Jump to content
Калькуляторы

Cisco ISG авторизация сессии PPPoE на Cisco ISG

Возник следующий вопрос при использовании технологии Cisco ISG: возможно ли разрешить входящий трафик до авторизации клиента?

Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).

 

Ситуация, наверное, редкая, но может принести неудобства клиенту, например, если он разместил web-сервер, который не генерирует посторонний трафик. И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.

 

Заранее благодарен за любые советы и варианты решения проблемы.

Share this post


Link to post
Share on other sites

Какое отношение имеет PPPoE к вопросу о IP сессиях?

Используйте статические IP сессии, они авторизуются сразу после конфигурирования и не зависят от клиентского трафика.

Share this post


Link to post
Share on other sites

1) В новых версиях софта есть возможность создавать статические сессии =)

2) Также можно просто сделать spoof-пакет

 

Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =)

Share this post


Link to post
Share on other sites

pppoe - это тот же ip трафик без туннелирования, разница лишь в способе обработки трафика маршрутизатором Cisco. Это не ключевой момент, если по другому - на клиентском интерфейсе Cisco ISG авторизует клиента по ip пакету, сеть маршрутизируемая (ip subscriber routed).

 

Статические сессии не подходят из-за вопросов балансировки нагрузки между маршрутизаторами и резервирования маршрутизаторов Cisco ISG. Сессии авторизуются через radius.

 

1) В новых версиях софта есть возможность создавать статические сессии =)

Статика это крайний вариант.

 

2) Также можно просто сделать spoof-пакет

Каким образом? Можно поподробнее...

 

Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =)

Трафик не от клиента, а к клиенту. Как написал ранее - возможно это вэб-сервер, который без запроса на 80 порт трафик не генерирует. Или любой другой вариант...

Share this post


Link to post
Share on other sites

Самым простым вариантом вариантом, конечно, будет клиенту со своей стороны периодически, скажем каждый idle timeout-n посылать icmp куда-нибудь. Не предназначен ISG для таких клиентов, либо статика.

Share this post


Link to post
Share on other sites

такой молчащий хост...

даже современные дистрибутивы linux порождают столько мусора или "служебного трафика" сколько Винда с её netbios/ssdp/прочий мусор иногда не делает.

p.s. достаточно запустить синхронизацию времени каждый Idle-timeout.

Share this post


Link to post
Share on other sites

Вот пример такого "молчащего" хоста - вэб-камера. Как тогда быть?

Share this post


Link to post
Share on other sites

И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.

Присоединяюсь к топикстартеру, этот же вопрос интересует тоже

(как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое)

В софтовом lISG все решается просто, добавлением одной строчки

"-j ISG --session-init --init-mode dst"

Но пришло время искать "железное" решение для ISG, а не софтовое...

Пойду отправлюсь в поиск по форуму)

Share this post


Link to post
Share on other sites

Да, в названии темы ошибка. По прежнему занимаюсь поисками решения, если решите проблему - отпишитесь в теме, буду признателен...

Edited by avvvm

Share this post


Link to post
Share on other sites

ip subscriber list MYLIST

ip source a.b.c.d

ip source a.b.c.e

ip source a.b.c.f

ip source a.b.c.g

ip source a.b.c.h

ip source a.b.c.j

!

interface GigabitEthernetX/Y/Z.NNN

encapsulation dot1Q NNN

ip address *.*.*.* *.*.*.*

ip subscriber routed

initiator static ip subscriber list MYLIST

 

Чем не нравится?

Share this post


Link to post
Share on other sites

Спасибо, Bambuk,

видимо это действительно единственный выход

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this