caz Опубликовано 5 апреля, 2011 · Жалоба 2. Ну, я не могу говорить за разработчиков. Я скажу в следующем основном релизе. получается, в том же, где и NAT допилят? :) 3. Может быть вам стоит добавить ещё один SE100? :) нас спасет только SE600.. правда по dpi есть вопрос - производительность? не подскажите какая у 1 модуля? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 6 апреля, 2011 (изменено) · Жалоба кто-то может сказать что NAT на текущей версии OS полностью работает корректно? когда-то пытался завести, вроде как все получилось, но начали жаловаться абоненты, что в некоторые игры стало невозможно играть + перестали работать какие-то приложения.. Алексей, ты включал endpoint-independent filtering udp в натовой полиси? В общем НАТ работаем вполне корректно. Единственное - как и везде кроме туннелей. нас спасет только SE600.. правда по dpi есть вопрос - производительность? не подскажите какая у 1 модуля? у ASE сейчас производительность 2G full, как в SCE2020. Target performance 10G. В конце года должен выйти ASE2. Вернее в нем появится DPI. Там performance будет 20G на сколько я помню Изменено 6 апреля, 2011 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 6 апреля, 2011 · Жалоба p.s.s кто-то может сказать что NAT на текущей версии OS полностью работает корректно? когда-то пытался завести, вроде как все получилось, но начали жаловаться абоненты, что в некоторые игры стало невозможно играть + перестали работать какие-то приложения.. Прочтите последнюю главу в Policy How To про NAT. Там все написано, как этого избежать. Судя по всему, когда вы его пробовали, то не включили в натовой полиси endpoint-independent filtering udp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.anatoly Опубликовано 6 апреля, 2011 · Жалоба Денис, спасибо за howto по qos policy. Интересуют инструменты мониторинга загрузки абонентом выделенной ему полосы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 6 апреля, 2011 · Жалоба Денис, спасибо за howto по qos policy. Интересуют инструменты мониторинга загрузки абонентом выделенной ему полосы. Анатолий, это можно оценить при помощи команды sh circuit counters username xxxxx detail Например [dhcp]xxxxx#sh circuit counters username 90:e6:ba:d3:af:88 detail Circuit: 4/1 vlan-id 6 clips 485068, Internal id: 7/2/187935, Encap: ether-dot1q-clips Packets Bytes ------------------------------------------------------------------------------- Receive : 2681993 Receive : 2718174187 Receive/Second : 1526.34 Receive/Second : 1225929.32 Transmit : 2364402 Transmit : 1864385432 Xmits/Queue Xmits/Queue 0 : 2364402 0 : 1864385432 1 : 0 1 : 0 2 : 0 2 : 0 3 : 0 3 : 0 4 : 0 4 : 0 5 : 0 5 : 0 6 : 0 6 : 0 7 : 0 7 : 0 Xmit Q Deleted : 0 Xmit Q Deleted : 0 Transmit/Second : 1590.23 Transmit/Second : 1543964.41 IP Multicast Rcv: 0 IP Multicast Rcv: 0 IP Multicast Tx : 0 IP Multicast Tx : 0 Unknown Encaps : 0 Unknown Encaps : 0 Down Drops : 0 Down Drops : 0 Unreach Drops : 0 Unreach Drops : 0 Adj Drops : 0 Adj Drops : 0 WRED Drops Total: 0 WRED Drops Total: 0 WRED Drops/Queue WRED Drops/Queue 0 : 0 0 : 0 1 : 0 1 : 0 2 : 0 2 : 0 3 : 0 3 : 0 4 : 0 4 : 0 5 : 0 5 : 0 6 : 0 6 : 0 7 : 0 7 : 0 Tail Drops Total: 0 Tail Drops Total: 0 Tail Drops/Queue Tail Drops/Queue 0 : 0 0 : 0 1 : 0 1 : 0 2 : 0 2 : 0 3 : 0 3 : 0 4 : 0 4 : 0 5 : 0 5 : 0 6 : 0 6 : 0 7 : 0 7 : 0 IP Counters Soft GRE MPLS : 0 Soft GRE MPLS : 0 Not IPv4 drops : 0 Not IPv4 drops : 0 Unhandled IP Opt: 0 Bad IP Length : 0 Bad IP Checksum : 0 Not IPv6 drops : 0 Not IPv6 drops : 0 Broadcast Drops : 0 ARP Counters Drops : 0 Drops : 0 Unreachable : 0 Unreachable : 0 NAT Counters Receive Drops : 0 Receive Drops : 0 Rate Refresh Interval : 60 seconds тут видно, что в среднем за 60 sec. у этого абонента скорость 1225929 байт/сек upstream и 1543964 байт/сек downstream Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 апреля, 2011 · Жалоба Посдскажите а IPV6oE - он сможет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 9 апреля, 2011 · Жалоба Посдскажите а IPV6oE - он сможет ? CLIPSv6 сможет в скором будуещем. Сегодня может PPPoEv6, L2TP LNSv6, включая dual-stack, обычные v6 интерфейсы и routing. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 апреля, 2011 · Жалоба мак адрес можно задать на интерфейс? на лету можно менять без перерыва сервиса? по умолчанию как мак адреса генерируются на интерфейсы: префикс для всей железки и изменяются последние 3 дуплета или один мак адрес на железный интерфейс и на всех виртуальных он повторяется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 10 апреля, 2011 · Жалоба мак адрес можно задать на интерфейс? на лету можно менять без перерыва сервиса? по умолчанию как мак адреса генерируются на интерфейсы: префикс для всей железки и изменяются последние 3 дуплета или один мак адрес на железный интерфейс и на всех виртуальных он повторяется? Каждый физический eth порт имеет мак адрес. Если для физического порта создаются dot1q pvc и к ним привязываются интерфейсы, то они наследуют мак адрес физического порта. Вы можете изменить мак для таких pvc вручную [local]ceramix(config-dot1q-pvc)#mac-address ? hh:hh:hh:hh:hh:hh MAC address Изменение мак адреса приводит к переписыванию старой записи. Для SE этого происходит молниеносно. На сколько быстро окружение изучит новый мак, сложно сказать (в том плане, что специальных gratuitous arp железка на это событие генерить не будет). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gadson Опубликовано 14 апреля, 2011 · Жалоба А какая цена на модуль 4-х портовый по 1 GE для SE100, хотяб приблизительно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 14 апреля, 2011 (изменено) · Жалоба нет 4-х портового модуля для нее. есть только модуль на 2 порта 1Г. в шасси можно установить до 2-х модулей. отдельно модули покупать не стоит, т.к. сейчас весь бандл Smartedge 100 в НАГе можно купить дешевле, чем шасси + модули. Изменено 14 апреля, 2011 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kdserg Опубликовано 14 апреля, 2011 · Жалоба p unnumbered там есть, но если задача каждому абоненту давать /32, то там и без этого это работает. вернее только так и работает в случае ipoe. в случае ipoeodot1q можно выдать подсеть больше, чем /32 Судя по документации это не так. If this subscriber will be a user of clientless IP service selection (CLIPS), or if this named or default subscriber profile is intended for such subscribers, follow these guidelines: For static CLIPS circuits, a subscriber record or its assigned profile must have one and only one IP address. If you enter this command more than once for a subscriber record or profile, only the last IP address is applied to the static CLIPS circuit. For dynamic CLIPS circuits, do not use this command to assign an IP address; instead, use the dhcp max-addrs command (in subscriber configuration mode) and specify 1 as the value for the max-num argument. For more information about the dhcp max-addr command, see the Command List. Для статик CLIPS это работает как и написано. Клиент может работать только с последним IP. Для динамик не проверял, судя по выше приведенному тоже можно назначить только один адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 14 апреля, 2011 · Жалоба ну накиньте профиль абонента на его vlan и все, а там хоть что угодно пускайте. да решение для static CLIPS и что? в любом случае подсети больше чем /32 не массовый сегмент Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kdserg Опубликовано 15 апреля, 2011 · Жалоба ну накиньте профиль абонента на его vlan и все, а там хоть что угодно пускайте. Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов. да решение для static CLIPS и что? в любом случае подсети больше чем /32 не массовый сегмент Для юриков у нас это востребованное решение и его надо на чем-то делать и SE-100 для этого не подходит. Для кого-то это может быть и не массовый сегмент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 15 апреля, 2011 · Жалоба Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов. Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered. ! context local ! interface dot1q-subs multibind ip address 155.53.1.254/24 ip arp proxy-arp ! aaa authentication subscriber local ! subscriber name client-1 ip address 155.53.1.4 ip address 155.53.1.5 ip address 155.53.1.6 ip address 155.53.1.7 subscriber name client-2 ip address 155.53.1.64 ip address 155.53.1.65 ! ! ! ** End Context ** ! port ethernet 2/2 no shutdown encapsulation dot1q dot1q pvc 100 bind subscriber client-1@local dot1q pvc 200 bind subscriber client-2@local ! И таких клиентов я могу наплодить сколько душе угодно. У них у всех маска короткая, я так понимаю ip unnumbered делает тоже самое? Едиснтвенное отличие в том, что каждый клиент (юр.лицо) сидит в своем влане. Адресация работает правильно и SE делает прокси arp, чтобы они могли взаимодейтсвовать внутри своей короткой маски (/24 как в данном примере и шлюз у них .254). [local]ceramix#show subscribers active client-1@local Session state Up Circuit 2/2 vlan-id 100 Internal Circuit 2/2:1023:63/1/2/10 Interface bound dot1q-subs Current port-limit unlimited Protocol Stack IPV4 ip address 155.53.1.4 (applied) ip address 155.53.1.5 (applied) ip address 155.53.1.6 (applied) ip address 155.53.1.7 (applied) client-2@local Session state Up Circuit 2/2 vlan-id 200 Internal Circuit 2/2:1023:63/1/2/11 Interface bound dot1q-subs Current port-limit unlimited Protocol Stack IPV4 ip address 155.53.1.64 (applied) ip address 155.53.1.65 (applied) [local]ceramix# Поскольку каждый такой dot1q pvc - это абонент - то для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА. Более того это позволяет переместить арпы на SE, который может проглатывать их до 5тыс в секунду (SE100). Едиснтвенный момент - L2 до SE, но имхо в этом нет ничего криминального. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 апреля, 2011 · Жалоба а проксиарп на таких интерфейсах где абонент с несколькими адресами как себя ведёт? так же отвечает ему и за его адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 16 апреля, 2011 (изменено) · Жалоба а проксиарп на таких интерфейсах где абонент с несколькими адресами как себя ведёт? так же отвечает ему и за его адреса? если как в примере из предыдущего сообщения - то не отвечает, а если сделать вот так ! interface dot1q-subs multibind ip address 155.53.1.254/24 ip arp proxy-arp always ! то будет отвечать всем адресам в одном и томже dot1q pvc. Предвосхищая следующий вопрос... можно заменить ip arp proxy-arp на ip arp secured-arp [always], тогда прежде чем отвечать на какой бы то нибыло arp, SE будет проверять на предмет того, а должен ли вообще быть такой source ip в этом dot1q subscriber, и если нет, то arp запрос дропается. Изменено 16 апреля, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 апреля, 2011 · Жалоба а будет аналог ip unnumbered [iface] poll ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 16 апреля, 2011 · Жалоба В двух словах поясните плиз что это? в смысле что оно делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kdserg Опубликовано 16 апреля, 2011 · Жалоба Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов. Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered. Буду рад, если ошибся в выводе, но у меня не заработало. Клиент pcaa0002 работал только с адресом 46.164.239.3. SE-100, Redback Networks SmartEdge OS Version SEOS-6.2.1.6-Release Built by sysbuild@SWB-node04 Fri Dec 17 09:18:59 PST 2010 context l2clips ! ip name-servers 195.98.64.65 ip name-servers 195.98.64.66 ip domain-lookup ! interface aa multibind ip address 46.164.239.1/24 ip arp timeout 300 ip arp proxy-arp always ip arp delete-expired ! interface upl ip address 217.25.224.122/27 ip source-address radius no logging console ! router ospf 1000 fast-convergence router-id 217.25.224.122 area 0.0.0.0 interface upl redistribute connected redistribute subscriber redistribute static summary-address 46.164.239.0/24 ! aaa authentication administrator local aaa authentication administrator maximum sessions 1 aaa authentication subscriber local ! subscriber name pcaa0000 ip address 46.164.239.32 ip interface name aa subscriber name pcaa0001 ip address 46.164.239.7 ip interface name aa subscriber name pcaa0002 ip address 46.164.239.15 ip address 46.164.239.3 ip interface name aa ! port ethernet 2/15 no shutdown encapsulation dot1q dot1q pvc 59 bind interface upl l2clips dot1q pvc 121 service clips clips pvc 1 bind subscriber pcaa0000@l2clips dot1q pvc 122 service clips clips pvc 2 bind subscriber pcaa0001@l2clips dot1q pvc 123 service clips clips pvc 3 bind subscriber pcaa0002@l2clips Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 16 апреля, 2011 (изменено) · Жалоба to kdserg Все врено. У вас просто pcaa0002 - это обычный static clips, описание работы которого вы совершенно справедливо процитировали из документации. Я же говорю о том, что наличие нескольких адресов возможно только для dot1q subscriber. Обратите внимание как отличаются в вашем примере конфигурация ваших pvc от, того что привел я выше. У меня в pvc нет service clips. [local]ceramix#show subscribers TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- dot1q 2/2 vlan-id 100 client-1@local local Apr 16 07:42:34 dot1q 2/2 vlan-id 200 client-2@local local Apr 16 07:42:34 -------------------------------------------------------------------------------- Total=2 В вашем же случае TYPE будет clips Изменено 16 апреля, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 апреля, 2011 · Жалоба В двух словах поясните плиз что это? в смысле что оно делает? в двух словах при статических адресах у абонентов не надо создавать и провизионить много много маршрутов. идея состоит в том чтобы текущих пользователей у которых стат. адреса не делать как статик клипс абонентов(не вбивать тяжёлую конфу и потом её не править при смене вланов/адресов), а если человек поставит себе dhcp то он станет для SE абонентом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kdserg Опубликовано 16 апреля, 2011 · Жалоба to kdserg Все врено. У вас просто pcaa0002 - это обычный static clips, описание работы которого вы совершенно справедливо процитировали из документации. Я же говорю о том, что наличие нескольких адресов возможно только для dot1q subscriber. Понятно. А чем тогда отличается static clips от dot1q subscriber, если "для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА" Можно для dot1q subscriber задать конфигурацию через радиус, а не локально? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 16 апреля, 2011 · Жалоба Понятно. А чем тогда отличается static clips от dot1q subscriber, если "для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА" Отличаются они тем, что в случае с clips subscriber вы можете создать их до 16тыс в одном влане и у каждого /32. А в случае с dot1q subscriber он у вас один на влан и тогда можно несколько адресов. Можно для dot1q subscriber задать конфигурацию через радиус, а не локально? Безусловно, адресация формируется тогда при помощи двух атрибутов: Framed-IP-Address и Framed-IP-Netmask. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kdserg Опубликовано 16 апреля, 2011 · Жалоба To macharius Спасибо. Это то что мне нужно. Видимо документацию читал не совсем в том месте :) Еще бы более либеральная ценовая политика и SE-100 был бы почти идеальным брасом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...