Jump to content

Cisco SCE блокировка неизвестных subscriber'ов

jama
 Share

Recommended Posts

jama

jama

Posted
Posted (edited)

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

icmp-запросы тоже каждый 5-й проходят

 

есть ли возможность полностью запретить хождение и установление сессий?

 

Edited by jama
ilgizk

ilgizk

Posted
Posted

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

ilgizk

ilgizk

Posted
Posted

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

Хм, это пожалуй повод открыть кейс в Cisco TAC.

jama

jama

Posted
  • Author
Posted
Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

вот в этом то и проблема...

очень не хочется еще один мега-ACL городить

shicoy

shicoy

Posted
Posted
Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек
Хм, это пожалуй повод открыть кейс в Cisco TAC.

Ну у кого есть доступ в TAC открывайте.
  • 1 year later...
  • 8 months later...
Иванов Денис

Иванов Денис

Posted
Posted

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

flow

flow

Posted
Posted (edited)

если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит

а если торрент запустить - то вообще жуть

есть ли возможность полностью запретить хождение и установление сессий?

Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :)

Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек

В 3.7.2 все по прежнему осталось?

Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у.

 

На ум пришло два способа:

1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout).

2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package.

 

Коллеги, пожалуйста подскажите, какой способ используете Вы.

 

P.S.> У нас 3.8.0

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

Edited by flow
pronix

pronix

Posted
Posted (edited)

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался? Edited by pronix
MATPOC

MATPOC

Posted
Posted

Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты.

sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался?

Да, мы тоже так и не можем победить блокирование трафика для "заблокированного" клиента. SCE 8000 v.3.7.2. Перепробовали много вариантов, в том числе и озвученные здесь. Пока вынуждены добавлять блокирующее конкретный IP правило в ACL на пограничном маршрутизаторе.

pronix

pronix

Posted
Posted

Все дело в протокол-паке(последний 32 с такой же проблемой). Ответ TAC:

"SCE performs classification before blocking. The latest signature for skype was introduced in PP28 (PP31 also includes it) and this is for skype version 5.8. Version beyond 5.8 is not officially supported by SCE. Please see more details below and let me know if you have any questions. http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/02_internet.html#wp1161445

"

  • 2 weeks later...
Иванов Денис

Иванов Денис

Posted
Posted

Решил поэкспериментировать на офисной сети...

 

Попробовал сделать:

В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule

Сработало как должно, но произошла парадоксальная ситуация:

Аппаратные SIP телефоны, которые "попали" в Unknown Subscriber Package, как и нужно было отключились,

но после того как убрал Block the Flow из Unknown Subscriber Package, аппаратные телефоны не подключаются к АТС (Asterisk), но программные (Twinkle и т.п.) работают.

Перезагрузка телефона не помогает, а когда телефоны пытаются подключиться к АТС, на ней не видно пакетов от телефонов.

Если отключить телефон из RJ45 розетки, и подключить в неё ПК с IP адресом телефона, то АТС пингуется, и на ней видно пакеты.

Как бы смешно не звучало, но после такой нехитрой процедуры (подключение ПК вместо телефона и пингование АТС), если вернуть телефон на место, то он начинает работать. :)

 

Я один такой везучий? :)

 

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Иванов Денис

Иванов Денис

Posted
Posted

Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они.

Воспроизвёл - телефоны отключились. Убрал SCE - телефоны тут же заработали. :(

pronix

pronix

Posted
Posted

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Иванов Денис

Иванов Денис

Posted
Posted

Так и не разобрался, почему после блокировки и разблокировки подписчика, у последнего не хочет работать SIP телефония.

Поэтому создал отдельную тему - http://forum.nag.ru/forum/index.php?showtopic=82567

  • 11 months later...
Dimic

Dimic

Posted
Posted (edited)

По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки.

Сори за некропостинг, но спасибо вам, помогло. Были ли после этого какие-то подводные камни?

 

Upd. Начал гнать редирект: не всегда перенаправляет пользователя при открытии какой-либо страницы, редиректит при обновлении страницы. Повешал редирект на Default Rule, помогло.

Edited by Dimic

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.