[avvvm]

Возник следующий вопрос при использовании технологии Cisco ISG: возможно ли разрешить входящий трафик до авторизации клиента?

Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).

 

Ситуация, наверное, редкая, но может принести неудобства клиенту, например, если он разместил web-сервер, который не генерирует посторонний трафик. И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.

 

Заранее благодарен за любые советы и варианты решения проблемы.

[Bambuk]

Какое отношение имеет PPPoE к вопросу о IP сессиях?

Используйте статические IP сессии, они авторизуются сразу после конфигурирования и не зависят от клиентского трафика.

[triam]

1) В новых версиях софта есть возможность создавать статические сессии =)

2) Также можно просто сделать spoof-пакет

 

Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =)

[avvvm]

pppoe - это тот же ip трафик без туннелирования, разница лишь в способе обработки трафика маршрутизатором Cisco. Это не ключевой момент, если по другому - на клиентском интерфейсе Cisco ISG авторизует клиента по ip пакету, сеть маршрутизируемая (ip subscriber routed).

 

Статические сессии не подходят из-за вопросов балансировки нагрузки между маршрутизаторами и резервирования маршрутизаторов Cisco ISG. Сессии авторизуются через radius.

 

1) В новых версиях софта есть возможность создавать статические сессии =)

Статика это крайний вариант.

 

2) Также можно просто сделать spoof-пакет

Каким образом? Можно поподробнее...

 

Но конечно смысл ISG как раз в том, чтобы дропать трафик от неавторизированных клиентов =)

Трафик не от клиента, а к клиенту. Как написал ранее - возможно это вэб-сервер, который без запроса на 80 порт трафик не генерирует. Или любой другой вариант...

[avvvm]

Извиняюсь за PPPoE, конечно же IPoE.

[John_obn]

Самым простым вариантом вариантом, конечно, будет клиенту со своей стороны периодически, скажем каждый idle timeout-n посылать icmp куда-нибудь. Не предназначен ISG для таких клиентов, либо статика.

[ingress]

такой молчащий хост...

даже современные дистрибутивы linux порождают столько мусора или "служебного трафика" сколько Винда с её netbios/ssdp/прочий мусор иногда не делает.

p.s. достаточно запустить синхронизацию времени каждый Idle-timeout.

[avvvm]

Вот пример такого "молчащего" хоста - вэб-камера. Как тогда быть?

[C@T]

И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.

Присоединяюсь к топикстартеру, этот же вопрос интересует тоже

(как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое)

В софтовом lISG все решается просто, добавлением одной строчки

"-j ISG --session-init --init-mode dst"

Но пришло время искать "железное" решение для ISG, а не софтовое...

Пойду отправлюсь в поиск по форуму)

[avvvm]

Да, в названии темы ошибка. По прежнему занимаюсь поисками решения, если решите проблему - отпишитесь в теме, буду признателен...

Изменено 24 октября, 2011 пользователем avvvm

[Bambuk]

ip subscriber list MYLIST

ip source a.b.c.d

ip source a.b.c.e

ip source a.b.c.f

ip source a.b.c.g

ip source a.b.c.h

ip source a.b.c.j

!

interface GigabitEthernetX/Y/Z.NNN

encapsulation dot1Q NNN

ip address *.*.*.* *.*.*.*

ip subscriber routed

initiator static ip subscriber list MYLIST

 

Чем не нравится?

[C@T]

Спасибо, Bambuk,

видимо это действительно единственный выход