forum.opennet.ru - "Cisco 2811" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 2811"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 2811"		+/–
Сообщение от Alex (??) on 11-Янв-10, 16:40
Здравствуйте уважаемые гуру cisco. Я настроил с одним провайдером канал PPPoE. Спустя неделю, они обнаруживают, что другие их клиенты пытаются авторизоваться на нашем маршрутизаторе, в док-во чего приводят лог: ================= 23:34:07.960724 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."] 23:34:07.961467 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."] 23:34:13.195092 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 98: PPPoE PADS [Service-Name] [Host-Uniq 0x00000001] [AC-Name "2811-cr1"] [AC-Cookie 0x6AE3CD656CBB35958512B6E6C14813C5][\|pppoe] 23:34:14.936473 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 102: PPPoE PADS [Host-Uniq 0x001CF0ABF89F0000] [AC-Cookie 0x01650E56A037B2A7560398EB8C82855D] [AC-Name "2811-cr1"] [Service-Name][\|pppoe] =============== Конфиг у меня такой: =================== bba-group pppoe global interface FastEthernet0/0/2 switchport access vlan 12 no keepalive no cdp enable ! interface Vlan12 description ------ ROSWEB Internet Backup ------- no ip address pppoe enable pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname rosweb-2481-09 ppp chap password 7 00001602060E53 ! ! ip nat inside source route-map internet-vlan12 interface Dialer1 overload ip nat inside source static tcp 192.168.25.21 25 interface Dialer1 25 ! ! route-map internet-vlan12 permit 10 match ip address nat-fe-0-0.20-in ! ================ Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании pppoe и их клиенты перестали пытаться авторизоваться у нас. Внимание вопрос: нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя выполнить какие-либо настройки, чтобы её не допустить?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 2811, STONE, 17:51 , 11-Янв-10, (1)

Cisco 2811, Alex, 18:09 , 11-Янв-10, (2)

Cisco 2811, KiM, 21:31 , 11-Янв-10, (3)

Cisco 2811, Alex, 09:01 , 12-Янв-10, (4)

Cisco 2811, Николай, 10:27 , 12-Янв-10, (5)

Cisco 2811, Alex, 11:18 , 12-Янв-10, (6)

Cisco 2811, STONE, 12:16 , 12-Янв-10, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 2811" +/–

Сообщение от STONE on 11-Янв-10, 17:51

>[оверквотинг удален]
>route-map internet-vlan12 permit 10
> match ip address nat-fe-0-0.20-in
>!
>================
>Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании
>pppoe и их клиенты перестали пытаться авторизоваться у нас.
>Внимание вопрос:
>
>нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя
>выполнить какие-либо настройки, чтобы её не допустить?
вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это у них умеет), но правильно чтобы вы настроили как надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 2811" +/–

Сообщение от Alex (??) on 11-Янв-10, 18:09

>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>у них умеет), но правильно чтобы вы настроили как надо.
1. Неужели это не дыра в их безопасности?
Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя авторизацию клиентов.
2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки в их конфигах проще, чем настроить у себя фильтрацию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 2811" +/–

Сообщение от KiM (??) on 11-Янв-10, 21:31

>>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>>у них умеет), но правильно чтобы вы настроили как надо.
>
>1. Неужели это не дыра в их безопасности?
>Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя
>авторизацию клиентов.
>2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки
>в их конфигах проще, чем настроить у себя фильтрацию?
1.оператору пофигу, он не отвечает за пароли клиента.
2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 2811" +/–

Сообщение от Alex (??) on 12-Янв-10, 09:01

>1.оператору пофигу, он не отвечает за пароли клиента.
>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)
Вы, видимо, тоже представитель какого-нить провайдера. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 2811" +/–

Сообщение от Николай (??) on 12-Янв-10, 10:27

>>1.оператору пофигу, он не отвечает за пароли клиента.
>>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)
>
>Вы, видимо, тоже представитель какого-нить провайдера. :)
Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению ну допустим отдельный влан с pppoe наверняка скопом в один все забросили, то что отключить легче чем разобраться - 100% :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 2811" +/–

Сообщение от Alex (??) on 12-Янв-10, 11:18

>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>ну допустим отдельный влан с pppoe наверняка скопом в один все
>забросили, то что отключить легче чем разобраться - 100% :))
Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают транк с нативным VLAN для нас, всяки bpdu валятся, аж у меня спанингтри их порт гасил, во дятлы!
Куда вообще их безопасники мотрят, если они у них вообще есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 2811" +/–

Сообщение от STONE on 12-Янв-10, 12:16

>>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>>ну допустим отдельный влан с pppoe наверняка скопом в один все
>>забросили, то что отключить легче чем разобраться - 100% :))
>
>Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают
>транк с нативным VLAN для нас, всяки bpdu валятся, аж у
>меня спанингтри их порт гасил, во дятлы!
Это типичный пример хомяка(домового провайдера)
>Куда вообще их безопасники мотрят, если они у них вообще есть.
восновном безопасников на сети нет:) в редких ISP они присутствуют
а вообще в некоторых провах включение автоматизировано, нажал кнопку и всё заработало у определённого клиента на определённой железке. но енто редкость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 2811"		+/–
Сообщение от STONE on 11-Янв-10, 17:51
>[оверквотинг удален] >route-map internet-vlan12 permit 10 > match ip address nat-fe-0-0.20-in >! >================ >Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании >pppoe и их клиенты перестали пытаться авторизоваться у нас. >Внимание вопрос: > >нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя >выполнить какие-либо настройки, чтобы её не допустить? вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это у них умеет), но правильно чтобы вы настроили как надо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Cisco 2811"		+/–
	Сообщение от Alex (??) on 11-Янв-10, 18:09
	>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это >у них умеет), но правильно чтобы вы настроили как надо. 1. Неужели это не дыра в их безопасности? Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя авторизацию клиентов. 2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки в их конфигах проще, чем настроить у себя фильтрацию?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco 2811"		+/–
	Сообщение от KiM (??) on 11-Янв-10, 21:31
	>>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это >>у них умеет), но правильно чтобы вы настроили как надо. > >1. Неужели это не дыра в их безопасности? >Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя >авторизацию клиентов. >2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки >в их конфигах проще, чем настроить у себя фильтрацию? 1.оператору пофигу, он не отвечает за пароли клиента. 2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco 2811"		+/–
	Сообщение от Alex (??) on 12-Янв-10, 09:01
	>1.оператору пофигу, он не отвечает за пароли клиента. >2.гораздо проще согласно договору заблокировать вам порт(читаем приложения) Вы, видимо, тоже представитель какого-нить провайдера. :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Cisco 2811"		+/–
	Сообщение от Николай (??) on 12-Янв-10, 10:27
	>>1.оператору пофигу, он не отвечает за пароли клиента. >>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения) > >Вы, видимо, тоже представитель какого-нить провайдера. :) Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению ну допустим отдельный влан с pppoe наверняка скопом в один все забросили, то что отключить легче чем разобраться - 100% :))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Cisco 2811"		+/–
	Сообщение от Alex (??) on 12-Янв-10, 11:18
	>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению >ну допустим отдельный влан с pppoe наверняка скопом в один все >забросили, то что отключить легче чем разобраться - 100% :)) Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают транк с нативным VLAN для нас, всяки bpdu валятся, аж у меня спанингтри их порт гасил, во дятлы! Куда вообще их безопасники мотрят, если они у них вообще есть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Cisco 2811"		+/–
	Сообщение от STONE on 12-Янв-10, 12:16
	>>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению >>ну допустим отдельный влан с pppoe наверняка скопом в один все >>забросили, то что отключить легче чем разобраться - 100% :)) > >Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают >транк с нативным VLAN для нас, всяки bpdu валятся, аж у >меня спанингтри их порт гасил, во дятлы! Это типичный пример хомяка(домового провайдера) >Куда вообще их безопасники мотрят, если они у них вообще есть. восновном безопасников на сети нет:) в редких ISP они присутствуют а вообще в некоторых провах включение автоматизировано, нажал кнопку и всё заработало у определённого клиента на определённой железке. но енто редкость.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору