Перейти к содержимому
Калькуляторы

kunla

Пользователи
  • Публикации

    12
  • Зарегистрирован

  • Посещение

О kunla

  • Звание
    Абитуриент
  1. Я вроде так и делаю */media *:/media:*:* Blocks all the URLs in which the path contains only media. Те в моем случае - Host suffix *vpupkin.ru Path prefix /news Path suffix * Param Prefix * Также я пробую сделать аналогично - т.е. *:/news:*:* Все равно не отрабатывает. Я просто, наверное, что-то не так понимаю.
  2. День добрый. Возникла проблема с блокировкой доменных имен с помощью сце.Точнее, заблокировать весь домен проблем никаких нет, но если я хочу заблокировать,к примеру, не весь сайт vpupkin.ru, а только vpupkin.ru/news у меня возникает проблема. Я создаю flavor с параметрами : Host suffix *vpupkin.ru Path prefix /news*(или просто /news) Path suffix * Param Prefix *, но видимо я что-то не так делаю - vpupkin.ru/news все равно открывается. Не мог бы кто-нибудь подсказать, где ошибка?
  3. Cisco SCE vs torrent

    Дятел Спасибо огромное!
  4. Cisco SCE vs torrent

    Дятел а нет случайно остального софта(репортера,cm,pkg,pqi)?
  5. День добрый. Возникла потребность настроить nat на ASA ASA Version 8.3(1) ! hostname ASA ! interface GigabitEthernet0/0 nameif in security-level 100 ip address 10.10.11.14 255.255.255.252 ! interface GigabitEthernet0/1 nameif out security-level 10 ip address 10.10.11.18 255.255.255.252 ! same-security-traffic permit intra-interface object network SALES_NETWORK subnet 192.168.1.0 255.255.255.0 object network NAT_POOL_SALES host 1.1.1.1 object network NAT_POOL_1 range 2.2.2.1 2.2.2.3 object network WORK_REAL range 192.168.2.1 192.168.2.10 object-group network WORK_MAPPED network-object object NAT_POOL_1 access-list ALL extended permit ip any any pager lines 24 mtu Voltaire 1500 mtu Proxima 1500 mtu management 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (in,out) source dynamic SALES_NETWORK NAT_POOL_SALES nat (in,out) source dynamic WORK_REAL WORK_MAPPED access-group ALL global dynamic-access-policy-record DfltAccessPolicy aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL ! track 11 rtr 1 reachability console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global Имеются два правила для ната - для сетей SALES_NETWORK и WORK_REAL. Сеть SALES_NETWORK работает без проблем. Проблемы возникают с сетью WORK_REAL-перестает транслировать, в логе выводит portmap translation creation failed for icmp src in:192.168.2.1 dst out:8.8.8.8 (type 8, code 0) Еще при этом в логе появляется сообщение типа Duplicate TCP SYN from out:115.135.86.131/4935 to out:192.168.3.1/3389 with different initial sequence number При чем адреса вообще не из моих сетей. И что еще смущает - from и to указан один и тот же интерфейс - внешний. Подскажите в чем может быть проблема.
  6. ESR10008 и Netflow

    vit Я знаю про существование радиуса. Я не могу радиусом общитывать трафик гибко. Т.е. например, не считать трафик с определеного диапазона адресов. Поэтому мне нужен нетфлоу.
  7. ESR10008 и Netflow

    Я все понимаю, что с опозданием. Но не со случайным же образом - то с опозданием на минуту, то без опоздания, то вообще без подсчета. В итоге разница между реально скаченным трафиком и показаниями нетфлоу - до 40%. А иногда и вообще 100% (т.к. иногда вообще ничего не считает). К тому же, у меня есть еще 7тысячник - там нетфлоу считает почти 100%, а при разрыве сессии посередине минуты приходит дополнительный пакет, в котором указано, сколько за этот кусок минуты абонент успел выкачать. На еср мне такого добиться не удалось.
  8. Никак не получается настроить передачу нетфлоу. Схема такая- имеется один физический интерфейс, на нем висят и все вланы. Пользователи подключаются через виртуал теплейт по пппое. Пробовали прописывать ip flow ingress и ip flow egress и вместе и по отдельности и на пользовательском влане, и на влане, через который выходит весь трафик во внешний мир, и на виртуал темплейте - результат не тот. Если прописать ip flow egress только на виртуал темплейте, то трафик какбэ и считается, но как-то не так - либо с опозданием на минуту, либо вообще не те цифры, а иногда и вообще не считается. Пробовали менять иосы - не помогло. Может кто-нибудь подсказать?
  9. terrible Dec 23 14:48:28.965: RADIUS: Received from id 1645/3 192.168.1.1:1000, Access-Accept, len 225 Dec 23 14:48:28.965: RADIUS: authenticator C5 8D 35 26 A1 A5 BC 82 - 53 83 C4 B7 CE B6 4F 85 Dec 23 14:48:28.965: RADIUS: Acct-Interim-Interva[85] 6 60 Dec 23 14:48:28.965: RADIUS: Service-Type [6] 6 Framed [2] Dec 23 14:48:28.965: RADIUS: Framed-Protocol [7] 6 PPP [1] Dec 23 14:48:28.965: RADIUS: Vendor, Cisco [26] 124 Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop" Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 31 Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5" Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32 Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5" Dec 23 14:48:28.969: RADIUS(00000011): Received from id 1645/3
  10. ingress Эта команда по умолчанию выключенна, т.е. отмена ее ничего не дает. DelSt Можно создать атрибут лист radius-server attribute list TEST attribute 1,20 Потом прописать его а ааа aaa group server radius RAD1 server-private 91.142.158.29 auth-port 1 acct-port 2 key KEY authorization reply accept TEST attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU В этом случае при авторизации вообще на этот атрибут смотреть циска не будет. Но для меня это не подходит - у меня номер атрибута, который надо игнорировать и который надо принимать один и тот же. Есть еще вариант с настройками самого радиуса с помощью изменение операторов, например, вмето "=" использовать "+=" ( это какбэ означает, что атрибут можно игнорировать). Но тут у меня все не так гладко получилось - в итоге атрибут игнорировался самим радиусом и тупо не отправлялся на циску. С этим пока не разобрался, но мне так кажется, что копать именно в эту сторону надо.
  11. День добрый. Столкнулся со следующей проблемой: При получении циской ESR10008 в радиус-пакете неизвестного параметра Cisco AVpair, циска игнорирует радиусовский пакет и выводит для абонента ошибку авторизации. На 7тясячнике такого замечено не было. Настройки радиуса radius-server attribute 44 include-in-access-req radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server host A.B.C.D auth-port X acct-port Y key KEY radius-server retransmit 5 radius-server timeout 30 radius-server directed-request restricted radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Настройки ааа aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update newinfo periodic 3 aaa accounting network default start-stop group radius Используемый IOS c10k2-p11u2-mz.122-33.SB9.bin. Для примера- если циска получит пакет, в котором содержится Cisco AVpair "lcp:interface-config=rate-limit output access-group 2066 614400 115200 230400 conform-action transmit exceed-action drop" (с10К не знакома с командой rate-limit) она его отбросит. Можно ли как-то сделать так, чтобы циска игнорировала неизвестные атрибуты?
  12. День добрый! Убив достаточное количество времени, удалось реализовать связку DHCP и des30XX (в моем случае был 3028, так же работает на 3028G, могу предположить что подходит для всего семейства 30ХХ) Поведаю вам эту страшную историю. В нашей сети на текущий момент используется оборудование еджкоре (доступ, агрегация, ядро). И все какбэ почти работает. IP-адрес от DHCP с поддержкой Option 82 прилетает. Но как-то иногда. Причины, почему одному и тому же пользователю ип-адрес присваевается через раз пока не выяснены. Решили взять на тест дес3028. Настраиваем влан conf vlan default del 1-24 #если порты из 1 влана не удалить в другой они не добавяться. Порты как untag могут быть только в одном влане. Как tag могут одновременно находиться хоть в 4000-х create vlan vl100 tag 100 #создание влана с именем vl100 и тегом 100 conf vlan vl100 add unt 1-24 conf vlan vl100 add tag 25-28 #добавляем 1-24 порт как антагет и 25-28 порты как тагет conf vl100 adv en #включаем влан. до введения этой команды влан создан, но недееспособен. conf ipif System ipad 192.168.3.251/16 #присваиваем коммутатору ип-адрес и маску. create iproute default 192.168.0.7 #прописываем шлюз. Впринципе работать абоненты будут и без шлюза. Но если его не прописать - забудьте про пинг, телнет и тем более про веб интерфейс. Придется бегать до коммутатора с ноутбуком и проводом Х_х. Включаем в цепочку доступ-агрегация-ядро-циска Подключение к интернету у нас осуществляется посредством протокола PPPoE, т.е внутренний IP-адрес абоненту для этого счастья не нужен. Пробуем - интернет работает.Ура!. Теперь проверяем присваивается ли IP-адрес. Настройки коммутатора enable dhcp_relay #включаем само dhcp_relay conf dhcp_relay option82 st enable #включаем опцию82 conf dhcp_relay add ipif System 172.28.14.10 #указываем адрес релея, те адрес нашего DHCP-сервера Смотрим лог на DHCP. DHCPDISCOVER from 00:1b:38:24:dc:11 via 192.168.0.7:network 192.168.3.0/16: no free leases Очень удивительно, особенно учитывая, что конфиг DHCP выглядит примерно так: authoritative; ddns-update-style none; local-address 172.28.14.10; option broadcast-address 172.28.14.255; default-lease-time 3600; max-lease-time 3660; log-facility local7; option ms-classless-static-routes code 249=array of integer 8; option rfc3442-classless-static-routes code 121=array of integer 8; subnet 172.28.14.0 netmask 255.255.255.0 { } subnet 172.16.47.128 netmask 255.255.255.192 { option domain-name-servers 91.142.158.9, 91.142.144.76; option ms-classless-static-routes 16, 172,16, 172,16,1,61; class "Vlan_100Port_1" { match if ( binary-to-ascii(10,16,"",substring(option agent.circuit-id, 2, 2))="100" and binary-to-ascii(10,8,"",suffix(option agent.circuit-id,1))="1"); } pool {range 172.16.47.129; allow members of "Vlan_100Port_1";} } if exists agent.circuit-id { log(info, concat("Lease for", binary-to-ascii(10,16,".",leased-address), "Switch port:", binary-to-ascii(10,16,".",option agent.circuit-id), "Switch vlan:", binary-to-ascii(10,16,".",option agent.circuit-id))); } if exists agent.circuit-id { log(info, concat("Port must know",binary-to-ascii(10,8,"",suffix(option agent.circuit-id, 1)))); log(info, concat("Vlan must know",binary-to-ascii(10,16,"",substring(option agent.circuit-id, 2, 2)))); } Т. е подсети 192 вообще нигде не указано O_o. Удаляем на коммутаторе шлюз: delete iproute default Теперь коммутатор у нас даже не пингуется. Зато в логе пишет. DHCPDISCOVER from 00:1b:38:24:dc:11 via 172.16.22.190: network 172.16.22.128/26: no free leases Поднимаем на отдельной машине DHCP-сервер. Создаем связку - DHCP-dlink-абонент. Все, естественно, в одной подсети - и IP-адрес DHCP и IP-адрес длинка и абонентский пул. Присваивается. Свободно, быстро и без задержек. Некоторое время чешем репу. То есть получается, что дело не в конфиге DHCP. И вроде бы как и не в конфиге длинка. По логике что-то случается с пакетом по пути? Ставим снифер. Мирорим 1 (абонентский) и 25 (аплинк) порты на машину, где все эти пакеты и сниферим. И тут можно делать удивленые лица - опции 82 в пакете нет. Все остальные есть, както 12 или 50, а 82 нет. О_О Смотрим файл dhcpd.leases куда заносяться все выданые ип адреса. Там белым по синему четко написано что такойто ипадрес выдан пользователю с таким-то маком и вот вам его circuit.id. Совершенно не понимая, как это может происходить, списываемся с ТП Длинка. Те, естественно просят обновить прошивку. Обновляем. После этого резет ребут - все как положенно. Сниферим пакеты на самом DHCP-сервере. И видим что пакет вообще теперь до DHCP не доходит. И с 25 порта вообще не выходит. Хотя снифер абонентского порта показывает что вот он пакетик-то. Даже опция82 теперь в нем появилась. Занова прописываем шлюз на коммутаторе create iproute default 192.168.0.7 Чешем репу. Вспоминаем что есть еще у длинка такая фича как dhcp_local_relay. Хотя нигде в интернетах надобность ее включения вроде как не обсуждалась. Но тем не менее включаем enable dhcp_local_relay Смотрим лог. Пакет теперь долетает. Но ип-адрес снова пытается присвоиться из подсети коммутатора. Дописываем на длинке: conf dhcp_local_relay vlan vl100 st enable С замерающим дыханием смотрим лог. И - Ура! "Тут зрители аплодируют, аплодируют, кончили аплодировать" Наконец-то свершилось. Ип адрес присваивается. Даже длинку. Даже с поддержкой опции 82. И даже тот, который должен быть. Кстати, прикладываю навсякий прошивку, которая должны стоять на длинке