хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение? -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Maxim Mazurok! On Tue, Aug 26, 2003 at 11:58:41AM +0300 maxim@km.ua wrote about "[uanog] strange needed":
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
VRF подойдет? -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 11:58:41AM +0300, Maxim Mazurok wrote:
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
in serial x ip policy SET-ETHER ip route-cache policy ip access ext ANY permit ip any any route-map SET-ETHER permit 10 match ip address ANY set interface ethernet X примерно так... Но это криво. Ты более точно задачу сформулировать не можешь ? А то я не понимаю, зачем ? Если изоляция клиентов друг от друга - то просто ip access-group in/out на интерфейсы и изолируй сколько угодно, если accounting - то netflow и нормальный коллектор, который умеет snmp ifindex'ы... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 01:54:49PM +0400, Alexandre Snarskii wrote:
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
in serial x ip policy SET-ETHER ip route-cache policy ip access ext ANY permit ip any any route-map SET-ETHER permit 10 match ip address ANY set interface ethernet X
примерно так... Но это криво. Ты более точно задачу сформулировать не можешь ? А то я не понимаю, зачем ? Если изоляция клиентов друг от друга - то просто ip access-group in/out на интерфейсы и изолируй сколько угодно, если accounting - то netflow и нормальный коллектор, который умеет snmp ifindex'ы...
именно изоляция. но access-group не очень подходит, ибо, например, у одного из клиентов - примерно 380*/32 неагреггируемых. у остальных поменьше, но не сильно. вся фильтрация идет на файерволе в эзер воткнутом, не хочу конфиги повторять файера на кошке, тем более, что кошка - 4500 :) -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день, [..................] AS> Если изоляция клиентов друг от друга - то просто ip access-group in/out AS> на интерфейсы и изолируй сколько угодно, если accounting - то netflow AS> и нормальный коллектор, который умеет snmp ifindex'ы... немного о другом. пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть? Любомир Ференц =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 12:59:20PM +0300, Maxim Mazurok wrote:
On Tue, Aug 26, 2003 at 01:54:49PM +0400, Alexandre Snarskii wrote:
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
in serial x ip policy SET-ETHER ip route-cache policy ip access ext ANY permit ip any any route-map SET-ETHER permit 10 match ip address ANY set interface ethernet X
примерно так... Но это криво. Ты более точно задачу сформулировать не можешь ? А то я не понимаю, зачем ? Если изоляция клиентов друг от друга - то просто ip access-group in/out на интерфейсы и изолируй сколько угодно, если accounting - то netflow и нормальный коллектор, который умеет snmp ifindex'ы...
именно изоляция. но access-group не очень подходит, ибо, например, у одного из клиентов - примерно 380*/32 неагреггируемых. у остальных поменьше, но не сильно. вся фильтрация идет на файерволе в эзер воткнутом, не хочу конфиги повторять файера на кошке, тем более, что кошка - 4500 :)
hmmm... Ну тогда еще один изврат - если 4500 умеет vrf и vlan's, и firewall тоже умеет vlan's - то тогда просто заворачиваешь каждый serial в свой vrf, создаешь ему vlan и subif в том же vrf'е и на firewall'е уже и разгребаешь on per-vlan basis. Но это тоже диверсия еще та. Кстати, перенумеровать клиентов в нормально аггрегируемые сети возможно окажется проще. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 02:10:16PM +0400, Alexandre Snarskii wrote:
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
in serial x ip policy SET-ETHER ip route-cache policy ip access ext ANY permit ip any any route-map SET-ETHER permit 10 match ip address ANY set interface ethernet X
примерно так... Но это криво. Ты более точно задачу сформулировать не можешь ? А то я не понимаю, зачем ? Если изоляция клиентов друг от друга - то просто ip access-group in/out на интерфейсы и изолируй сколько угодно, если accounting - то netflow и нормальный коллектор, который умеет snmp ifindex'ы...
именно изоляция. но access-group не очень подходит, ибо, например, у одного из клиентов - примерно 380*/32 неагреггируемых. у остальных поменьше, но не сильно. вся фильтрация идет на файерволе в эзер воткнутом, не хочу конфиги повторять файера на кошке, тем более, что кошка - 4500 :)
hmmm... Ну тогда еще один изврат - если 4500 умеет vrf и vlan's, и firewall тоже умеет vlan's - то тогда просто заворачиваешь каждый serial в свой vrf, создаешь ему vlan и subif в том же vrf'е и на firewall'е уже и разгребаешь on per-vlan basis. Но это тоже диверсия еще та.
ОГО! я в шоке 4500 на обычных эзерах своих 10'ках умеет dot1q. никогда бы не подумал 8-O может скоро еще и на 25xx допишут? :)
Кстати, перенумеровать клиентов в нормально аггрегируемые сети возможно окажется проще.
неа, это вообще не реализуемо. -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Tue, Aug 26, 2003 at 01:04:37PM +0300, Lyubomyr Ferents writes:
AS> Если изоляция клиентов друг от друга - то просто ip access-group in/out AS> на интерфейсы и изолируй сколько угодно, если accounting - то netflow AS> и нормальный коллектор, который умеет snmp ifindex'ы...
немного о другом.
пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть?
У меня самописный, pserver:anonymous@happy.kiev.ua:/cvs, модуль flowd. Поддерживает snmp (ifindex/ifalias/ifip/ifdescr), embedded perl, mysql. Собственно, делал я его, чтобы он общался с bgpd (bgpd держит список украинских сетей в shared memory, а flowd соответственно пишет, украинский трафик или внешний). Но поскольку делал для себя, доки человеческой нет, только self-documented config и ключик -h. ;-) Если это кому-то интересно, могу доку написать. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 01:04:37PM +0300, Lyubomyr Ferents wrote:
Добрый день,
[..................]
AS> Если изоляция клиентов друг от друга - то просто ip access-group in/out AS> на интерфейсы и изолируй сколько угодно, если accounting - то netflow AS> и нормальный коллектор, который умеет snmp ifindex'ы...
немного о другом.
пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть?
Пробовал много, в результате написал свой.. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день, Tuesday, August 26, 2003, 1:34:10 PM, you wrote: PG> Hi! PG> On Tue, Aug 26, 2003 at 01:04:37PM +0300, Lyubomyr Ferents writes:
AS> Если изоляция клиентов друг от друга - то просто ip access-group in/out AS> на интерфейсы и изолируй сколько угодно, если accounting - то netflow AS> и нормальный коллектор, который умеет snmp ifindex'ы...
немного о другом.
пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть?
PG> У меня самописный, pserver:anonymous@happy.kiev.ua:/cvs, модуль flowd. PG> Поддерживает snmp (ifindex/ifalias/ifip/ifdescr), embedded perl, PG> mysql. Собственно, делал я его, чтобы он общался с bgpd (bgpd держит bgpd - зебрин? PG> список украинских сетей в shared memory, а flowd соответственно пишет, PG> украинский трафик или внешний). Но поскольку делал для себя, доки PG> человеческой нет, только self-documented config и ключик -h. ;-) спасибо, посчупаем. а что есть из достойных альтернатив некоммерческого? будем скоро немного аккаунтинг переделывать - хочется посмотреть куда ушел прогресс :) Любомир Ференц =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 01:52:00PM +0300, Lyubomyr Ferents writes:
AS> Если изоляция клиентов друг от друга - то просто ip access-group in/out AS> на интерфейсы и изолируй сколько угодно, если accounting - то netflow AS> и нормальный коллектор, который умеет snmp ifindex'ы...
немного о другом.
пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть?
PG> У меня самописный, pserver:anonymous@happy.kiev.ua:/cvs, модуль flowd. PG> Поддерживает snmp (ifindex/ifalias/ifip/ifdescr), embedded perl, PG> mysql. Собственно, делал я его, чтобы он общался с bgpd (bgpd держит
bgpd - зебрин?
Нет, тоже свой. ;-))
PG> список украинских сетей в shared memory, а flowd соответственно пишет, PG> украинский трафик или внешний). Но поскольку делал для себя, доки PG> человеческой нет, только self-documented config и ключик -h. ;-)
спасибо, посчупаем.
а что есть из достойных альтернатив некоммерческого?
будем скоро немного аккаунтинг переделывать - хочется посмотреть куда ушел прогресс :)
-- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 02:25:24PM +0300, Pavel Gulchouck wrote:
PG> У меня самописный, pserver:anonymous@happy.kiev.ua:/cvs, модуль flowd. PG> Поддерживает snmp (ifindex/ifalias/ifip/ifdescr), embedded perl, PG> mysql. Собственно, делал я его, чтобы он общался с bgpd (bgpd держит
bgpd - зебрин?
Нет, тоже свой. ;-))
вы бы что ли на sourceforge их повыкладавали или на freshmeat написали ;) а то так каждый и будет писать, свою статистику, свой биллинг, свой bgpd...
PG> список украинских сетей в shared memory, а flowd соответственно пишет, PG> украинский трафик или внешний). Но поскольку делал для себя, доки PG> человеческой нет, только self-documented config и ключик -h. ;-)
спасибо, посчупаем. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Dmitry,
bgpd - зебрин?
Нет, тоже свой. ;-))
вы бы что ли на sourceforge их повыкладавали или на freshmeat написали ;) а то так каждый и будет писать, свою статистику, свой биллинг, свой bgpd...
Потому и умные. :) -- Michael Математическая идея: в корне изменить степень свободы. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Aug 26, 2003 at 13:52 +0300, Lyubomyr Ferents wrote:
пиплы, а какой коллектор себя показал удобным в использовании? что-то приятнее netramet для аккаунтинга есть?
PG> У меня самописный, pserver:anonymous@happy.kiev.ua:/cvs, модуль flowd. PG> Поддерживает snmp (ifindex/ifalias/ifip/ifdescr), embedded perl, PG> mysql. Собственно, делал я его, чтобы он общался с bgpd (bgpd держит
bgpd - зебрин?
PG> список украинских сетей в shared memory, а flowd соответственно пишет, PG> украинский трафик или внешний). Но поскольку делал для себя, доки PG> человеческой нет, только self-documented config и ключик -h. ;-)
спасибо, посчупаем.
а что есть из достойных альтернатив некоммерческого?
будем скоро немного аккаунтинг переделывать - хочется посмотреть куда ушел прогресс :)
http://www.switch.ch/tf-tant/floma/software.html - список всего, что есть местная (и достаточно неплохая) разработка: http://netacad.kiev.ua/flowc/ -- Maxim Tulyuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (8)
-
Alexandre Snarskii -
Dmitry Kohmanyuk Дмитрий Кохманюк -
Lyubomyr Ferents -
Maxim Mazurok -
Maxim Tulyuk -
Michael Petuschak -
Oleksandr Listopad -
Pavel Gulchouck