URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23228
[ Назад ]
Исходное сообщение
"Вопрос по специфике работы Cisco ISG."
Отправлено Mom14 , 26-Окт-11 15:45 
    Доброго времени суток!
  У меня вопрос, возможно уже озвученный кем-то, но похоже так никем и не решённый.
Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).
  Может быть у кого есть мысли , как можно обойти эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, который сам не генерирует трафик, и соответственно, не может поднять сесию?
  
  Заранее спасибо за идеи ;)
Содержание
Сообщения в этом обсуждении
"Вопрос по специфике работы Cisco ISG."
Отправлено anonymous , 26-Окт-11 16:04 
>[оверквотинг удален]
> Суть проблемы в том, что сессия для клиента будет создана при обнаружении
> пакета, не принадлежащего ни одной активной IP сессии. Но если такого
> пакета не было - сессия не создана, все пакеты со стороны
> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
> сессию может только пакет от клиента, в качестве идентификатора/username используется
> source ip address).
>   Может быть у кого есть мысли , как можно обойти
> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>   Заранее спасибо за идеи ;)

ping в cron поставить.

"Вопрос по специфике работы Cisco ISG."
Отправлено Mom14 , 26-Окт-11 21:53 
>[оверквотинг удален]
>> пакета, не принадлежащего ни одной активной IP сессии. Но если такого
>> пакета не было - сессия не создана, все пакеты со стороны
>> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
>> сессию может только пакет от клиента, в качестве идентификатора/username используется
>> source ip address).
>>   Может быть у кого есть мысли , как можно обойти
>> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
>> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>>   Заранее спасибо за идеи ;)
> ping в cron поставить.

Пяти тысячам абонентов крон не настроишь...  да и не всё умеет по скрипту пингать.

"Вопрос по специфике работы Cisco ISG."
Отправлено anonymous , 27-Окт-11 10:22 
>[оверквотинг удален]
>>> внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать
>>> сессию может только пакет от клиента, в качестве идентификатора/username используется
>>> source ip address).
>>>   Может быть у кого есть мысли , как можно обойти
>>> эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу,
>>> который сам не генерирует трафик, и соответственно, не может поднять сесию?
>>>   Заранее спасибо за идеи ;)
>> ping в cron поставить.
> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
> по скрипту пингать.

Я как-то из первого поста сделал вывод, что речь идет об одном вполне конкретном узле сети.
Если речь о пяти тысячах абонентов, то их надо об этой особенности предупредить письмом до перевода на новую технологию. У нас в компании делали так. Конечно, без проблем не обошлось...
Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще поискать.
5К абонентов, а трафик какой?

"Вопрос по специфике работы Cisco ISG."
Отправлено kostya_from_berdsk , 27-Окт-11 13:04 
>[оверквотинг удален]
>> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
>> по скрипту пингать.
> Я как-то из первого поста сделал вывод, что речь идет об одном
> вполне конкретном узле сети.
> Если речь о пяти тысячах абонентов, то их надо об этой особенности
> предупредить письмом до перевода на новую технологию. У нас в компании
> делали так. Конечно, без проблем не обошлось...
> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
> поискать.
> 5К абонентов, а трафик какой?

Для открытия сессии необходим один пакет от "source ip address".  
Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного администрирования,
то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера.

*/5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT  IP_INTERNET > /dev/null 2>&1

Всем такая пиговалка не нужна, только тем кто попросит :-)

"Вопрос по специфике работы Cisco ISG."
Отправлено Mom14 , 28-Окт-11 11:19 
>[оверквотинг удален]
>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>> поискать.
>> 5К абонентов, а трафик какой?
> Для открытия сессии необходим один пакет от "source ip address".
> Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного
> администрирования,
> то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера.
> */5 * * * *  /usr/local/sbin/hping -c 3 --spoof IP_CLIENT  
> IP_INTERNET > /dev/null 2>&1
> Всем такая пиговалка не нужна, только тем кто попросит :-)

Да, идея с пингалкой не плоха, если подвергнуть её некоторой автоматизации. Об этом я думал, и видимо, буду двигаться в этом направлении, если не придумаю ничего лучше. Просто хотелость не искать хитростей, и сделать это штатными средствами ISG...
Как вариант, были мысли выдавать радиусом таким людям Session-Timeout=10 лет:) , но всё как-то не красиво получается.

"Вопрос по специфике работы Cisco ISG."
Отправлено Mom14 , 28-Окт-11 11:11 
>[оверквотинг удален]
>> Пяти тысячам абонентов крон не настроишь...  да и не всё умеет
>> по скрипту пингать.
> Я как-то из первого поста сделал вывод, что речь идет об одном
> вполне конкретном узле сети.
> Если речь о пяти тысячах абонентов, то их надо об этой особенности
> предупредить письмом до перевода на новую технологию. У нас в компании
> делали так. Конечно, без проблем не обошлось...
> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
> поискать.
> 5К абонентов, а трафик какой?

Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в среднем 80Мбит/с.
Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, от которой трафик только по запросу, то приходится думать за себя и за того парня... )

"Вопрос по специфике работы Cisco ISG."
Отправлено anonymous , 19-Ноя-11 10:30 
>[оверквотинг удален]
>> предупредить письмом до перевода на новую технологию. У нас в компании
>> делали так. Конечно, без проблем не обошлось...
>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>> поискать.
>> 5К абонентов, а трафик какой?
> Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в
> среднем 80Мбит/с.
> Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция,
> от которой трафик только по запросу, то приходится думать за себя
> и за того парня... )

А статик листы для таких пробовали?
Вместо идеи с пинговалкой.

"Вопрос по специфике работы Cisco ISG."
Отправлено Mom14 , 21-Ноя-11 11:44 
>[оверквотинг удален]
>>> Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще
>>> поискать.
>>> 5К абонентов, а трафик какой?
>> Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в
>> среднем 80Мбит/с.
>> Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция,
>> от которой трафик только по запросу, то приходится думать за себя
>> и за того парня... )
> А статик листы для таких пробовали?
> Вместо идеи с пинговалкой.

Да, были мысли на счёт статик листов...  К сожалению IOS c7200p-advipservicesk9_li-mz.122-33.SRD3.bin на  Cisco 7206 не поддерживает статик листы :(
Скоро придёт на смену ASR 1002, там вроде бы так можно.
Но, в любом случае, статик лист должен динамически правиться, а для этого нужен ещё костыль :)