Перейти к содержимому
Калькуляторы

Cisco SCE блокировка неизвестных subscriber'ов возможно ли?

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

icmp-запросы тоже каждый 5-й проходят

 

есть ли возможность полностью запретить хождение и установление сессий?

 

Изменено пользователем jama

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

Хм, это пожалуй повод открыть кейс в Cisco TAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

вот в этом то и проблема...

очень не хочется еще один мега-ACL городить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек
Хм, это пожалуй повод открыть кейс в Cisco TAC.

Ну у кого есть доступ в TAC открывайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 3.7.2 все по прежнему осталось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

Изменено пользователем flow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

flow, благодарю! Надеюсь, еще кто-нибудь поделится своими методами "включения/выключения Интернета" subscriber'ам. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался?
Изменено пользователем pronix

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался?

Да, мы тоже так и не можем победить блокирование трафика для "заблокированного" клиента. SCE 8000 v.3.7.2. Перепробовали много вариантов, в том числе и озвученные здесь. Пока вынуждены добавлять блокирующее конкретный IP правило в ACL на пограничном маршрутизаторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все дело в протокол-паке(последний 32 с такой же проблемой). Ответ TAC:

"SCE performs classification before blocking. The latest signature for skype was introduced in PP28 (PP31 also includes it) and this is for skype version 5.8. Version beyond 5.8 is not officially supported by SCE. Please see more details below and let me know if you have any questions. http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/02_internet.html#wp1161445

"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решил поэкспериментировать на офисной сети...

 

Попробовал сделать:

В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule

Сработало как должно, но произошла парадоксальная ситуация:

Аппаратные SIP телефоны, которые "попали" в Unknown Subscriber Package, как и нужно было отключились,

но после того как убрал Block the Flow из Unknown Subscriber Package, аппаратные телефоны не подключаются к АТС (Asterisk), но программные (Twinkle и т.п.) работают.

Перезагрузка телефона не помогает, а когда телефоны пытаются подключиться к АТС, на ней не видно пакетов от телефонов.

Если отключить телефон из RJ45 розетки, и подключить в неё ПК с IP адресом телефона, то АТС пингуется, и на ней видно пакеты.

Как бы смешно не звучало, но после такой нехитрой процедуры (подключение ПК вместо телефона и пингование АТС), если вернуть телефон на место, то он начинает работать. :)

 

Я один такой везучий? :)

 

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Воспроизвёл - телефоны отключились. Убрал SCE - телефоны тут же заработали. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и не разобрался, почему после блокировки и разблокировки подписчика, у последнего не хочет работать SIP телефония.

Поэтому создал отдельную тему - http://forum.nag.ru/forum/index.php?showtopic=82567

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Сори за некропостинг, но спасибо вам, помогло. Были ли после этого какие-то подводные камни?

 

Upd. Начал гнать редирект: не всегда перенаправляет пользователя при открытии какой-либо страницы, редиректит при обновлении страницы. Повешал редирект на Default Rule, помогло.

Изменено пользователем Dimic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.