форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по специфике работы Cisco ISG."	+/–
Сообщение от Mom14 (ok) on 26-Окт-11, 15:45
Доброго времени суток!   У меня вопрос, возможно уже озвученный кем-то, но похоже так никем и не решённый. Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).   Может быть у кого есть мысли , как можно обойти эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, который сам не генерирует трафик, и соответственно, не может поднять сесию?      Заранее спасибо за идеи ;)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по специфике работы Cisco ISG."	+/–
Сообщение от anonymous (??) on 26-Окт-11, 16:04
>[оверквотинг удален] > Суть проблемы в том, что сессия для клиента будет создана при обнаружении > пакета, не принадлежащего ни одной активной IP сессии. Но если такого > пакета не было - сессия не создана, все пакеты со стороны > внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать > сессию может только пакет от клиента, в качестве идентификатора/username используется > source ip address). >   Может быть у кого есть мысли , как можно обойти > эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, > который сам не генерирует трафик, и соответственно, не может поднять сесию? >   Заранее спасибо за идеи ;) ping в cron поставить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от Mom14 (ok) on 26-Окт-11, 21:53
	>[оверквотинг удален] >> пакета, не принадлежащего ни одной активной IP сессии. Но если такого >> пакета не было - сессия не создана, все пакеты со стороны >> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать >> сессию может только пакет от клиента, в качестве идентификатора/username используется >> source ip address). >>   Может быть у кого есть мысли , как можно обойти >> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, >> который сам не генерирует трафик, и соответственно, не может поднять сесию? >>   Заранее спасибо за идеи ;) > ping в cron поставить. Пяти тысячам абонентов крон не настроишь...  да и не всё умеет по скрипту пингать.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от anonymous (??) on 27-Окт-11, 10:22
	>[оверквотинг удален] >>> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать >>> сессию может только пакет от клиента, в качестве идентификатора/username используется >>> source ip address). >>>   Может быть у кого есть мысли , как можно обойти >>> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, >>> который сам не генерирует трафик, и соответственно, не может поднять сесию? >>>   Заранее спасибо за идеи ;) >> ping в cron поставить. > Пяти тысячам абонентов крон не настроишь...  да и не всё умеет > по скрипту пингать. Я как-то из первого поста сделал вывод, что речь идет об одном вполне конкретном узле сети. Если речь о пяти тысячах абонентов, то их надо об этой особенности предупредить письмом до перевода на новую технологию. У нас в компании делали так. Конечно, без проблем не обошлось... Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще поискать. 5К абонентов, а трафик какой?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от kostya_from_berdsk on 27-Окт-11, 13:04
	>[оверквотинг удален] >> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет >> по скрипту пингать. > Я как-то из первого поста сделал вывод, что речь идет об одном > вполне конкретном узле сети. > Если речь о пяти тысячах абонентов, то их надо об этой особенности > предупредить письмом до перевода на новую технологию. У нас в компании > делали так. Конечно, без проблем не обошлось... > Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще > поискать. > 5К абонентов, а трафик какой? Для открытия сессии необходим один пакет от "source ip address".   Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного администрирования, то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера. */5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT  IP_INTERNET > /dev/null 2>&1 Всем такая пиговалка не нужна, только тем кто попросит :-)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от Mom14 (ok) on 28-Окт-11, 11:19
	>[оверквотинг удален] >> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще >> поискать. >> 5К абонентов, а трафик какой? > Для открытия сессии необходим один пакет от "source ip address". > Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного > администрирования, > то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера. > */5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT   > IP_INTERNET > /dev/null 2>&1 > Всем такая пиговалка не нужна, только тем кто попросит :-) Да, идея с пингалкой не плоха, если подвергнуть её некоторой автоматизации. Об этом я думал, и видимо, буду двигаться в этом направлении, если не придумаю ничего лучше. Просто хотелость не искать хитростей, и сделать это штатными средствами ISG... Как вариант, были мысли выдавать радиусом таким людям Session-Timeout=10 лет:) , но всё как-то не красиво получается.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от Mom14 (ok) on 28-Окт-11, 11:11
	>[оверквотинг удален] >> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет >> по скрипту пингать. > Я как-то из первого поста сделал вывод, что речь идет об одном > вполне конкретном узле сети. > Если речь о пяти тысячах абонентов, то их надо об этой особенности > предупредить письмом до перевода на новую технологию. У нас в компании > делали так. Конечно, без проблем не обошлось... > Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще > поискать. > 5К абонентов, а трафик какой? Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в среднем 80Мбит/с. Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, от которой трафик только по запросу, то приходится думать за себя и за того парня... )
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от anonymous (??) on 19-Ноя-11, 10:30
	>[оверквотинг удален] >> предупредить письмом до перевода на новую технологию. У нас в компании >> делали так. Конечно, без проблем не обошлось... >> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще >> поискать. >> 5К абонентов, а трафик какой? > Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в > среднем 80Мбит/с. > Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, > от которой трафик только по запросу, то приходится думать за себя > и за того парня... ) А статик листы для таких пробовали? Вместо идеи с пинговалкой.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Вопрос по специфике работы Cisco ISG."	+/–
	Сообщение от Mom14 (ok) on 21-Ноя-11, 11:44
	>[оверквотинг удален] >>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще >>> поискать. >>> 5К абонентов, а трафик какой? >> Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в >> среднем 80Мбит/с. >> Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, >> от которой трафик только по запросу, то приходится думать за себя >> и за того парня... ) > А статик листы для таких пробовали? > Вместо идеи с пинговалкой. Да, были мысли на счёт статик листов...  К сожалению IOS c7200p-advipservicesk9_li-mz.122-33.SRD3.bin на  Cisco 7206 не поддерживает статик листы :( Скоро придёт на смену ASR 1002, там вроде бы так можно. Но, в любом случае, статик лист должен динамически правиться, а для этого нужен ещё костыль :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема