Ericsson / Redback Smartedge. Отзывы, реальная производительность.

давайте я вам всех "блондинок", которым на работе корп. доступ в виде PPTP сделали, и просто всех хороших людей со старыми и никому ненужными протоколами, буду переводить в Сан Хосе.

и вы им будете объяснять, а лучше за них платить навязанную услугу внешнего адреса :)

 

да, блондинок здесь и вправду не хватает ;)

На самом деле, я понимаю, что если что-то не работает, то виноват провайдер. Есть несколько вариантов решения:

1) использовать ALG (на PPA этого не будет).

2) делать отдельный "белый" пул адресов, который вешать на сессии "проблемных" клиентов.

3) выдавать серый адрес юзерам, но делать NAT 1:1 - в таком случае другие пользователи не будут плакать, что у них серые, а вот у этих белые адреса.

4) ничего не делать, посылать пользователей к их админам

5) предлагать использовать IPv6 :)

6) можно попытаться редиректить такой трафик на специальную машинку, занимающуюся ALG.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Помогите начинающему ериксоноводу, пытаюсь на se 100 настроить сервер доступа l2tp, может кто поделится примером конфигурации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По документации максимум смог извлечь информации чтоб накидать такой конфиг

aaa accounting l2tp tunnel radius

aaa accounting l2tp session radius

radius accounting server x.x.x.x encrypted-key xxxx

!

l2tp-peer default

description vpn.ru

session-auth chap

function lns-only

!

 

Клиент к серверу даже не пытается подключиться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

минимальная настройка следующая

!
context local
!
interface loop loopback
 ip address 1.1.1.1/32
!
!
interface uplink
 ip address x.x.x.x/30
!
interface downlink
 ip address y.y.y.y/30
!
interface subs multibind lastresort
 ip unnumbered loop
logging console
! 
aaa authentication subscriber radius  
!
radius server 10.126.131.167 encrypted-key 3828082561D6BDD6
!
!
l2tp-peer unnamed local 1.1.1.1
 session-auth chap context local
 function lns-only
!
! ** End Context **
!
port ethernet 2/2 
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc 100 
 bind uplink local
dot1q pvc 200 
 bind downlink local
!

 

Абоненты приходят по l2tp в контекст local на адрес 1.1.1.1 и там же происходит их аутентификация. Если есть необходимость, то сами тунели l2tp можно опускать в один котекст, а идущие внутри ррр сессии в другой. Ну и не забыть для примера выше добавить маршруты для радиус, плюс default (или запустить динамический протокол маршрутизации).

 

P.S. Забыл сказать, что для данного примера вам нужно с радиуса присылать адрес абоненту в Framed-IP-Address

Изменено пользователем macharius

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кидает в лог следущее при попытке подключения

Aug 7 05:51:06: %L2TP-6-TUNNEL: MikroTik: Couldn't create peer for incoming SCCRQ

 

Вот текущий конфиг

!

context bras

!

no ip domain-lookup

!

interface loop loopback

ip address 172.16.0.1/32

!

interface subs multibind

ip unnumbered loop

!

interface uplink

description -g2/1-

ip address x.x.x.x/27

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip access-group DropIn in

!

interface user

!

interface users

description -g2/2-

ip address 192.168.0.20/24

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip access-group PermitIn in

logging console

ip martian 10.0.0.0/8

ip martian 192.168.0.0/24

!

ip access-list DropIn

seq 10 deny ip 10.0.0.0 0.255.255.255 any

seq 20 deny ip 169.254.0.0 0.0.255.255 any

seq 30 deny ip any 10.0.0.0 0.255.255.255

seq 40 deny ip any 169.254.0.0 0.0.255.255

seq 50 deny ip any 192.168.0.0 0.0.255.255

seq 1000 permit ip any any

!

ip access-list PermitIn

seq 10 permit ip 192.168.0.0 0.0.0.255

seq 20 permit ip 10.0.0.0 0.255.255.255

!

enable authentication local

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa accounting l2tp tunnel radius

aaa accounting l2tp session radius

radius accounting server 192.168.0.253 encrypted-key xxxx

!

radius server 192.168.0.253 encrypted-key xxxx

!

ip route 10.0.0.0/8 192.168.0.254

!

l2tp-peer unnamed local 172.16.0.1

session-auth chap context bras

function lns-only

!

 

 

!

end

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот тут попробуйте подправить (чтоб как в моем примере было)

interface subs multibind lastresort

Изменено пользователем macharius

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сделал эффект тотже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

покажите плиз show config port, show radius server.

С какого ip приходят пакеты от клиента? какой ip указан в качестве vpn сервера на клиенте? Клиент его пингует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если они должны цепляться на 192.168.0.20

то переделайте вот тут:

 

!

l2tp-peer unnamed local 192.168.0.20

session-auth chap context bras

function lns-only

!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ok :), чтоб долго не гадать - качните policy how to с нага, там все самое необходимое расписано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну профили вроде несложно настроить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вопрос: в коммутаторах доступа присутствует функция igmp authentication, смысл её заключается в том при каждом запросе группы, она предварительно аутентифицируется через RADIUS, так же задействован MVR(ISM), и L3 роутер отдаёт мультикаст через отдельный VLAN(не пользовательский).

в концепции единой точки оказания услуг(vlan-per-customer) предусматривается единая точка оказания - BRAS(предположим он же отдаёт мультикаст), но если поменять схему(убрать IGMP Auth и MVR с доступа) и сделать чтобы BRAS аутентифицировал IGMP запросы(каналы которые можно смотреть) то теряется масштабируемость, фактически мультикаст превращается в юникаст.

Возможно ли в SE сделать RADIUS прокси, т.е. в качестве радиус сервера на коммутаторе будет указан адрес SE, при ААА абонента(static/dynamic CLIPS) SE передаётся профиль пользователя(мультикаст влан,разрешённые группы, мак адрес приставки), и при запросе канала(кстати запрос придёт в мультикаст влане, с подделаным IP адресом, но мак адресом приставки) SE уже отвечал коммутатору, и соответственно пускал группу в мультикаст влане?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сейчас реализована фича, которая позволяет принимать контрольные сообщения igmp в выделенном, не абонентском dot1q pvc, как от известных, так и от неизвестных абонентских маков (регулируется). Соответсвенно, в этот же pvc она отдает сам мультикаст. Детали сейчас точно не помню, это работает для рррое точно, могу проверить для clips. Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно?

 

это часть проблемы.

интересно было бы, чтобы BRAS аутентифицировал каналы(на основании один раз выданного профиля через RADIUS), но точкой оказания этой услуги всё равно выступает коммутатор, просто он будет должен запрашивать у BRAS, а не у центрального RADIUS сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ingress а зачем? логичнее для этого юзать отдельный радиус, который будет рулить igmp в соотвествии с биллингом или чем надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а зачем?

 

а за тем что радиус должен быть один, а не 100500 под каждую фенечку, и он должен ААА абонента проводить с одной точки, вот эта одна точка и есть BRAS(а не тысячи коммутаторов), биллинг выдал ему профиль IPTV для пользователя, а дальше BRAS решает что давать а что нет, просто "вентиль" услуги в данном случае всё равно находится на коммутаторе, просто потому что "вентиль" на самом BRAS не возможен в условиях масштабируемости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

блин теперь не удается победить OSPF

Вот конфиг на циске(5 цисок все работает):

router ospf 99

router-id 1.1.1.1

log-adjacency-changes

redistribute connected subnets

passive-interface default

no passive-interface FastEthernet0/1

network x.x.x.x 0.0.1.255 area 1

network y.y.y.y 0.0.0.31 area 0

 

Вот конфиг эриксона(циски не видит...):

router ospf 99

fast-convergence

router-id 1.1.1.2

area 0.0.0.0

passive

interface uplink

summary-address y.y.y.y/27

area 0.0.0.1

passive

redistribute subscriber

summary-address x.x.x.x/23

 

В доке както туговато с примерами(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

обе арии сделали пассивными, а значит и все интерфейсы в них, попробуйте убрать passive

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

странно passive убрал заработало... хотя это неправильно...

 

чтото я тогда недопонял смысл passive, видимо это не тоже что у циски passive-interface default

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почему неправильно? в документации написано, что если команда passive применяется к арии, то она делает пассивными все интерфейсы в этой арии. В SE конфигурация арии наполняется интерфейсами явно, т.е. либо вы указываете имя интерфейса, либо ip, но не wildcard. Т.о. необходимость в команде passive-interface default (cisco) нет, т.к. логика тут немного другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

 

<host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE>
                                   |
<host>---<access_sw>----dot1q-------+

...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

 

<host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE>
                                   |
<host>---<access_sw>----dot1q-------+

...

 

А по подробнее нету схемы с описанием для новичков что называется...

И немного непонятно как будет устроена архитектура внутри сети,я какие адреса начиная с SE и заканчивая user.

Изменено пользователем smiler999

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

осталось победить нетфлоу... пытаюсь создать ip профиль нужных команд невижу...

[local]bras(config)#flow ?

admission-control Configure Flow Admission-Control

 

и все.... а по доке flow ip profile profile-name

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Действительно, а есть ли success story PPPoE + netflow? А то IPoE, IPoE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0