itt1b

Здравствуйте! Собрал вот такую схему на ASR-1004: абонент по opt.82 ---> gi0/1/1.2823 ---> ten0/0/0.510 ---> тазик с NAT ---> обратно через ASR в мир На gi0/1/1.2823 навешен PBR, на ten0/0/0.510 - ISG. Если не включать ISG - все чудесно работает, абонентский трафик НАТится на тазике и уходит в интернет. Включаю ISG (ip subscriber routed) - сессия не поднимается, трафик не ходит, к радиусу запросов нет. Если убираю PBR и вешаю туда ISG+"белые" адреса - все работает, сессии поднимаются, трафик ходит. Вот так настроены интерфейсы: interface GigabitEthernet0/1/1.2823 encapsulation dot1Q 2823 ip dhcp relay information trusted ip dhcp relay information policy-action keep ip unnumbered Loopback5 ip helper-address xx.xx.xx.xx no ip redirects no ip unreachables no ip proxy-arp ip policy route-map NAT-PBR interface TenGigabitEthernet0/0/0.510 encapsulation dot1Q 510 ip address 10.45.16.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp service-policy type control IPoE-ISG ip subscriber routed initiator unclassified ip-address Вот так настроен ISG: policy-map type control IPoE-ISG class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OG 40 service-policy type service name L4REDIRECT ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 log-session-state ! class type control always event session-restart 10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OG 40 service-policy type service name L4REDIRECT ! Вот PBR: ip access-list extended NAT-USERS permit ip 172.19.0.0 0.0.255.255 any deny ip any any route-map NAT-PBR permit 100 match ip address NAT-USERS set ip next-hop 10.45.16.2 Маршрут на "белые" адреса после NAT: ip route xx.xx.xx.xx 255.255.255.192 10.45.16.2 Собственно, вопрос: почему нет инициализации сессии на ten0/0/0.510 после PBR и как это победить?   Пока писал, подумалось: а ведь ten0/0/0.510 не является входящим интерфейсом для этого трафика, поэтому сессия и не поднимается? А если так, то как решить? Может, как-то через VRF?

Нет задачи >10G. Там линк больше 2G, поэтому десятка. Он сейчас просто через ж.. и порт-ченнел включен.

Здравствуйте! Подскажите, станет ли этот модуль в ASR-1004, ESP10? Похожая железяка стоит: SPA-1XTENGE-XFP V2. Смущает V03, не нашел в спецификациях.

С аплинком всех хорошо - там честный 1G, стоит пустой почти, клиенты на не-пон порту сложностей не испытывают, все указывает на PON-сегмент. На днях будет SFP, заменим, проверим. Насчет софта - согласен, но после выяснения причины текущей аномалии.

Уже больше года стоит P3310B 10.1.0B build 29333 с 4 SFP, порядка 40 клиентов. С неделю назад пошли жалобы с разных веток на скорость. Приехали, померяли тестером -17dB, т.е. в бюджет укладываемся с лихвой. Цепляем ноутбук прямо с коробки, в сплиттер - пинг стабилен, пока не возрастает нагрузка. Потом начинаются потери, обрывы. В некоторых случаях даже адрес по DHCP не получаем. С той же железки включен клиент в обычный 1G порт - никаких проблем. Сейчас стоит сильная жара - было подозрение на перегрев - посоветовали доставить 2 кулера (почему-то в штатной поставке их не было). Ситуация не изменилась. Температура на модулях - 34-35 градусов. Просто попробовать поменять SFP сейчас возможности нет - их везти надо.

Ок, с 2FV более-менее понятно - лучше не насиловать железку. А вот если на in повесить что-то типа 0.0.0.0/0 le 18 - насколько это поможет сократить кол-во префиксов? Задача в балансе исходящего трафика, в общем.

Софт реконфиг и не включал: neighbor xx.xx.xx.xx remote-as yyyyy neighbor xx.xx.xx.xx version 4 neighbor xx.xx.xx.xx route-map up1-in in neighbor xx.xx.xx.xx route-map up1-out out

Вот они, все яйки в одной корзинке :) Во всей красе. Да, именно так. Самому не нравится BRAS с бордером в одной коробке, но пока нет возможности разнести (планируется). А по существу, взлетит 2FV? А может, лучше бордером поставить (пока) нормальный сервак на Xeon и 10G картами и рулить аплинками кваггой?

Есть вот такая коробка: cisco ASR1004 (RP1) processor with 679497K/6147K bytes of memory. 18 Gigabit Ethernet interfaces 1 Ten Gigabit Ethernet interface 32768K bytes of non-volatile configuration memory. 4194304K bytes of physical memory. 937983K bytes of eUSB flash at bootflash:. 39004543K bytes of SATA hard disk at harddisk:. Сможет ли она прожевать 2FV от двух аплинков? Штука в том, что когда я начал принимать от одного аплинка все, не фильтруя, префиксы дошли до ~600К и BGP ресетнулось. Коробка при этом "задумывалась" слегка. Soft reconfiguration на пирах не включал. P.S. на ней еще висят ~2000 pppoe/isg сессий.

Спасибо, все получилось.

Здравствуйте! Пробую подключить по vpn к серверу pfsense, сертификаты и файл конфигурации экспортировал. Заливаю в телефон, а при попытке активировать VPN получаю "VPN конфигурация отсутствует". Вот конфиг: dev tun persist-tun persist-key cipher AES-256-CBC auth SHA1 tls-client client resolv-retry infinite remote xx.xx.xx.xx 2000 tcp-client ca ca.crt cert client.crt key client.key tls-auth ta.key 1 ns-cert-type server comp-lzo adaptive Можно пример рабочего конфига?

Была аналогичная проблема с роутерами Netis. Только не работали Одноклассники. Решилось сменой МТУ, конкретики не помню - давно было.

Снимать данные с 64-битных счетчиков.

Досталась СХД IBM DS-3512, с двумя модулями управления Drive module I/F-6. Но вот беда - в них нет кэш-памяти и аккумуляторов. Вопрос - какая туда нужна память (там планка DDR) и, в случае установки памяти, будет ли работать без аккумулятора (но, очевидно, отключится WriteBack, ну и черт с ним)?

Не могли бы пояснить? Что именно? Зачем городить огород с двумя наборами "хороших" и "не очень" ip адресов? В мир выпускаются только активные адреса. Все остальные - неактивные, должники и т.п., допускаются только к прафайлу и платежным формам. У меня сделано так: серые адреса выдаются еще неизвестному системе оборудованию, а белые адреса - уже известному и закрепленному за абонентом. При задолженности белые адреса на ISG заруливаются на личный кабинет. Перерасход белых адресов на должниках конечно есть, но пока не критично, а далее можно просто особо злостным неплательщикам (2-3 мес) просто снимать привязку.

Запоздалая новость. Уже два дня как все работает. Коснулось операторов МТС (Vodafon) и Life и не во всех районах. Местный Феникс - не падал.

ASR1004.

Натурный тест на очень китайском Tk-link (она даже без DDM) показал, что месяц включенная напрямую в OLT P3310 онушка потом заводится через 1x16 сплиттер. Какие уровни сигнала при этом - хз, DDM нет.

Господа цисководы! Какие XFP одноволоконные можно ставить в SPA-1X10GE-L-V2 ? И какие есть аналоги этого SPA, только с 2(4) 10G портами?

Это ж не каталист, это ASR. Там такого нет. Только port-channel load-balancing vlan-manual.

Глупый вопрос, но: как?

4#sh etherchannel load-balancing EtherChannel Load-Balancing Method: Global LB Method: flow-based Port-Channel: LB Method Port-channel1 : flow-based Port-channel2 : flow-based

Попутный вопрос про балансировку. Есть ASR1004 и D-link 3420. Построены port-channel по двум портам: ASR: interface GigabitEthernet0/2/0 no ip address negotiation auto channel-group 1 mode active end ! interface GigabitEthernet0/2/1 no ip address negotiation auto channel-group 1 mode active end ! interface Port-channel1 ip address xx.xx.xx.xx 255.255.255.252 ip virtual-reassembly no negotiation auto end D-Link: Command: show link_aggregation Link Aggregation Algorithm = IP-Source-Dest Group ID : 10 Type : LACP Master Port : 17 Member Port : 17,19 Active Port : 17,19 Status : Enabled Flooding Port : 17 Trap : Disabled Command: show lacp_port 17,19 Port Activity ----- -------- 17 Active 19 Active Конфиг d-link: config link_aggregation algorithm ip_source_dest create link_aggregation group_id 10 type lacp config link_aggregation group_id 10 master_port 17 ports 17,19 state enable config lacp_port 17,19 mode active sh int po 1: MTU 1500 bytes, BW 2000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 7/255, rxload 5/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 No. of active members in this channel: 2 Member 0 : GigabitEthernet0/2/0 , Full-duplex, 1000Mb/s Member 1 : GigabitEthernet0/2/1 , Full-duplex, 1000Mb/s No. of PF_JUMBO supported members in this channel : 2 sh int po 1 etherchannel: All IDBs List contains 2 configured interfaces Port: GigabitEthernet0/2/0 (index: 0) Port: GigabitEthernet0/2/1 (index: 1) Active Member List contains 2 interfaces Port: GigabitEthernet0/2/0 LACP Mode: Active Port: GigabitEthernet0/2/1 LACP Mode: Active Passive Member List contains 0 interfaces Load-Balancing method applied: flow-based Bucket Information for Flow-Based LB: Interface: Buckets GigabitEthernet0/2/0: Bucket 0 , Bucket 1 , Bucket 2 , Bucket 3 Bucket 4 , Bucket 5 , Bucket 6 , Bucket 7 GigabitEthernet0/2/1: Bucket 8 , Bucket 9 , Bucket 10, Bucket 11 Bucket 12, Bucket 13, Bucket 14, Bucket 15 На d-link эти порты в vlan с 10G аплинком. На циске видно, что трафик раскладывается по интерфейсам. Так вот, трафик приближается к 1G, может чуть превышает. Но совершенно точно известно, что его там может быть больше. Не правильно работает аггрегация?

На рабочую линию с делителями уже не сможете воткнуть, лазер скорее всего посадили. Ок, проверим - отпишусь.

OLT P3310B, ONU - че-то очень китайское Tk-link, без DDM. Воткнуто для теста напрямую в порт - уже месяца два. Через сплиттер тоже подключали. Единственное, что метраж до ONU показывает N/A.