Перейти к содержимому
Калькуляторы

hub00

Пользователи
  • Публикации

    54
  • Зарегистрирован

  • Посещение

Все публикации пользователя hub00


  1. Tamplier, покажи конфиг релея.
  2. Народ помогите пожалуйста, что-то я уже с эти длинком запарился. Есть DGS-3620-28SC (Firmware Version : 2.61.B005 (самая последняя)) который должен выступать как DHCP Relay. Схема DHCP SERVER (172.16.0.100) <--TRUNK--> (DHCP_Serv:172.16.0.1) DGS-3620-28S (DHCP_Client:10.80.80.1) <--TRUNK--> DHCP CLIENT # DHCP_RELAY enable dhcp_relay config dhcp_relay unicast enable config dhcp_relay hops 4 time 2 config dhcp_relay option_82 state disable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default config dhcp_relay option_82 circuit_id default config dhcp_relay option_60 state disable config dhcp_relay option_61 state disable config dhcp_relay add ipif DHCP_Client 172.16.0.100 config dhcp_relay add ipif DHCP_Serv 172.16.0.100 config dhcp_relay option_60 default mode drop config dhcp_relay option_61 default drop config dhcp_relay ports 1-2,4-21,23-28 state disable config dhcp_relay ports 3,22 state enable create ipif DHCP_Client 10.80.80.1/24 DHCP_Client state enable config ipif DHCP_Client proxy_arp disable local disable config ipif DHCP_Client dhcpv6_client disable config ipif DHCP_Client dhcpv6_client_pd disable Дампом вижу что от клиента Discover улетает 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:e2:ba:16:ae:e0, length 300, xid 0xd0769d6d, secs 20, Flags [none] Client-Ethernet-Address 90:e2:ba:16:ae:e0 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Requested-IP Option 50, length 4: 10.80.80.2 Hostname Option 12, length 17: "test.ru" Parameter-Request Option 55, length 13: Subnet-Mask, BR, Time-Zone, Default-Gateway Domain-Name, Domain-Name-Server, Option 119, Hostname Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route NTP на сервер вижу что этот Discover прилетает и в ответ сервер отправляет Offer 21:10:13.189084 bc:f6:85:1c:fe:01 > 00:1e:0b:74:30:fc, ethertype IPv4 (0x0800), length 342: (tos 0x10, ttl 30, id 21262, offset 0, flags [none], proto UDP (17), length 328) 10.80.80.1.68 > 172.16.0.100.67: BOOTP/DHCP, Request from 90:e2:ba:16:ae:e0, length 300, hops 1, xid 0xd0769d6d, secs 20, Flags [none] Gateway-IP 10.80.80.1 Client-Ethernet-Address 90:e2:ba:16:ae:e0 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Requested-IP Option 50, length 4: 10.80.80.2 Hostname Option 12, length 17: "test.ru" Parameter-Request Option 55, length 13: Subnet-Mask, BR, Time-Zone, Default-Gateway Domain-Name, Domain-Name-Server, Option 119, Hostname Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route NTP 21:10:13.189263 00:1e:0b:74:30:fc > bc:f6:85:1c:fe:01, ethertype IPv4 (0x0800), length 342: (tos 0x0, ttl 64, id 63174, offset 0, flags [none], proto UDP (17), length 328) 172.16.0.100.67 > 10.80.80.1.68: BOOTP/DHCP, Reply, length 300, hops 1, xid 0xd0769d6d, Flags [none] Your-IP 10.80.80.118 Server-IP 172.16.0.100 Gateway-IP 10.80.80.1 Client-Ethernet-Address 90:e2:ba:16:ae:e0 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Offer Subnet-Mask Option 1, length 4: 255.255.255.0 Lease-Time Option 51, length 4: 86400 Server-ID Option 54, length 4: 172.16.0.100 Но уже к клиенту этот Offer не прилетает. Такая вот непонятная ситуация. Может я что-то упускаю?
  3. Это да, но саммит с моей лицензией курит в стороне (вместе со мной). Будем мутить железяку специализированную.
  4. Спасибо, попробую с очередями и метрами (по результату отпишу). Еще момент, касательно автоматизации добавления/удаления правил на саммите. Как лучше реализовать удаленное выполнение команд типа "create traffic queue tq_user1_in_cust ingress-only strict-priority" и файлика policy. С последним наверно tftp надо крутить, а вот первую команду через всякие экспекты или перл модули не феншуйно выглядит. Может мысли есть какие-то или советы? ..UPDATE.. This is available only on the BlackDiamond 12800 R-series and 20800 series switches. Так что я курю в сторонке c очередями. ... новый concept guide крайне скуден, но если раздобыть гайд старых веток софта (12.6), там есть интересное замечание: Meters are a reusable component that many queues can share. You can specify the meter rate in either Kbps, Mbps, or Gbps, and in increments as small as 64Kbps. И там еще рабочий примерчик на две страницы размазан с комментариями. Право на жизнь имеет, но городить монстров не есть хорошая практика.
  5. Если в METER-2mbit-VL454 запулить трафик для 3-х пользователей destination-address user_ip1/32, destination-address user_ip2/32, destination-address user_ip3/32, они будут делить committed-rate 2000 Kbps max-burst-size 16 Kb, или каждый будет иметь эту полосу отдельно? То появилась мысля попробовать резать траф пользователей на Extreme SummitХ670. Только полисить во входящем направлении. sw# create meter METER-2mbit-VL454 sw# configure meter METER-2mbit-VL454 committed-rate 2000 Kbps max-burst-size 16 Kb out-actions drop sw# edit policy ACL-P27-IN entry POLICE-VLAN-454 { if match any { vlan-id 454; } then { meter METER-2mbit-VL454; } } sw# check policy ACL-P27-IN sw# configure access-list ACL-P27-IN ports 27 ingress Трафик, приходящий на порт 27 будет полисится в 2 мбита с бёрстом 16 кбайт.
  6. Здравствуйте, объясните пожалуйста эти две команды, их смысл с точки зрения IOSа. mls qos queue-set output qset-id buffers 20 20 20 40 mls qos queue-set output qset-id threshold queue-id 50 80 50 400 Я понял что "buffers 20 20 20 40" это для 1-й, 2-й, 3-й и 4-й выходных очередей соотв. выделен в %-м соотношении объем памяти который очереди обязательно могут использовать (зарезервированный пул). А вот threshold это как я понял пороги отбрасывания фреймов (первое - нижний порог отбрасывания фреймов, второе - верхний порог, третье - зарезервированное место в памяти, четвертое - максимальное доступное место в общей памяти). Тут я что-то уже запутался... с областями в памяти... Спасибо.
  7. А я еще анализом fdb таблицы и не аплинковых портов вычислял. Методом исключения. Перл это делает быстро. А по правильному, да LLDP.
  8. Понял, ну к этому и склонялся, думал может что-то есть Цисковское для этих целей. Ок, спасибо.
  9. Здравствуйте. К примеру есть два ASR`а, есть пул адресов 5к, клиентов 4к. Хочется одновременно включить в сеть обе железки, чтоб одна подстраховывала другую. Как правильно распределить пул адресов? По 2.5к на каждую Циску не выход (если одна упадет, вторая упрется в полку по свободным адресам). Спасибо.
  10. а каким образом анализируете? Если не секрет конечно Не секрет и абсолютно ничего особенного. Кольца или mac-move определяются путем сравнения пар mac-port только что полученных, с уже имеющимися в базе (полученными раннее). Если видим что mac переехал в другой порт, обновляем в базе новый порт, и к примеру я заношу запись в другую таблицу, мол в это время на этом коммутаторе мак переехал в этот порт с того порта. Как арп-вотч в линухе, только там ip-mac. Флуд (мак-флуд) анализирую БД на количество новых маков за промежуток времени, если больше определенного значения, получаю уведомление. Построение динамической топологии. Выбираю один мак как ориентир (мак шлюза в влане управления этими коммутаторами), опираясь на имеющуюся информацию в БД, определяю на коммутаторах аплинковые порты и потом уже строю цепочки. Все делаю на перле, сбор и обработка данных производится многопоточно. Одновременно обрабатываю по 500 железок 4 ядра ксеона 2.5 Гигагерц 70-100% и 2.5-3Гб ОЗУ.
  11. snmpwalk -v 2c -c public $ip .1.3.6.1.2.1.17.7.1.2.2.1.2.666 -Ovq Маки в влане 666 в dec виде (меньше грузит железку, в отличии от hex). Грепни порт и wc -l. Ну как-то это криво. у меня 1500 железок, и каждые 5 мин скрипт проходит по всем коммутаторам и по snmp собирает mac port в БД. Где эта информация уже анализируется на предмет закольцовок в сети, флуда, построения динамической топологии сети. Обход и анализ занимает около 3-х мин в вечернее время. Можешь переделать этот код для себя #!/usr/bin/perl -w use strict; my $result; my $limit; my @part; $limit = $ARGV[0]; open(SNMP,"snmpwalk -v 2c -c public $ip 1.3.6.1.4.1.6527.3.1.2.1.1.1 -Ov|"); while (<SNMP>) { @part=split(/ /, $_); $result=$part[1]; } if ($result <= $limit) { print "SNMP OK - $result\n"; exit 0; } else { print "SNMP CRITICAL - $result\n"; exit 2; }
  12. Здравствуйте, есть ZTE5928, нужно завести её на RADIUS, какие атрибуты и их параметры должен отправлять RADIUS сервер коммутатору, чтоб получать привилегии оператора или админа. Спасибо.
  13. Как рукой снимает iptables -A INPUT -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
  14. Ну вот хоть конкретика появилась. Работайте над веб-сервисом более детально, чтобы именно им и решать вашу задачу, блок проксей, анонимайзеров и т.п. хрени будет во первых слишком геморройно, во вторых неэффективно. А не будет ли это грузно для веб сервиса проверять каждый запрос? Не лучше это делать на уровне ниже?
  15. А вот посмотри http://linuxportal.ru/forums/index.php/mv/msg/22744/0/0/
  16. У меня не проблема, а задача - не обрабатывать любые запросы от адресов, которые попадают под определенные критерии (я об этом и говорил)! Мне просто нужно блокировать нежелательные адреса и все, без разницы что это ддос, спам, черви или просто хитро сделанные пользователи. Да, критерии разные, и для каждого события они будут свои в зависимости от их природы. Я просто хотел узнать какие критерии лучше использовать и как, для каких событий я тоже сказал. Ну если так будет проще понять: к примеру есть веб сервис, по правилам которого пользователь должен иметь только одну учетную запись. Есть умники которые нарушают эти правила. Их нужно отсечь. Каким образом они нарушают правила я не буду описывать, я думаю понятно уже.
  17. Да, конечно за списками трудно угнаться. А как тогда разные сервисы в интернете отвергают подобный трафик. К примеру liveinternet, adsense итд. Ну с прокси ладно, там еще можно определить, а тор? Ну как-то не верится что они постоянно списки мониторят.
  18. Блокировать тор и прокси для того, чтоб через эти сервисы нельзя было иметь доступ к серверу. P.S terrible и goletsa, я конечно понимаю что вы классные и супер продвинутые перцы, но если кроме того что смоглось написать, больше ничего не получается, лучше не надо вообще ничего писать. Если хотелось пошутить или умом блеснуть то вы скапшили. В общем цирк уже уехал...а вас забыли (умышленно).
  19. Недавно у меня появилась потребность на сервере блокировать черные ip. Под список черных ip попадают: тор, прокси, адреса с которых валит или может валить спам и вообще любые неблагополучные адреса. У меня есть мысли по этому поводу, ну может кто-то уже работает или работал с данной схемой, не хочется велосипед создавать. Подскажите, как лучше это реализовать? Две мысли: 1 - работать с публичными списками, выдирать из них адреса и блокировать их. 2 - сигнатурный поиск. Может конечно так и не получится, но чтоб найти для каждого вида трафика свои закономерности (к примеру tcpdump-ом посмотреть) и одним правилом блокировать такой трафик. 3 - гибрид первых двух вариантов. Может у кого-то есть мысли по данной теме? Спасибо.
  20. amx, а ntop пробовал? Все что ты перечислил там есть + iftop.
  21. RushOnline, успокой и меня, если отключить полностью все шейперы, ничего не меняется? Извиняюсь если ты уже это писал. А oprofile запускал?