop group raddef aaa accounting network ipoe start-stop group raddef ! class-map type traffic match-any с_unauth match access-group input name unauth_in match access-group output name unauth_out ! class-map type control match-all UNAUTH-COND match timer UNAUTH-TIMER match authen-status unauthenticated ! policy-map type service srv_unauth 1000 class type traffic с_unauth police input 8000 police output 8000 ! class type traffic default in-out drop ! ! policy-map type control isg_interface class type control UNAUTH-COND event timed-policy-expiry 10 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event session-start 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! class type control always event session-restart 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! ! interface TenGigabitEthernet0/1/0.352 description IPoE-TEST encapsulation dot1Q 352 ip address AAAAAA no ip redirects no ip unreachables no ip proxy-arp service-policy type control isg_interface ip subscriber interface ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 4 ASDASD radius-server attribute 31 mac format unformatted lower-case radius-server attribute 31 send nas-port-detail mac-only radius-server retransmit 1 radius-server timeout 10 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication ! radius server raddef address ipv4 ZZZZZ auth-port 1812 acct-port 1813 key 7 ..... ! ip access-list extended unauth_in permit ip any host XXXXX permit ip any host YYYYY ip access-list extended unauth_out permit ip host XXXXX any permit ip host YYYYY any Поднял схему на 7200-NPE-G2 проблем не вижу :(, протестируете кто нибудь на ASR1k с другим ios'ом.

Это совсем по другому, в данном случае такой режим не устраивает именно из-за того что инициатором должен быть клиент. Необходима именно Необходима адекватная работа при не удачной авторизации (переавторизации в случае завершения таймера UNAUTH-TIMER), т.е. до момента класс мапов и полиси мапов ещё далеко (мы ещё сессию только авторизуем) Ну бог с ней, пропала сессия, удалили -> создали интерфейс вновь, должно же все появится? А нет, + какую IP шку мы на этот интерфейс в дальнейшем не повесили бы IPшка не работает (видимо блокировка из-за не успешной авторизации ISG сессии), arp'шка есть. Может кто нибудь опыт провести на своей железке, не обязательно с аналогичным IOS?

Здравствуйте. В наличии asr1000rp2-adventerprise.03.07.01.S.152-4.S1.bin Встала необходимость поднять Interface сессию isg: policy-map type control isg_interface class type control UNAUTH-COND event timed-policy-expiry 10 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event session-start 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! class type control always event session-restart 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! interface GigabitEthernet0/0/0.350 encapsulation dot1Q 350 service-policy type control isg_interface ip subscriber interface Столкнулся со следующей проблемой: После того как авторизация прошла не успешно, трафик соответственно не пропускаем, видим сессию как unauthed в течении 15мин по истечению которых сессия дропается и больше мы её не видим (не видим повторных попыток авторизации). Попытки передернуть интерфейс, удалить создать занова ни к чему не приводят, попыток авторизации нет. Пробуем show subscriber в списке - нет, удалить нечего. Меняем название интерфейса сохраняя при этом номер влана видим попытку авторизации. При успешной авторизации все работает без проблем. На этой же железки крутятся routed сессии с unclassified ip-address таких проблем нет. Что может быть такое?

Да, 3.7.5. upload .1.3.6.1.4.1.5655.4.2.2.1.1.1.1 download .1.3.6.1.4.1.5655.4.2.2.1.1.2.1 список .1.3.6.1.4.1.5655.4.2.5.1.1.3.1 PS. счетчики 32bit

Ситуация как нибудь изменилась?

Здравствуйте. Используем SCE 2020 для блокировки нежелательного контента. Есть два вопроса: 1. url строчка по которой производится блокировки case sensivety, как и можно ли сделать insensivety? (т.е. например abc.com/test != abc.com/Test) 2. В advanced настройках имеются различные detailed inspection mode, все выключены, есть ли смысл включать?

clear конечно же делаете перед импортом? Пока не встречал, софт 3.7.5...

3.8.5 тоже самое SNMPv2-SMI::enterprises.5655.4.2.2.1.1.2.1.1.3 = Counter32: 62041114 кто нибудь решил проблему без отката на 3.7.5?

А где то можно? На Cisco конечно же имеется ввиду. Натолкните, как фича называется...

Здравствуйте. Есть asr1006, софт 3.7. Хотим отдавать дуалстек. Подскажите как в один сервис (в одну полосу) засунуть и ipv4 и ipv6 трафик? :) Например радиус выдает: Cisco-AVPair += "ip:traffic-class=out access-group name ipv4out priority 10", Cisco-AVPair += "ip:traffic-class=in access-group name ipv4in priority 10" Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop" Может быть что то типа: Cisco-AVPair += "ip:traffic-class=out access-group name ipv4out priority 10", Cisco-AVPair += "ip:traffic-class=in access-group name ipv4in priority 10" Cisco-AVPair += "ip:traffic-class=out access-group name ipv6out priority 11", Cisco-AVPair += "ip:traffic-class=in access-group name ipv6in priority 11" Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop"

По первому вопросу понятно. По второму, спрошу по другому :) У кого какой стоит?

Текущий вполне устраивал пока IPv6 пилить не стали. У меня поддержка от поставщика включает и софт, могу любой запросить, единственное какой бы порекомендовали? Стабильный.

А по ИОСу подскажите чего нибудь?

Да, понимаю, но денежку получается выклянчивать понемногу, т.к. особой надобности нет. Пока хватает, единственное не понятно чем память у SIP'а забита. sh platform software status control-processor brief Load Average Slot Status 1-Min 5-Min 15-Min RP0 Healthy 0.16 0.09 0.02 ESP0 Healthy 0.00 0.00 0.00 SIP0 Healthy 0.00 0.01 0.00 Memory (kB) Slot Status Total Used (Pct) Free (Pct) Committed (Pct) RP0 Healthy 16312592 3944492 (24%) 12368100 (76%) 11589752 (71%) ESP0 Healthy 3877056 931492 (24%) 2945564 (76%) 3248060 (84%) SIP0 Healthy 449776 445116 (99%) 4660 ( 1%) 373676 (83%) CPU Utilization Slot CPU User System Nice Idle IRQ SIRQ IOwait RP0 0 0.60 0.40 0.00 98.90 0.10 0.00 0.00 1 2.89 0.29 0.00 96.70 0.00 0.09 0.00 ESP0 0 2.70 3.00 0.00 94.20 0.00 0.10 0.00 SIP0 0 0.60 0.60 0.00 98.80 0.00 0.00 0.00 show interfaces TenGigabitEthernet0/1/0 30 second input rate 582336000 bits/sec, 87293 packets/sec 30 second output rate 579057000 bits/sec, 90521 packets/sec 1549496260456 packets input, 1277667801474365 bytes, 0 no buffer Received 5321596 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 75346524 multicast, 0 pause input 1591681588349 packets output, 1285918145858040 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out Вечером в два раза больше.

Нет, пока хотелось бы использовать один SIP10, в планах апгрейд на SIP40, потом ESP, но планы минимум на следующий год.

Здравствуйте. Есть ASR1006: ASR1000-RP2 ASR1000-ESP20 ASR1000-SPA ASR1000-SIP10 SPA-8X1GE-V2 SPA-1X10GE-L-V2 asr1000rp2-adventerprise.03.02.00.S.151-1.S.bin 1. Хочется для устойчивости схемы поставить ещё один (3ий) half-hight SPA-1X10GE-L-V2 подключить ещё одну железку. Будут ли проблемы? (Трафика в сумме от обоих SPA-1X10GE-L-V2 - 6Г в обе стороны, на SPA-8X1GE-V2 предположительный максимум в 4, в обе стороны.) 2. Порекомендуйте ИОС? Терминируем пользователей ISG PPPoE, IPoE, ната нет, принимаем BGP. Используем IPv6. Причина апгрейда в основном нацелена на поддержку v6 в ISG.

Тоже самое, время X - вчерашний день ~20:30

Забыл подписать SCE 2020, поставщик со скидкой 50т$ предлагает. Ну что-то уж сильная разница за новую железку.

Подскажите почему такая большая разница в цене новой и б/у Cisco SCE ? Новую предлагают за 50т$, б/у в барахолке или в шопе нага ~5т$. Где подвох? :)