murzik_one Опубликовано 11 марта, 2015 · Жалоба Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0 Кто нибудь знает как привязать политики? А кто мешает сделать одного саба Vasia_pupkin с сетью "0.0.0.0/0" и каким нить пекеджем. И уже в пекедже привязывайте редиректы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 12 марта, 2015 (изменено) · Жалоба Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0 Кто нибудь знает как привязать политики? При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона. Вопрос, кстати, поднимался. Изменено 12 марта, 2015 пользователем tehmeh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 12 марта, 2015 · Жалоба Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0 Кто нибудь знает как привязать политики? При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона. Вопрос, кстати, поднимался. Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 12 марта, 2015 · Жалоба Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI. Быстрое гугление по фразе "cisco sce anonymous-group" привело меня к такому абзацу. После его прочтения, я пришел к выводу, что заблуждался несколько лет на этот счет. Anonymous Groups and Subscriber Templates An anonymous group is a specified IP range, possibly assigned a subscriber template. When an anonymous group is configured, the SCE platform generates anonymous subscribers for that group when it detects traffic with an IP address that is in the specified IP range. If a subscriber template has been assigned to the group, the anonymous subscribers generated have properties as defined by that template. If no subscriber template has been assigned, the default template is used. The SCE platform can support a maximum of 1000 anonymous groups. Subscriber templates are identified by a number from 0-199. Subscriber templates 1-199 are defined in csv formatted subscriber template files. However, template #0 cannot change; it always contains the default values. If an anonymous group is not explicitly assigned a template, the group uses template #0. http://www.cisco.com/en/US/products/ps6134/products_configuration_guide_chapter09186a00808498ac.html#wp1063182 Нашел такую команду show interface LineCard 0 subscriber templates В ней видны, какие крутилки выставлены для шаблона, там есть искомый packageId. Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 12 марта, 2015 · Жалоба Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет. Ага, спасибо за наводки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 10 апреля, 2015 · Жалоба Main-Class: UpdateBlacklists Кто нибудь пользуется скриптом этим? Не выдает exception? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 27 апреля, 2015 · Жалоба Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 27 апреля, 2015 · Жалоба Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой. Мы дёргали, проблем замечено не было (SCE2020). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 28 апреля, 2015 · Жалоба Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой. Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 28 апреля, 2015 · Жалоба Мы дёргали, проблем замечено не было (SCE2020). Благодарю. Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун. Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 28 апреля, 2015 · Жалоба Дык там есть кнопка на нём. Сперва выключаешь БП, потом его снимаешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 28 апреля, 2015 · Жалоба Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном. Вентилятор охлаждения может работать от общей шины. Если у тебя не 2020 как у коллеги, то лучше подстраховаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 30 апреля, 2015 · Жалоба Здравствуйте! Имеется Cisco SCE 2020, софт 4.1.0 К Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 30 апреля, 2015 · Жалоба Господа, может кто подскажет, по какой причине у меня SCE е редиректит русские урлы? для примера такой http://dutch-[cut].nl/ru/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D1%80%D0%B0%D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D0%B5/%D0%9D%D0%BE%D0%B2%D0%B8%D1%87%D0%BE%D0%BA%E2%80%93%D1%81%D0%B0%D0%B4%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA-%D0%92%D1%8B%D1%80%D0%B0%D1%89%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%BC-%D0%B3%D1%80%D1%83%D0%BD%D1%82%D0%B5-%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE/ в мануалах ничего не нашел по этому вопросу, но длина урла играет роль, как выяснилось опытным путем. режу такие длинные, оставляя одно-два слова в начале пути, после них ставлю "*". блокирует нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 30 апреля, 2015 · Жалоба Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется. поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно. ну и смотреть надо, что в "редирект-сете" прописано. а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 30 апреля, 2015 · Жалоба Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется. поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно. ну и смотреть надо, что в "редирект-сете" прописано. а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :) Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 30 апреля, 2015 · Жалоба Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов. не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки. но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 2 мая, 2015 · Жалоба Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов. не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки. но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки. Думаю конфигурацию проще будет отобразить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 2 мая, 2015 · Жалоба Думаю конфигурацию проще будет отобразить. вроде все нормально. зогадко. ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает. если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 2 мая, 2015 · Жалоба Думаю конфигурацию проще будет отобразить. вроде все нормально. зогадко. ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает. если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет ) К стати, я же не полностью все описал. Циска вставлена в стык между ядром Extreme Summit и брасом SE100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 3 мая, 2015 · Жалоба Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется. Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 4 мая, 2015 · Жалоба Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется. Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян. Даже если блокирую только HTTP Browsing нечего не меняется. В таком случае заголовки сайтов пролетают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 11 мая, 2015 · Жалоба Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян. Где это описано? Я не могу нечего найти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 15 мая, 2015 · Жалоба Где это описано? Я не могу нечего найти. Ответ про основы сетей я пропущу. Поищите по форуму по поводу блокировки и разворота трафика на заглушку, с помощью SCE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 28 мая, 2015 · Жалоба Налетай: Flavor для HTTP должен быть FZ139 Zone для HTTPS должен быть FZ139_HTTPS Zone для полной фильтрации по IP должен быть FZ139 Как я понял, ваш скрипт получает с SCE полностью конфиг, очищает и потом заполняет соответствующие разделы, а потом заливает этот конфиг на SCE. По нашему опыту, заливка полного конфига из SCA BB Console приводит фактически к байпасс режиму на время заливки конфига (1-2-3 минуты). Учитывая, что ваш скрипт и SCA BB Console написаны на java, приводит ли работа вашего скрипта к такому же поведению SCE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...