Minotaur

ЕМНИП, то ignore session-key используется при CoA, в конфигурации aaa radius server dynamic-author, и у меня этого сейчас нет. А в порядке правил не вижу никакой разницы. Перестановку пробовал и убирать таймер пробовал - на ситуацию никак не влияет.

Приветствую! Вылезла странная проблема с Cisco ISG. Есть простенький policy-map: policy-map type control DHCP-Subscriber class type control Unauthorized event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 set-timer Unauth-Timer 2 30 service-policy type service name pms-Layer4Redirect ! class type control always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 set-timer Unauth-Timer 2 30 service-policy type service name pms-Layer4Redirect Прикручен к соответствующему интерфейсу: interface GigabitEthernet0/2.33 encapsulation dot1Q 33 ip dhcp relay information trusted ip address x.x.200.1 255.255.255.0 ip helper-address x.x.192.2 ip directed-broadcast arp timeout 60 service-policy type control DHCP-Subscriber ip subscriber l2-connected initiator dhcp Ситуация: пользователь уже получил по DHCP адрес, но его ISG сессия проэкспайрилась. При возникновении активности возникает событие session-restart и ISG упорно не хочет авторизировать пользователя: *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Create context 2507FDA4 *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Updated key list: *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.688: SSS PM [2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.688: SSS PM [2507FDA4]: DHCP Policy invoke - Session-Restart *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Added sign of life as DHCP *Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f *Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f GigabitEthernet0/2.33 *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Authen status update; is now "unauthen" *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated NAS port for AAA ID 9833 *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated key list: *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SHDB-Handle = 0 (00000000) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: PM-Context-Handle = 687867269 (29000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Final = 1 (YES) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access-Type = 15 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Protocol-Type = 4 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Media-Type = 2 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Sign-Of-Life = 2 (00000002) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Authen-Status = 1 (Unauthenticated) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Updated key list: *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SHDB-Handle = 0 (00000000) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: PM-Context-Handle = 687867269 (29000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Final = 1 (YES) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access-Type = 15 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Protocol-Type = 4 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Media-Type = 2 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Sign-Of-Life = 2 (00000002) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Authen-Status = 1 (Unauthenticated) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Session-Handle = 2717910405 (A2000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SM Policy invoke - Service Selection Request *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP: final key [b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Looking for a rule for event session-restart *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Intf CloneSrc Gi0/2.33: service-rule any: DHCP-Subscriber *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Evaluate "DHCP-Subscriber" for session-restart *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Matched "DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#c" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Start *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-ids *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Using author method AAA service[/b] *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SIP [iP] can NOT provide more keys *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: No more keys *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Handling Action Ignore for <session disconnect> [b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4] ERROR: Received Unexpected Service Request[/b] *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Destroy context 2507FDA4 *Jan 31 10:25:21.692: SSS PM: destroy all user profile info from policy context *Jan 31 10:25:21.692: No policy context Видно, что совпадение в policy-map есть и должен начаться этап авторизации, но но упорно не начинается. AAA на Циске сконфигурировано: aaa authentication login DHCP-BRAS group ISG-RADIUS aaa authorization network DHCP-BRAS group ISG-RADIUS Radius отвечает. Что ему не нравится? Заранее спасибо!

К RETNу обращаться пробовали?

NEP вроде из какой-то командировки вернулся. Жду продолжения!

Гайдара, 50 = выселки, место не представляющее для киевлян никаких стратегических и тактических выгод, находится практически рядом 2,5км с привычным для старой гвардии Леонтовича, Гайдара "придумал" умный еврей и нам всем _пришлось_ туда подтянуться, поэтому я бы не советовал вам на нем так сильно зацикливаться. Поражен Вашей осведомленностью. Еще что-то интересное расскажете?

Что это за кабель такой? Не нахожу такого в каталоге Одескабеля на сайте. И мучают меня смутные сомнения, что он категоризирован под использование в GigabitEthernet-сетях.

ИМХО в частном секторе лучшим решением будет GEPON.

Чем, интересно?

UP! Все еще актуально!

Видели фильм "День радио"? Обзовите свою сеть "Как бы сеть"...

Приветствую! У кого-то есть в хозяйстве 100-мегабитные Длинковские модули DEM-201FL? Не могу подружить этот модуль с Планетовским 100-мегабитным медиа-конвертором: линк поднимается очень нестабильно. Померил тестером сигнал на выходе модуля: -14.8 dBm, что для заявленного расстояния в 10км как бы маловато. Даташит найти не могу. Поэтому вопрос: у него действительно такой низкий сигнал на выходе, или у меня просто модуль бракованный?

Up.

Куплю неликвид либо отходы в виде кусков 48-волоконного кабеля от 20-ти метров. Допускается б/у, если не старый и в нормальном состоянии. Небронированный, диаметр до 12 мм (чем тоньше, тем лучше).

500 грн. - копейки? (см. пост выше). Я начал Вам завидовать...

Разобрались. amap disable глобально на свитче.

А что мешает обновлять софт на RR не одновременно, чтобы не наступать на такие грабли?

Приветствую! Есть у меня стык с партнерами. С их стороны стоит Алькатель 6850 , AOS 6.4.4. Они со своей стороны поотключали уже все L2-протоколы, какие только можно придумать. Но со стороны Алькателя все равно прилетают странные пакеты, последовательно три штуки где-то раз в пять минут: No. Time Source Destination Protocol Info 1 0.000000 Alcatel-_e4:2d:5f AlcatelN_00:70:04 LLC U, func=UI; SNAP, OUI 0x0020DA (Unknown), PID 0x0003 Frame 1: 106 bytes on wire (848 bits), 106 bytes captured (848 bits) IEEE 802.3 Ethernet Logical-Link Control DSAP: SNAP (0xaa) IG Bit: Individual SSAP: SNAP (0xaa) CR Bit: Command Control field: U, func=UI (0x03) 000. 00.. = Command: Unnumbered Information (0x00) .... ..11 = Frame type: Unnumbered frame (0x03) Organization Code: Unknown (0x0020da) Protocol ID: 0x0003 Data (84 bytes) 0000 05 03 01 cc 0b 00 01 0c 00 d0 95 e4 2d 52 00 05 ............-R.. 0010 0a 11 00 01 c0 a8 87 fd c0 a8 86 fd c0 a8 85 fd ................ 0020 5b d4 d6 19 76 78 54 61 72 67 65 74 00 00 00 00 [...vxTarget.... 0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0040 00 00 00 00 22 00 00 00 00 00 00 00 00 00 00 00 ...."........... 0050 00 00 00 00 .... Data: 050301cc0b00010c00d095e42d5200050a110001c0a887fd... [Length: 84] Кто-то знает, что это такое и как его выключить? Спасибо.

Спасибо, попробую. Тут даже дело не в деньгах... Порт, блин, жалко. Один остался... И очень-очень нужен.

Приветствую! В Киеве существуют компании, которые занимаются ремонтом коммутаторов? Есть Каталист, в котором механически повреждено гнездо RJ-45. Сам порт рабочий. Нужно выровнять контакты в гнезде.

Нашел кто-то где-то их? Мне тож нужно. Три штуки. Желательно по безналу.

Да-да-да. Именно Например, вот такой: http://www.hyperline.com/catalog/cable/ftp-c5e-s-multi.shtml Либо аналог, максимально близкий к такому. Производитель особой роли не играет.

Приветствую! Нужен многопарный кабель FTP Cat.5e 100 пар в оболочке LSZH. Где в Украине (лучше в Киеве) его можно купить?

О! Как раз вовремя тему открыли. А скажет ли кто, есть ли в AOS этих свитчей аналог цискового no bgp enforce-first-as?

Приветствую! На Cisco ISG хочу описать сервисы локально, а не отдавать их через Radius. Возникла проблема с привязыванием этих сервисов к сессии. Сервис описываю примерно так: class-map type traffic match-any cmt-Any-Traffic match access-group output name acl-Any match access-group input name acl-Any ! policy-map type service pms-1M class type traffic cmt-Any-Traffic police input 1000000 187500 375000 police output 1000000 187500 375000 ! ! ip access-list extended acl-Any permit ip any any Policy для подписчика определено следующим образом: policy-map type control DHCP-Subscriber class type control always event session-start 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 service disconnect ! class type control always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # ! Вопрос: что нужно отдать из радиуса в сторону ISG, чтобы применилось вышеописанное полиси? Спасибо!

Это одна из особенностей информационного общества. Ручной труд, даже в с/х - не рентабелен. Парадокс заключается в том, что никто не мешает ребятам из того же Красноармейска сделать хороший, популярный Интернет портал или разработать свою ОС..., которые оценят в миллиарды долларов. И чем Ричмонд принципиально лучше Красноармейска? Ну в крайнем случае сидя в Красноармейске управлять производственными процессами скажем европейских полностью автоматизированных производств? В том то весь и смысл... Что теперь для "рабочего", в современных условиях, рынок труда не ограничивается местом проживания и такая работа может не требовать смены места жительства, а достаточно иметь канал связи. Так что тут все дело не в месте проживания, а в головах. Спасибо, поржал. http://lanzone.info/uploads/posts/2009-09/1252235932_getimage.jpeg Вот там по ссылке как раз те ребята из маленького украинского города, которые будут "делать хороший, популярный Интернет портал или разработать свою ОС..., которые оценят в миллиарды долларов". Наверное тем, что там у людей есть желание учиться и работать.