AcesAndrew

Вообще с netflow на SE у нас были очень большие проблемы, через какое то время карточки на нем крэшились одна за другой, и мы очень долго не могли понять почему, пока не нашли где то на форумах что не только у нас такая проблема а у многих, да и в поддержке НАГ-а нам ответили что есть какой то БАГ с netflow на SE, и лучше убрать netflow. У нас 4 SE1200 и на всех была эта проблема, так что судите сами, стоит снимать с них netflow или нет... Ну а так, вроде как на них только netflow v5 можно поднять, v9 к сожалению нет, соответственно IPv6 flow снимать не получится.

У нас в основном l3-not-connected clips. Получается у вас download клиента вы режите нормально, а upload не режиться ? Если так то это для нас не проблема, в основном нужно резать download. Пример: interface IF_178.xxx.xxx.0 multibind description FLR-MPLS-HW ip address 178.xxx.xxx.1/23 ip arp proxy-arp always ip arp delete-expired ip pool 178.xxx.xxx.0/23 ip route 178.xxx.xxx.0/23 37.xxx.xxx.113 connected description FLR-MPLS-HW Session state Up Circuit 2/3 vlan-id 40 clips 476167 Internal Circuit 2/3:511:63:31/13/2/310658 Interface bound IF_178.xxx.xxx.0 Current port-limit unlimited Protocol Stack IPV4 context-name CLIENTS (applied) ip interface IF_178.xxx.xxx.0 (applied) ip address 178.xxx.xxx.2 (applied) qos-policing-policy qos-default-in (applied from sub_default) qos-metering-policy qos-default-out (applied from sub_default) acct-interim-interval 7200 (applied) service [svc mask: 0x0003] (applied) [svc id: 0] SERVICE-INTERNET (acct enabled) [svc id: 1] SERVICE-NATIONAL (acct enabled) service-parameter [svc mask: 0x0003] (applied) [svc id: 0] BW-INTERNET=204800 BR-INTERNET=38400000 [svc id: 1] BW-NATIONAL=204800 BR-NATIONAL=38400000 qos-dynamic-param [svc mask: 0x0003] (applied) [svc id: 0] meter-class-rate EXTERN rate-absolute 204800 (applied) [svc id: 0] meter-class-burst EXTERN 38400000 (applied) [svc id: 0] police-class-rate EXTERN rate-absolute 204800 (applied) [svc id: 0] police-class-burst EXTERN 38400000 (applied) [svc id: 1] meter-class-rate NATIONAL rate-absolute 204800 (applied) [svc id: 1] meter-class-burst NATIONAL 38400000 (applied) [svc id: 1] police-class-rate NATIONAL rate-absolute 204800 (applied) [svc id: 1] police-class-burst NATIONAL 38400000 (applied) service-acct (in) [svc mask: 0x0003] (applied) [svc id: 0] qos class-mask 0x02 [svc id: 1] qos class-mask 0x01 service-acct (out) [svc mask: 0x0003] (applied) [svc id: 0] qos class-mask 0x02 [svc id: 1] qos class-mask 0x01 service-interim-acct-interval [svc mask: 0x0003] (applied) [svc id: 0] 3600 [svc id: 1] 3600 И бывает что за таким клиентом есть еще 1 подсеть.

Добрый, какие нюансы ? У нас есть и clips и dot1q, но клиенты у которых есть статические маршруты в основном clips.

Спасибо большое, за пояснение, примерно так мы и думали, но теперь стало более понятно... Получается мы можем настроить следующую схему: interface loopback loopback ip address 10.10.10.1/32 ip address 10.10.11.1/32 ip address 10.10.12.1/32 ip address 10.10.13.1/32 interface clients multibind lastresort ip unnumbered loopback ip pool 10.10.10.0/24 ip pool 10.10.11.0/24 ip pool 10.10.12.0/24 ip pool 10.10.13.0/24 И в таком случае даже шлюз клиентов можем быть на SE, и все должно работать ?

Спасибо за информацию!!! Именно этого ответа я и ждал =). Еще 1 вопрос хочу задать, раз уже знающие люди подтянулись). Интерфейсы типа multibind на которых живут субскрайберы, нужно биндить к физичиским интерфейсам/PVC, или нет ? У нас просто всегда все их биндили, а сейчас как то попробовали и без того чтоб биндить интерфейсы к PVC и все равно, все работает! Так как же прваильно поступать ? И если не сложно, кто то, объясните в двух словах, в чем смысл интерфейса lastresort ? То есть на нем можно сразу забить все сетки которые у нас есть в сети, на которых могут жить субскрайберы, и сам интерфейс не биндить ни к одному порту, и все равно в итоге все клиенты будут до него добираться и проходить аутентификацию ? Спасибо заранее =) последние 2 вопроса которые нас мучают и нигде в документации найти на них ответы не можем..

Читал.. Примерно так и конфигурируем все, и вроде как с L3 без всяких DHCP начало получатся... Мы пытаемся и L2 и L3 сделать, в итоге у нас будет схема такая: Сеть MPLS, весь траффик гонится в БРАС, еще точно не решили что будем использовать L2VPN или L3VPN, но скорее L3VPN. В таком случае получится L3 а насчет connected/not connected, не совсем понятно что имеется в виду, гейт клиентов будет не на БРАСЕ, а на ближайщем PE( это получается not connected ? или как ? ). Есть и другие регионы где траффик клиентов доходит L2 до БРАСа, там сейчас используем CLIPS и Dot1q, и там у нас проблема в том что Relay сейчас делаем в обход SE, так как он у нас с Relay + Dynamic Clips ну не как не хочет работать.. Вот собственно вот 2 схемы которые пытаемся внедрить..

Отписался.. надеюсь что кто то обратит внимание... Уже не знаем как бороться с этим зверем( SE1200 ) вообще до сих пор работали только с обычными рутерами и комутаторами, их логика нам уже понятна, а вот логику SmartEdge понять еще не удалось... и в частности работа non-dhcp dynamic CLIPS которая сейчас для нас очень актуальна... так как нужно будет клиентский траффик сети MPLS агреггировать в БРАС где клиенты должны проходить аутентификацию..

Хотелось бы обратиться к администраторам закрытой группы обладателей Ericsson SmartEdge... Написал вам на почту 'smartedge@nag.ru' уже почти неделя прошла а ответа я так и не получил... Есть куча вопросов связанных с SE и не кто не может помочь + на сколько я понял проблемы которые нас мучают связанные с NON-DHCP Clips уже обсуждались в закрытой группе... Надеюсь на то что в ближайщее время вы наконец то ответите =) P.S. Пока мне ответят, всех желающих помочь нам, прошу обратить внимание на эту тему "SE1200 Non-DHCP Dynamic Clips + DHCP Relay на SE1200". Там я подробно описал наши проблемы в надежде что знающие люди откликнуться.

Проверили с "arp proxy always" результат тотже.. Есть у кого то еще какие то идеи ? И немного оффтопа, можно как то еще связаться с теми кто дает доступ в закрытую группы обладателей Ericsson SmartEdge ? Уже почти неделя прошла, а от них ни слуху, ни духу...

Нет сессии нет, arp-cache показывает привязку MAC-IP но в поле TTL стоит "-", обычно это когда еще нет субскрайбера...а его как раз таки и нету.. Попробуем в понедельник поставить proxy arp, только не вижу связи arp c тем что БРАС пытается выдать какой то IP клиенту...

Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:23: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:23: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: [dhcp_aaa_send_aaa] drs_cctid 0xfffcec6277, drs_rmtid 0xfffcec627f, des_list 0x0 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [6] ACI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [8] ARI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:25: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:25: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Вот что в итоге получается, Radius не вписывает себе в DB адреса абонентов которые были выданы сторонним DHCP сервером.. я правильно понимаю ? Еще смущает поле subnet (0.0.0.0/0 это нормально вообще ? Пока что ничего не можем решить.. продолжаем делать Relay на других железках, а SE как БРАС...

Проблема в том что на Радиус не приходят сообщения DHCP по поводу лизов, он не знает кому и какой IP был присвоен. В Access-Accept радиус клиентам у которых все работает(когда Relay делается на каком то другом девайсе не на SE1200) в поле Framed_IP_Addres Радиус пишет IP клиента( его username ), а в нашем случае когда DHCP Relay(SE1200) он в Access-Accept вообще не шлет поле Framed_IP_Addres а шлет вместо этого Framed_IP_Pool с названием интерфейса который прибинден к PVC клиента... Конфиг выглядит следующим образом: !context local!service-policy name CLIPS_x.x.x.128_testallow clips ip range x.x.x.128 x.x.x.255!!context CLIENTS!interface IF_x.x.x.128 multibind ip address x.x.x.x.129/25 dhcp proxy 15 server-group DHCP-TEST-1 ip arp delete-expired ip pool x.x.x.128/25!port ethernet 2/3 no shutdownencapsulation dot1qdot1q pvc 3997 bind interface IF_x.x.x.128 CLIENTS service clips auto-detect direct context CLIENTS service-policy CLIPS_x.x.x.128_test!dhcp relay server 172.1.1.1 max-hops 10 server-group DHCP-TEST-1!subscriber default qos policy policing qos-default-in qos policy metering qos-default-out dhcp max-addrs 1!aaa authentication subscriber radius aaa accounting subscriber radiusaaa update subscriber 60aaa accounting event dhcpaaa reauthorization bulk radiusaaa hint ip-address!! Вот что получаем в debug aaa radius: Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_create_auth_db_reply: Radius authentication success. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_response: process response to req Authentication. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_free_resource:, Free radius message, rad_idx 250294068Jul 3 10:36:48: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_clean_aaa_idx_tree: Clean aaa_idx tree for context db_request_type AuthenticationJul 3 10:36:48: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:36:48: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:36:48: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to clientJul 3 10:36:48: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queueJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_aaad_req: Receive request (Accounting Stop) Вот что получаем в debug aaa dhcp: Jul 3 10:41:41: %AAA-7-DHCP: [aaa_init_dhcp_cctcfg_iphost_key]: DHCP key: slot 1 port 2 channel 0xffff dot1_pvc 3997:0 vpi 0 vci 0,sess_id: 0, encap: 16778240Jul 3 10:41:41: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-DHCP: aaa_update_dhcp_cctcfg_iphost:added iphost x.x.x.189 to cctJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-DHCP: aaa_idx 502f8fe6: aaa_is_dhcp_clips_bounce_up: bounce flag 0 class 0x0 iphost 0.0.0.0Jul 3 10:41:41: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:41:41: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:41:41: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to client Что посоветуете делать?) Допилить раидус чтоб отправлял в Access-Accept не Framed_IP_Pool а Framed_IP_Address ? Или что-то не так в конфиге ?

Написал на почту но пока что так и не получили ответа... может пока они ответят кто то хотя бы процитирует какие то сообщения из закрытой группы которые могли бы нам помочь разобраться с данной проблемой, или хоть помогут реализовать Dynamic non-DHCP Clips ? Так же есть проблемы при использовании Dynamic Clips при том что SE1200 работает как DHCP Relay или DHCP Proxy... Проблема заключается в том что клиенты получают IP но уже не поднимается субскрайбер... В логах пишет: AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.x since ip is already used Вообщем получается сразу 3 проблемы с которыми столкнулись... Во первых как завести нормально NON-DHCP Dynamic Clips со схемой когда L3 Gateway клиентов на БРАС-е, или когда он где то на другом девайсе а на БРАС трафик приходит через L3VPN и на БРАСе он должен проходить авторизацию.. А так же проблема с DHCP Relay/Proxy + CLIPS на SE1200.. Помогите)) а то чувствую что пока ответят на письмо нас тут всех уволят)))

Нет, а как его получить ? Куда писать ? буду очень благодарен если дадите инфу по этому поводу.

отзовитесь кто-нибудь в документации не где ответы на свои вопросы не могу найти... нужна помощь гуру..