The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вопрос по специфике работы Cisco ISG."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Вопрос по специфике работы Cisco ISG."  +/
Сообщение от Mom14 email(ok) on 26-Окт-11, 15:45 
    Доброго времени суток!
  У меня вопрос, возможно уже озвученный кем-то, но похоже так никем и не решённый.
Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).
  Может быть у кого есть мысли , как можно обойти эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, который сам не генерирует трафик, и соответственно, не может поднять сесию?
  
  Заранее спасибо за идеи ;)
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от anonymous (??) on 26-Окт-11, 16:04 
>[оверквотинг удален]
> Суть проблемы в том, что сессия для клиента будет создана при обнаружении
> пакета, не принадлежащего ни одной активной IP сессии. Но если такого
> пакета не было - сессия не создана, все пакеты со стороны
> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
> сессию может только пакет от клиента, в качестве идентификатора/username используется
> source ip address).
>   Может быть у кого есть мысли , как можно обойти
> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>   Заранее спасибо за идеи ;)

ping в cron поставить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от Mom14 (ok) on 26-Окт-11, 21:53 
>[оверквотинг удален]
>> пакета, не принадлежащего ни одной активной IP сессии. Но если такого
>> пакета не было - сессия не создана, все пакеты со стороны
>> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
>> сессию может только пакет от клиента, в качестве идентификатора/username используется
>> source ip address).
>>   Может быть у кого есть мысли , как можно обойти
>> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
>> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>>   Заранее спасибо за идеи ;)
> ping в cron поставить.

Пяти тысячам абонентов крон не настроишь...  да и не всё умеет по скрипту пингать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от anonymous (??) on 27-Окт-11, 10:22 
>[оверквотинг удален]
>>> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
>>> сессию может только пакет от клиента, в качестве идентификатора/username используется
>>> source ip address).
>>>   Может быть у кого есть мысли , как можно обойти
>>> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
>>> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>>>   Заранее спасибо за идеи ;)
>> ping в cron поставить.
> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
> по скрипту пингать.

Я как-то из первого поста сделал вывод, что речь идет об одном вполне конкретном узле сети.
Если речь о пяти тысячах абонентов, то их надо об этой особенности предупредить письмом до перевода на новую технологию. У нас в компании делали так. Конечно, без проблем не обошлось...
Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще поискать.
5К абонентов, а трафик какой?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от kostya_from_berdsk on 27-Окт-11, 13:04 
>[оверквотинг удален]
>> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
>> по скрипту пингать.
> Я как-то из первого поста сделал вывод, что речь идет об одном
> вполне конкретном узле сети.
> Если речь о пяти тысячах абонентов, то их надо об этой особенности
> предупредить письмом до перевода на новую технологию. У нас в компании
> делали так. Конечно, без проблем не обошлось...
> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
> поискать.
> 5К абонентов, а трафик какой?

Для открытия сессии необходим один пакет от "source ip address".  
Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного администрирования,
то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера.

*/5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT  IP_INTERNET > /dev/null 2>&1

Всем такая пиговалка не нужна, только тем кто попросит :-)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от Mom14 email(ok) on 28-Окт-11, 11:19 
>[оверквотинг удален]
>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>> поискать.
>> 5К абонентов, а трафик какой?
> Для открытия сессии необходим один пакет от "source ip address".
> Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного
> администрирования,
> то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера.
> */5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT  
> IP_INTERNET > /dev/null 2>&1
> Всем такая пиговалка не нужна, только тем кто попросит :-)

Да, идея с пингалкой не плоха, если подвергнуть её некоторой автоматизации. Об этом я думал, и видимо, буду двигаться в этом направлении, если не придумаю ничего лучше. Просто хотелость не искать хитростей, и сделать это штатными средствами ISG...
Как вариант, были мысли выдавать радиусом таким людям Session-Timeout=10 лет:) , но всё как-то не красиво получается.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от Mom14 email(ok) on 28-Окт-11, 11:11 
>[оверквотинг удален]
>> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
>> по скрипту пингать.
> Я как-то из первого поста сделал вывод, что речь идет об одном
> вполне конкретном узле сети.
> Если речь о пяти тысячах абонентов, то их надо об этой особенности
> предупредить письмом до перевода на новую технологию. У нас в компании
> делали так. Конечно, без проблем не обошлось...
> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
> поискать.
> 5К абонентов, а трафик какой?

Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в среднем 80Мбит/с.
Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, от которой трафик только по запросу, то приходится думать за себя и за того парня... )

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от anonymous (??) on 19-Ноя-11, 10:30 
>[оверквотинг удален]
>> предупредить письмом до перевода на новую технологию. У нас в компании
>> делали так. Конечно, без проблем не обошлось...
>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>> поискать.
>> 5К абонентов, а трафик какой?
> Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в
> среднем 80Мбит/с.
> Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция,
> от которой трафик только по запросу, то приходится думать за себя
> и за того парня... )

А статик листы для таких пробовали?
Вместо идеи с пинговалкой.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Вопрос по специфике работы Cisco ISG."  +/
Сообщение от Mom14 email(ok) on 21-Ноя-11, 11:44 
>[оверквотинг удален]
>>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>>> поискать.
>>> 5К абонентов, а трафик какой?
>> Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в
>> среднем 80Мбит/с.
>> Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция,
>> от которой трафик только по запросу, то приходится думать за себя
>> и за того парня... )
> А статик листы для таких пробовали?
> Вместо идеи с пинговалкой.

Да, были мысли на счёт статик листов...  К сожалению IOS c7200p-advipservicesk9_li-mz.122-33.SRD3.bin на  Cisco 7206 не поддерживает статик листы :(
Скоро придёт на смену ASR 1002, там вроде бы так можно.
Но, в любом случае, статик лист должен динамически правиться, а для этого нужен ещё костыль :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру