avvvm Опубликовано 20 октября, 2011 · Жалоба Возник следующий вопрос при использовании технологии Cisco ISG: возможно ли разрешить входящий трафик до авторизации клиента? Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address). Ситуация, наверное, редкая, но может принести неудобства клиенту, например, если он разместил web-сервер, который не генерирует посторонний трафик. И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет. Заранее благодарен за любые советы и варианты решения проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 20 октября, 2011 · Жалоба Какое отношение имеет PPPoE к вопросу о IP сессиях? Используйте статические IP сессии, они авторизуются сразу после конфигурирования и не зависят от клиентского трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 20 октября, 2011 · Жалоба 1) В новых версиях софта есть возможность создавать статические сессии =) 2) Также можно просто сделать spoof-пакет Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avvvm Опубликовано 20 октября, 2011 · Жалоба pppoe - это тот же ip трафик без туннелирования, разница лишь в способе обработки трафика маршрутизатором Cisco. Это не ключевой момент, если по другому - на клиентском интерфейсе Cisco ISG авторизует клиента по ip пакету, сеть маршрутизируемая (ip subscriber routed). Статические сессии не подходят из-за вопросов балансировки нагрузки между маршрутизаторами и резервирования маршрутизаторов Cisco ISG. Сессии авторизуются через radius. 1) В новых версиях софта есть возможность создавать статические сессии =) Статика это крайний вариант. 2) Также можно просто сделать spoof-пакет Каким образом? Можно поподробнее... Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =) Трафик не от клиента, а к клиенту. Как написал ранее - возможно это вэб-сервер, который без запроса на 80 порт трафик не генерирует. Или любой другой вариант... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avvvm Опубликовано 20 октября, 2011 · Жалоба Извиняюсь за PPPoE, конечно же IPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 20 октября, 2011 · Жалоба Самым простым вариантом вариантом, конечно, будет клиенту со своей стороны периодически, скажем каждый idle timeout-n посылать icmp куда-нибудь. Не предназначен ISG для таких клиентов, либо статика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 20 октября, 2011 · Жалоба такой молчащий хост... даже современные дистрибутивы linux порождают столько мусора или "служебного трафика" сколько Винда с её netbios/ssdp/прочий мусор иногда не делает. p.s. достаточно запустить синхронизацию времени каждый Idle-timeout. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avvvm Опубликовано 24 октября, 2011 · Жалоба Вот пример такого "молчащего" хоста - вэб-камера. Как тогда быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 24 октября, 2011 · Жалоба И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет. Присоединяюсь к топикстартеру, этот же вопрос интересует тоже (как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое) В софтовом lISG все решается просто, добавлением одной строчки "-j ISG --session-init --init-mode dst" Но пришло время искать "железное" решение для ISG, а не софтовое... Пойду отправлюсь в поиск по форуму) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avvvm Опубликовано 24 октября, 2011 (изменено) · Жалоба Да, в названии темы ошибка. По прежнему занимаюсь поисками решения, если решите проблему - отпишитесь в теме, буду признателен... Изменено 24 октября, 2011 пользователем avvvm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 24 октября, 2011 · Жалоба ip subscriber list MYLIST ip source a.b.c.d ip source a.b.c.e ip source a.b.c.f ip source a.b.c.g ip source a.b.c.h ip source a.b.c.j ! interface GigabitEthernetX/Y/Z.NNN encapsulation dot1Q NNN ip address *.*.*.* *.*.*.* ip subscriber routed initiator static ip subscriber list MYLIST Чем не нравится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 24 октября, 2011 · Жалоба Спасибо, Bambuk, видимо это действительно единственный выход Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...