Jump to content
Калькуляторы

Cisco SCE Series Service Control Engine

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

 

А кто мешает сделать одного саба Vasia_pupkin с сетью "0.0.0.0/0" и каким нить пекеджем.

И уже в пекедже привязывайте редиректы.

Share this post


Link to post
Share on other sites

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона.

 

Вопрос, кстати, поднимался.

Edited by tehmeh

Share this post


Link to post
Share on other sites

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

При создании анонимной группы есть ключевое слово template, после которого указывается номер пакета, куда попадут адреса из указанного диапазона.

 

Вопрос, кстати, поднимался.

 

Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI.

Share this post


Link to post
Share on other sites

Нигде "явно" не сказано, что номер тимплейта совпадает с номером пекеджа, или я невнимательно читал. Выяснил это просмотром тимплейтов в CLI.

Быстрое гугление по фразе "cisco sce anonymous-group" привело меня к такому абзацу. После его прочтения, я пришел к выводу, что заблуждался несколько лет на этот счет.

 

Anonymous Groups and Subscriber Templates

 

An anonymous group is a specified IP range, possibly assigned a subscriber template. When an anonymous group is configured, the SCE platform generates anonymous subscribers for that group when it detects traffic with an IP address that is in the specified IP range. If a subscriber template has been assigned to the group, the anonymous subscribers generated have properties as defined by that template. If no subscriber template has been assigned, the default template is used.

 

The SCE platform can support a maximum of 1000 anonymous groups. Subscriber templates are identified by a number from 0-199.

 

Subscriber templates 1-199 are defined in csv formatted subscriber template files. However, template #0 cannot change; it always contains the default values.

 

If an anonymous group is not explicitly assigned a template, the group uses template #0.

 

http://www.cisco.com/en/US/products/ps6134/products_configuration_guide_chapter09186a00808498ac.html#wp1063182

 

 

Нашел такую команду show interface LineCard 0 subscriber templates

В ней видны, какие крутилки выставлены для шаблона, там есть искомый packageId.

 

Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет.

Share this post


Link to post
Share on other sites

Хотя pre-defined шаблоны идут один в один для номера пакета. Поэтому, если использовать номера до 199, проблем не будет.

 

Ага, спасибо за наводки.

Share this post


Link to post
Share on other sites

 

Main-Class: UpdateBlacklists

 

Кто нибудь пользуется скриптом этим? Не выдает exception?

Share this post


Link to post
Share on other sites

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

Share this post


Link to post
Share on other sites

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

Мы дёргали, проблем замечено не было (SCE2020).

Share this post


Link to post
Share on other sites

Братцы, подскажите, можно ли на горячую из SCE дернуть второй (неподключенный) блок питания? Пришла вторая коробка без блоков, хочу временно поюзать резерв первой.

 

Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун.

Share this post


Link to post
Share on other sites

Мы дёргали, проблем замечено не было (SCE2020).

Благодарю.

Лучше почитай доки. В блоках питания еще есть вентиляторы, которые могут крутиться и одним источником. Например на роутерах ASR такая система. И если больше пяти минут нет даже неподключеного блока питания он уходит в шатдаун.

Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном.

Share this post


Link to post
Share on other sites

Дык там есть кнопка на нём. Сперва выключаешь БП, потом его снимаешь.

Share this post


Link to post
Share on other sites

Доки курю по возможности. Второй блок питания вообще сейчас не запитан, коробка работает полностью на одном.

 

Вентилятор охлаждения может работать от общей шины. Если у тебя не 2020 как у коллеги, то лучше подстраховаться.

Share this post


Link to post
Share on other sites

Здравствуйте!

 

Имеется Cisco SCE 2020, софт 4.1.0

К

 

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

0a5334420a63.jpg

2c058db67876.jpg

f30dc393ede5.jpg

f5f3ab167e3e.jpg

Share this post


Link to post
Share on other sites

Господа, может кто подскажет, по какой причине у меня SCE е редиректит русские урлы?

 

для примера такой

 

http://dutch-[cut].nl/ru/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D1%80%D0%B0%D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D0%B5/%D0%9D%D0%BE%D0%B2%D0%B8%D1%87%D0%BE%D0%BA%E2%80%93%D1%81%D0%B0%D0%B4%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA-%D0%92%D1%8B%D1%80%D0%B0%D1%89%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%BC-%D0%B3%D1%80%D1%83%D0%BD%D1%82%D0%B5-%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE/

в мануалах ничего не нашел по этому вопросу, но длина урла играет роль, как выяснилось опытным путем.

режу такие длинные, оставляя одно-два слова в начале пути, после них ставлю "*". блокирует нормально.

Share this post


Link to post
Share on other sites

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно.

ну и смотреть надо, что в "редирект-сете" прописано.

 

а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :)

Share this post


Link to post
Share on other sites

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

поставьте "frequency" не "Until...", а "Always". мне кажется, это более правильно.

ну и смотреть надо, что в "редирект-сете" прописано.

 

а пинговаться сайт должен, это нормально. у вас же идет перехват http запросов, а не icmp :)

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

Share this post


Link to post
Share on other sites

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки.

но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки.

Share this post


Link to post
Share on other sites

Пробывал и Always. Блокировка идет всех пакетов, если поставить только http, циска пропускает заголовки сайтов.

не совсем понял, где вы ставите "только http" или "все пакеты". думаю, у нас разные методы блокировки.

но вообще хочется увидеть редирект-сет, т.к. скорей всего там собака порылась, и причем в разрешении побольше, чем предыдущие картинки.

Думаю конфигурацию проще будет отобразить.

Share this post


Link to post
Share on other sites

Думаю конфигурацию проще будет отобразить.

вроде все нормально. зогадко.

ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает.

если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет )

Share this post


Link to post
Share on other sites

Думаю конфигурацию проще будет отобразить.

вроде все нормально. зогадко.

ну я бы еще снифером поглядел на подопытном компе, какой/куда трафик бегает.

если доеду на днях до подопытной 2020, попробую в нее залить этот конфиг, посмотрю, чо будет )

К стати, я же не полностью все описал. Циска вставлена в стык между ядром Extreme Summit и брасом SE100.

 

ebd03d9d49cat.jpg

Share this post


Link to post
Share on other sites

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Share this post


Link to post
Share on other sites

Возникла проблема с редиректом при заходе на заблокированный сайт. Абоненты кинуты в пакедж, на него создан отдельный полиси лист. При заходе на заблокированный сайт не пускает, но и редирект не производиться. И еще проблема в том, что сайт все равно пингуется.

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Даже если блокирую только HTTP Browsing нечего не меняется. В таком случае заголовки сайтов пролетают.

Share this post


Link to post
Share on other sites

Для того чтобы отловить GET, нужно пропустить -> SYN, <- SYN ACK. Если всё заблокали, то как вы отловите GET? По-моему это уже старый баян.

Где это описано? Я не могу нечего найти.

Share this post


Link to post
Share on other sites

Где это описано? Я не могу нечего найти.

Ответ про основы сетей я пропущу. Поищите по форуму по поводу блокировки и разворота трафика на заглушку, с помощью SCE.

Share this post


Link to post
Share on other sites

Налетай:

Flavor для HTTP должен быть FZ139

Zone для HTTPS должен быть FZ139_HTTPS

Zone для полной фильтрации по IP должен быть FZ139

Как я понял, ваш скрипт получает с SCE полностью конфиг, очищает и потом заполняет соответствующие разделы, а потом заливает этот конфиг на SCE. По нашему опыту, заливка полного конфига из SCA BB Console приводит фактически к байпасс режиму на время заливки конфига (1-2-3 минуты). Учитывая, что ваш скрипт и SCA BB Console написаны на java, приводит ли работа вашего скрипта к такому же поведению SCE?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this