Перейти к содержимому
Калькуляторы

EuPhobos

Пользователи
  • Публикации

    36
  • Зарегистрирован

  • Посещение

О EuPhobos

  • Звание
    Абитуриент
    Абитуриент

Контакты

  • ICQ
    Array

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Старая тема, но всё же подниму. Правила по выгрузкам изменились, теперь сертификат получает ФизЛицо (ФЛ), а директор получает МЧД, кто ни будь может рассказать, как этой МЧД уведомить РКН, что определённое ФЛ может своей подписью выгружать реестр запрещённых сайтов? На самом https://vigruzki.rkn.gov.ru/, памятка оператору связи не обновлялась с 2022 года, туда им написали, а в ответ тишина. А срок старого сертификата подходит к концу скоро. Тут есть кто уже прошёл эту процедуру и может рассказать по подробнее?
  2. Хмм, у меня как раз наоборот схема не похожая на инструкцию. Там говорится о пробросе LACP внутри другой сети, а у меня как раз нет никакой сети на участке разрыва, мне нужно пару LACP пробросить с одних портов на другие, одного и того же коммутатора. По отдельности оно работает, но когда включаю все 4 порта в bpdu tunnel, то всё падает, такое впечатление, что isolate-port group не работает для L2 трафика на портах, где включен bpdu tunnel.
  3. Имеются два коммутатора подключённые двумя линками по 10g, эти два линка объединены в LACP, а эти два коммутатора удалены друг от друга достаточно далеко и между линками установлены оптические репитеры, схема простая: Эти репитеры очень простенькие, и не отображают информацию о DDM на своих портах. На руках есть SNR-S2995G-24FX, могу ли я поставить его одного вместо двух репитеров, используя все 4 его 10g порта? Что-то вроде такого: В лабе на столе я собрал схему, создал bpdu-tunnel по этой инструкции: https://nag.wiki/pages/viewpage.action?pageId=25107717 Создал 4 группы изоляции портов (25 с 27, 25 с 28, 26 с 27 и 26 с 28), что бы не было петли, но у меня получилось прокинуть только один линк (порт 25-26), есть ли возможность на SNR создать два независимых BPDU туннеля?
  4. Тема в итоге переросла во что-то другое. А вопрос остался открытым, кто как [успешно] оплачивает RIPE ?? Какие лазейки и выходы есть из сложившийся ситуации?
  5. Хотел создать тикет в саппорте, но решил сначала тут задать вопрос. Есть приват MIB взятый от сюда: http://data.nag.ru/SNR Switches/MIBs/ Задача опросить состояние вентиляторов по SNMP, mib говорит что oid вентиляторов это .1.3.6.1.4.1.40418.7.101.101 Однако я не могу вообще опросить ветку .1.3.6.1.4.1.40418.7.101, так же как и не могу найти в документации, как разрешить коммутатору отдавать эту ветку по SNMP. Успешно опрашивается только ветка .1.3.6.1.4.1.40418.7.100 Кто ни будь сталкивался с этим?
  6. Точно, недосмотрел, поправил. Спасибо.
  7. Допустим "МЫ" это IP 3.3.3.3 AS3333 РКН это 6.6.6.6 AS6666 Создать фильр префиксов ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32 Создать lo interface Loopback0 vrf forwarding INTERNET ip address 3.3.3.3 255.255.255.255 Настройки BGP Если "у нас" используется vrf с именем INTERNET router bgp 3333 bgp router-id 3.3.3.3 address-family ipv4 vrf INTERNET network 3.3.3.3 mask 255.255.x.y neighbor 6.6.6.6 remote-as 6666 neighbor 6.6.6.6 description RKN neighbor 6.6.6.6 ebgp-multihop 255 neighbor 6.6.6.6 update-source Loopback0 neighbor 6.6.6.6 activate neighbor 6.6.6.6 prefix-list DENY-ANY-PREFIXES in Прописать роут своей сетки ip route vrf INTERNET 3.3.3.3 255.255.x.y Null0 про SNMP я уже писал тут: По поводу NETFLOW Создать экспортёр flow exporter TO-RKN destination 6.6.6.6 vrf INTERNET source Loopback0 transport udp 9876 export-protocol netflow-v5 Создать монитор flow monitor MYNET-V5-FLOW-MONITOR exporter TO-RKN cache timeout inactive 30 cache timeout active 3600 record netflow-original Прицепить на интерфейсы с аплинками interface TenGigabitEthernet0/0/0 vrf forwarding INTERNET ip flow monitor MYNET-V5-FLOW-MONITOR input ip flow monitor MYNET-V5-FLOW-MONITOR output Если VRF не используется, выкидываем из примера все упоминания о нём.
  8. Проще говоря, Вам нужно поднять с ними BGP сессию, не принимать от них никаких префиксов, а т.к. BGP сессия через интернет, то включить ebgp-multihop что бы сессия вообще поднялась. К нам пришла инструкция на которую мы ответили - и пока тишина. Тест можно устроить на каком ни будь GNS3 если используются циски. А вот про "6) Настроить подачу full view;" - нам такой задачи не ставили, да и не обязаны им отдавать full view, а если оператор мелкий и за ним нет больше других AS, то full view может и не быть у самого оператора. Там ведь только заголовки пакетов. Максимум, что они увидят "На какой IP:PORT/proto и какой Ваш IP ходил" - но правда это всё равно достаточно смущает, что лить флоу нужно прям по интернету без какого либо шифрования.
  9. Как минимум могут проверить на те типы блокировок, где явно указан blockType=ip или subNet Правда учитывая как всё устроено у них, и учитывая те потоки данных, которые будут литься со всей России к ним, проверить всех сразу будет затруднительно, только если выборочно. И вообще.. не стоит подкидывать им таких идей.. блиин :)
  10. Проверять будут, ходят ли твои абоненты на запрещённые сайты, видать коробочки "ревизор" мало. Не верят что её правильно воткнули в сеть :)
  11. @ayf Сначала нужно создать ACL с их IP которые пришлют Потом view, потом группу и пользователя ip access-list standard RKN-SNMP-V3-ACL permit 6.6.6.6 ! snmp-server view RKN-VIEW system included snmp-server view RKN-VIEW system.1.0 excluded ! snmp-server group RKN-MONITORING-GROUP v3 priv read RKN-VIEW access RKN-SNMP-V3-ACL ! snmp-server user rkn-user RKN-MONITORING-GROUP v3 auth sha password_1 priv aes 128 password_2 Допустим РКН это 6.6.6.6 Разрешаем OID "system", но по нему летит так же версия прошивки оборудования, что бы это убрать, исключаем из system подветку .1.0 Пользователь rkn-user и ключи шифрования Ну а дальше думаю понятно, таким же методом можно исключить и интерфейсы snmp-server view RKN-VIEW ifEntry.*.# excluded Где # - номер интерфейса, который нужно исключить. Проверяем в линуксе через net-snmp: snmpwalk -v3 -l authPriv -u rkn-user -a SHA -A password_1 -X password_2 -x AES 10.10.10.10 Где 10.10.10.10 - адрес нашей цицки
  12. Например сделал я snmpwalk по ifMib, но при опросе, по пути "1.3.6.1.2.1.31.1.1.1.18" мне прилетают текстовые дескрипшены с интерфейсов цицки, я ввожу "snmp-server view RKN-VIEW 1.3.6.1.2.1.31.1.1.1.18 excluded" и теперь snmpwalk пропускает ветку с дескрипшенами, потому что циска не отдаёт это. В linux в пакете net-snmp через snmpd.conf, там подробные описания и примеры даже есть. Если надо, могу привести пример по настройке snmp v3 на цицках. Всё там есть уже: https://packages.debian.org/bullseye/net-tools Ну раз они расшифровку не соизволили написать, можно считать что это "Автоматическая Пожарная Сигнализация" :)
  13. Таблица с примером? Ну само собой, я выкинул их пример с v2 и прописал туда данные о подключении по v3 Т.к. в самой первой таблице той же инструкции есть такое: Ну и что, оно от этого как то по другому работать стало? В дистрибутивах оно ещё и в репозиториях есть. Выполняет свои функции и ладно.
  14. По поводу flow - в linux есть мост flow-fanout с фильтрами. SNMP v3 шифрованная же? Да и в инструкции они упомянули v3 и точно сказали какие OID-ы им нужны, всё остальное режем.