Jump to content
Калькуляторы

Cisco SCE блокировка неизвестных subscriber'ов возможно ли?

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

icmp-запросы тоже каждый 5-й проходят

 

есть ли возможность полностью запретить хождение и установление сессий?

 

Edited by jama

Share this post


Link to post
Share on other sites

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Share this post


Link to post
Share on other sites

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

Share this post


Link to post
Share on other sites

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

Хм, это пожалуй повод открыть кейс в Cisco TAC.

Share this post


Link to post
Share on other sites
Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

вот в этом то и проблема...

очень не хочется еще один мега-ACL городить

Share this post


Link to post
Share on other sites
Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек
Хм, это пожалуй повод открыть кейс в Cisco TAC.

Ну у кого есть доступ в TAC открывайте.

Share this post


Link to post
Share on other sites

В 3.7.2 все по прежнему осталось?

Share this post


Link to post
Share on other sites

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

Share this post


Link to post
Share on other sites

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

Edited by flow

Share this post


Link to post
Share on other sites

flow, благодарю! Надеюсь, еще кто-нибудь поделится своими методами "включения/выключения Интернета" subscriber'ам. :)

Share this post


Link to post
Share on other sites

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался?
Edited by pronix

Share this post


Link to post
Share on other sites

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался?

Да, мы тоже так и не можем победить блокирование трафика для "заблокированного" клиента. SCE 8000 v.3.7.2. Перепробовали много вариантов, в том числе и озвученные здесь. Пока вынуждены добавлять блокирующее конкретный IP правило в ACL на пограничном маршрутизаторе.

Share this post


Link to post
Share on other sites

Все дело в протокол-паке(последний 32 с такой же проблемой). Ответ TAC:

"SCE performs classification before blocking. The latest signature for skype was introduced in PP28 (PP31 also includes it) and this is for skype version 5.8. Version beyond 5.8 is not officially supported by SCE. Please see more details below and let me know if you have any questions. http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/02_internet.html#wp1161445

"

Share this post


Link to post
Share on other sites

Решил поэкспериментировать на офисной сети...

 

Попробовал сделать:

В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule

Сработало как должно, но произошла парадоксальная ситуация:

Аппаратные SIP телефоны, которые "попали" в Unknown Subscriber Package, как и нужно было отключились,

но после того как убрал Block the Flow из Unknown Subscriber Package, аппаратные телефоны не подключаются к АТС (Asterisk), но программные (Twinkle и т.п.) работают.

Перезагрузка телефона не помогает, а когда телефоны пытаются подключиться к АТС, на ней не видно пакетов от телефонов.

Если отключить телефон из RJ45 розетки, и подключить в неё ПК с IP адресом телефона, то АТС пингуется, и на ней видно пакеты.

Как бы смешно не звучало, но после такой нехитрой процедуры (подключение ПК вместо телефона и пингование АТС), если вернуть телефон на место, то он начинает работать. :)

 

Я один такой везучий? :)

 

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Share this post


Link to post
Share on other sites

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Воспроизвёл - телефоны отключились. Убрал SCE - телефоны тут же заработали. :(

Share this post


Link to post
Share on other sites

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Share this post


Link to post
Share on other sites

Так и не разобрался, почему после блокировки и разблокировки подписчика, у последнего не хочет работать SIP телефония.

Поэтому создал отдельную тему - http://forum.nag.ru/forum/index.php?showtopic=82567

Share this post


Link to post
Share on other sites

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Сори за некропостинг, но спасибо вам, помогло. Были ли после этого какие-то подводные камни?

 

Upd. Начал гнать редирект: не всегда перенаправляет пользователя при открытии какой-либо страницы, редиректит при обновлении страницы. Повешал редирект на Default Rule, помогло.

Edited by Dimic

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this