Перейти к содержимому
Калькуляторы

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

 

А кто мешает сделать одного саба Vasia_pupkin с сетью "0.0.0.0/0" и каким нить пекеджем.

И уже в пекедже привязывайте редиректы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона.

 

Вопрос, кстати, поднимался.

Изменено пользователем tehmeh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона.

 

Вопрос, кстати, поднимался.

 

Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI.

Быстрое гугление по фразе "cisco sce anonymous-group" привело меня к такому абзацу. После его прочтения, я пришел к выводу, что заблуждался несколько лет на этот счет.

 

Anonymous Groups and Subscriber Templates

 

An anonymous group is a specified IP range, possibly assigned a subscriber template. When an anonymous group is configured, the SCE platform generates anonymous subscribers for that group when it detects traffic with an IP address that is in the specified IP range. If a subscriber template has been assigned to the group, the anonymous subscribers generated have properties as defined by that template. If no subscriber template has been assigned, the default template is used.

 

The SCE platform can support a maximum of 1000 anonymous groups. Subscriber templates are identified by a number from 0-199.

 

Subscriber templates 1-199 are defined in csv formatted subscriber template files. However, template #0 cannot change; it always contains the default values.

 

If an anonymous group is not explicitly assigned a template, the group uses template #0.

 

http://www.cisco.com/en/US/products/ps6134/products_configuration_guide_chapter09186a00808498ac.html#wp1063182

 

 

Нашел такую команду show interface LineCard 0 subscriber templates

В ней видны, какие крутилки выставлены для шаблона, там есть искомый packageId.

 

Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет.

 

Ага, спасибо за наводки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Main-Class: UpdateBlacklists

 

Кто нибудь пользуется скриптом этим? Не выдает exception?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

Мы дёргали, проблем замечено не было (SCE2020).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

 

Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы дёргали, проблем замечено не было (SCE2020).

Благодарю.

Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун.

Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык там есть кнопка на нём. Сперва выключаешь БП, потом его снимаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном.

 

Вентилятор охлаждения может работать от общей шины. Если у тебя не 2020 как у коллеги, то лучше подстраховаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

 

Имеется Cisco SCE 2020, софт 4.1.0

К

 

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

0a5334420a63.jpg

2c058db67876.jpg

f30dc393ede5.jpg

f5f3ab167e3e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, может кто подскажет, по какой причине у меня SCE е редиректит русские урлы?

 

для примера такой

 

http://dutch-[cut].nl/ru/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D1%80%D0%B0%D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D0%B5/%D0%9D%D0%BE%D0%B2%D0%B8%D1%87%D0%BE%D0%BA%E2%80%93%D1%81%D0%B0%D0%B4%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA-%D0%92%D1%8B%D1%80%D0%B0%D1%89%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%BC-%D0%B3%D1%80%D1%83%D0%BD%D1%82%D0%B5-%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE/

в мануалах ничего не нашел по этому вопросу, но длина урла играет роль, как выяснилось опытным путем.

режу такие длинные, оставляя одно-два слова в начале пути, после них ставлю "*". блокирует нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно.

ну и смотреть надо, что в "редирект-сете" прописано.

 

а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно.

ну и смотреть надо, что в "редирект-сете" прописано.

 

а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :)

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки.

но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки.

но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки.

Думаю конфигурацию проще будет отобразить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю конфигурацию проще будет отобразить.

вроде все нормально. зогадко.

ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает.

если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю конфигурацию проще будет отобразить.

вроде все нормально. зогадко.

ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает.

если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет )

К стати, я же не полностью все описал. Циска вставлена в стык между ядром Extreme Summit и брасом SE100.

 

ebd03d9d49cat.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Даже если блокирую только HTTP Browsing нечего не меняется. В таком случае заголовки сайтов пролетают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Где это описано? Я не могу нечего найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Где это описано? Я не могу нечего найти.

Ответ про основы сетей я пропущу. Поищите по форуму по поводу блокировки и разворота трафика на заглушку, с помощью SCE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Налетай:

Flavor для HTTP должен быть FZ139

Zone для HTTPS должен быть FZ139_HTTPS

Zone для полной фильтрации по IP должен быть FZ139

Как я понял, ваш скрипт получает с SCE полностью конфиг, очищает и потом заполняет соответствующие разделы, а потом заливает этот конфиг на SCE. По нашему опыту, заливка полного конфига из SCA BB Console приводит фактически к байпасс режиму на время заливки конфига (1-2-3 минуты). Учитывая, что ваш скрипт и SCA BB Console написаны на java, приводит ли работа вашего скрипта к такому же поведению SCE?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.