semop
-
Публикации
469 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем semop
-
-
Соурс вообще убрал.
Отключил cgn. Проверяю.
Это нормально, что CGN логировать не умеет?
И почему у людей выше, да и во всех темах - cgn включен + логирование
-
Здравствуйте.
Поделитесь пожалуйста рабочим конфгом для цыски ASR для логирования НАТа по 263 шаблону.
Сейчас так сконфигурено:
Абоны получают IP на SE600, там средствами PBR бегут на ASR, где НАТятся.
Конфиг АСР:
flow record FLOW-RECORD
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
collect interface output
collect flow sampler
collect ipv4 ttl minimum
collect ipv4 ttl maximum
collect transport tcp flags
collect routing destination as
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
!
flow exporter FLOW-ASR
destination 10.252.1.2
source TenGigabitEthernet0/0/0.3904
transport udp 1532
!
!
flow monitor FLOW-monitor
exporter FLOW-ASR
cache timeout active 60
record FLOW-RECORD
!ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 30
ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3904
ip nat log translations flow-export v9 vrf 0 on
ip nat translation timeout 1800
ip nat translation tcp-timeout 300
ip nat translation pptp-timeout 1000
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries all-host 2048
ip nat pool nat-pool x.x.x.x y.y.y.y prefix-length 29
ip nat inside source list 100 pool nat-pool overload!
interface TenGigabitEthernet0/0/0.3906
description TO_FLOW_collector
encapsulation dot1Q 3906
ip address 10.252.1.1 255.255.255.252!
interface TenGigabitEthernet0/0/0.3904
description p2p_ASR-SE_for_NAT
encapsulation dot1Q 3904
ip address 10.251.1.2 255.255.255.252
ip nat inside
ip flow monitor FLOW-monitor input
ip flow monitor FLOW-monitor output!
interface TenGigabitEthernet0/0/0.3905
description INET
encapsulation dot1Q 3905
ip address Y.Y.Y.Y 255.255.255.252
ip nat outsideПри таком конфгие льются 262 и 264 шаблоны (верхний конфг flow). А 263 шаблон (который ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3904 - не льется)
ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 - так тоже не льется
ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3906 - тоже не льется
Вопрос:
Что указывается в соурсе логирования НАТа? Интерфейс коллектора? Интерфейс абонентов? В описании вообще нет про это ничего) Можно с ним, можно без него. А как правильно?)
Читал соседнюю тему, там был баг у цыски. С какими то костылями в виде маршрутов, чтоб заработал V9
Так и не понял зачем и куда его заворачивать.
-
Продублирую из соседнего топика.
Пробую запустить l2vpn сервисы на SE.
bridge profile VPLS trunk vpls profile TEST_VPLS neighbor 172.27.1.3 pw-encap vlan bridge-profile VPLS interface VPLS_test-1 ip address 172.27.7.1/24 bridge VPLS_A vpls pw-id 3911 profile TEST_VPLSКак подружить Bridge VPLS_A с интерфейсом?
Пробовал через BVI:
port bvi PVI
bind interface VPLS_test-1 local
###bridge name VPLS_A localJan 16 21:21:20: %VLAN-3-ERR: rcm : can't bind BVI port to VPLS enabled bridge
Ругается.
И BVI service cpips dhcp не умеет.
Необходимо по l2vpn приземлять сервисы прямо на SE.
Мак ноутбука вижу:
[local]BRAS#sh bridge tab all
Context Bridge Group MAC Circuit
local VPLS_A 00:30:88:04:99:51 sysMac-All Circuits
local VPLS_A 00:a0:d1:5b:53:55 VPLS 16Хочу так:
port ethernet 1/3
dot1q pvc 3911
bind interface VPLS_test-1 localbridge name VPLS_A local
service clips dhcp
Да даже необязательно с pvc (если это важно), главное как то поженить VPLS коммутацию с IP интерфейсом SE прямо на коробке.
Не понимаю как это сделать. Так естественно не работает, т.к. в бридже надо говорить ПРОФИЛЬ бриджа, а не имя. А профиль вообще ни с кем не связан кроме VPLS. По логике наоборот должен ИМЯ бриджа приделывать, т.к. на там pw-id и IP соседа.
Помогите разобраться.
В доках вообще не нашел похожего. Там обычные xconnect'ы.
-
Здравствуйте.
Не могу найти в функционале SNR (2990, s300) возможность принудительно "подписывать" физический порт.
На циске и хуавее на физ.портах можно делать так (на свичах включен только IGMP, multicast влан не настроен):
igmp-snooping host-join 239.195.0.1 vlan 100 (HWI)
ip igmp join-group 239.195.0.1 (cisco)
Задача - лить в порт олтайм нужные группы, без обработок leave/join/etc.
Не одну группу, а много.
Есть ли на SNR подобное?
-
В 23.08.2022 в 11:37, Evgeny Mirhasanov сказал:
@semop Добрый день. Можете на всякий случай убрать запрещающие правила 'access-list 5000 deny ip any-source any-destination' и 'access-list 6000 deny ip any-source any-destination',? В статье "Настройка DCSCM (Destination Control Source Control Multicast) на коммутаторах SNR" сказано:
В остальном не понятно, каким обпазом ACL 5000 мешает успешной работе ICMP.
Он не мешает ICMP.
Он мешает L2VPN.
Если убрать ip multicast source-control, то все запингуется.
Грубо говоря я заколотил IP на ноутбук и проключил влан по l2vpn. В итоге дальше шлюза я не хожу (интернета нет). Если отключить ip multicast source-control - то хожу (интернет есть).
Вот это непонятно.
ACL 5000 висят только на магистральных портах, где живет LDP. Связности MPLS они не мешают, ОСПФ тоже поднимается.
Единственное что я не очень понял, это то что при включенном ip multicast source-control - SNR говорит что он включен и на LOOPBACK. Но на loopback этот ACL не повесить. Что же он там включает?
#sh ip multicast source-control interface lo1
ip multicast source-control is enabled
(config-if-loopback1)#ip ?
address Set IP Address
ospf OSPF interface commands
vrf VPN Routing/Forwarding instance
-
Здравствуйте.
Подскажите пожалуйста по ситуации)
Есть конфиг:
ip multicast source-control
multicast destination-controlaccess-list 5000 permit ip any-source 239.195.0.0 0.0.31.255
access-list 5000 permit ip any-source 224.0.0.0 0.0.0.255
access-list 5000 deny ip any-source any-destinationaccess-list 6000 permit ip any-source 239.195.0.0 0.0.31.255
access-list 6000 permit ip any-source 224.0.0.0 0.0.0.255
access-list 6000 deny ip any-source any-destination====
Магистральный порт "наверх":
Interface Ethernet1/0/1
ip multicast source-control access-group 5000Магистральный порт "вниз":
Interface Ethernet1/0/2
ip multicast destination-control access-group 6000Со стороны 1/0/1 приходит транспортный влан для LDP.
На порту "вниз" настроен L2VPN.
При таком конфиге находясь внутри L2VPN я не пингую все хосты дальше шлюза. Шлюз пингуется ОК.
Если убрать ip multicast source-control то все начинает пинговаться.
Этими ACL я разрешаю свои igmp группы и служебный трафик osfp/ldp. Что я мог зафильтровать ACL'ом 5000?
-
1 час назад, passer сказал:
Точно всё учтено?
Я взял XPON. Картинку не ту вставил, прошу прощения.
Не стал просто новую тему создавать, провайдер не РТК. Я сам провайдер)
Суть описал. С bdcom они подружились. Просто мультикаст сыпет жутко. Такое было на одних ОНУшках(в корпусе) год/два назад, вроде даже на НАГе покупали, саппорт дали прошивку и снупинг залетал.
А тут либо гуглить глубоко, либо возвращать китайцу.
Поставщика реально месяцами ждать приходится по модулям. Я от безысходности решил потестить алишные. Взял на тест 1. А он вон какой)
===
Если отправить модуль в reboot из-под телнета, то через секунду иптв начинает работать нормально, но потом модуль грузится и все по новой))
-
UPD =)
Купил на свой страх и риск модуль. Поставщика ждем по 3-4мес, решил на удачу попробовать китай прекитай.
Проверялось на OLT BDCOM.
Модуль воткнул в коммутатор DLINK, модуль завелся, параметры ок.
sh epon optical-transceiver-diagnosis int e0/8 interface Temperature(degree) Voltage(V) Current(mA) TxPower(dBm) ----------- ------------------- ---------- ------------- -------------- epon0/8 43.1 3.2 10.4 5.8 interface RxPower(dBm) ----------- -------------- epon0/8:1 -16.3 sh epo onu-ctc-optical-transceiver-dia int e0/8 IntfName Temp(degree) Volt(V) Bias(mA) TxPow(dBm) RxPow(dBm) ------------ ------------ ------- -------- ---------- ---------- epon0/8:1 31.9 3.3 12.2 2.4 -12.4 epon0/8:2 -- -- -- -- --Прошивка типа свежая китайская:
RTK.0>
# cat /etc/version
V1.0-210702 -- Fri Jul 2 15:04:57 CST 2021В стоке получил все услуги, все работает.
Вопрос только к несчастному иптв))
Погуглил, не нашел ничего про iptv. Все мучают этот модуль чтоб он просто работал, а он из коробки работает.
Прошивки тоже не обнаружил. Да и типа свежая она судя по китайской дате.
Пробовал ли кто запустить такое добро? Это прошивка скорее всего, т.к. OLT со всей лабой - 100% рабочая на других модулях.
-
Мануал есть) там 6 иероглифов и все. Очень смешно было, когда я его скачал с оф.сайта и открыл...
Для инфо, может полезно кому будет.
QINQ на BDCOM запустить корректно не удалось, доступ есть, но dhcp-relay напрочь отказывается работать. Надоело мучиться и пакуюсь выше.
На OLT просто куча вланов-пер-юзер с включеным dhcp-relay.
interface EPON0/8 epon bind-onu mac 9845.62c9.d98c 3 filter dhcp switchport trunk vlan-allowed 100-164 switchport mode trunk dhcp snooping trust switchport protected 1100 - влан мультиксата
101-164 - вланы доступа (ipoe dhcp)
Режим роутера:
lan1 - интернет для ПК (ip получит от терминала, который сам его пронатит и тд)
lan2 - порт для приставки иптв
wan1 - сервис для интернета во влане 103 (ipoe dhcp) - "распростаняется" для wifi и lan1, где будет в итоге инет
wan2 - сервис мост для lan2, в который подключается приставка, которая так же получает ipoe dhcp, но свое напрямую, а не от роутера (чтоб ее мониторить)
wan3 - сервис для мультикаста (без него нет никакого igmp) "распространяется" на lan3-lan8, которых замечу нет на терминале. В упор не понял чзх и почему это работает, но главно работает. Если сбриджевать опять на lan2, что как бы просится, то маки будут только в мультикастовом влане. Без понятия почему надо создавать этот wan3, если я в сtc уже указал про мультикаст. Видимо чтоб его пропустило через PON/wan.
interface EPON0/8:3 switchport port-security dynamic maximum 6 switchport port-security mode dynamic epon onu port 1 ctc vlan mode tag 103 priority 0 epon onu port 2 ctc vlan mode tag 103 priority 0 epon onu wan 1 connect route ip-mode dhcp vlan 103 priority 7 service internet bind lan1 ssid1 ssid2 ssid3 ssid4 ssid5 ssid6 ssid7 ssid8 epon onu wan 2 connect bridge vlan 103 priority 7 service vod bind lan2 epon onu wan 3 connect bridge vlan 100 priority 7 service vod bind lan3 lan4 lan5 lan6 lan7 lan8 epon onu port 1 loopback detect epon onu port 2 loopback detect epon onu port 2 ctc mcst tag-stripe enable epon onu port 2 ctc mcst mc-vlan add 100 epon sla upstream pir 1000000 cir 15000 epon sla downstream pir 1000000 cir 15000Внизу скорость гиг. В стоке будет сотка.
Кстати при таком конфиге мультикаст будет и на lan1, но приставка получит IP от роутера.
WiFi у железки весьма слабенький показался, ну для среднестатистической комнаты хватит.
Тариф до 500мб давит нормально, картинка иптв не сыпет.
sh mac ad int e0/8:3 Mac Address Table (Total 2) ------------------------------------------ Vlan Mac Address Type Ports ---- ----------- ---- ----- 103 00a0.d15b.5355 DYNAMIC epon0/8:3 - ноут, в качетсве приставки как будто 103 9845.62c9.d991 DYNAMIC epon0/8:3 - терминалsh ip mcst gr Total Group Counts: 1 MC-Vlan Group Type Port(s) ------- --------------- -------- ------------------------------------- 100 239.195.7.3 LEARNING EPON0/8:3В вэбке полученый конф выглядит так:
Пост напечатал сидя через эту онуху.
Если нужен просто инет на всех портах в режиме роутера, то wan1 только надо.
interface EPON0/8:3 switchport port-security dynamic maximum 6 switchport port-security mode dynamic epon onu port 1 ctc vlan mode tag 103 priority 0 epon onu port 2 ctc vlan mode tag 103 priority 0 epon onu wan 1 connect route ip-mode dhcp vlan 103 priority 7 service internet bind lan1 lan2 lan3 lan4 lan5 lan6 lan7 lan8 ssid1 ssid2 ssid3 ssid4 ssid5 ssid6 ssid7 ssid8 epon onu port 1 loopback detect epon onu port 2 loopback detect epon sla upstream pir 1000000 cir 15000 epon sla downstream pir 1000000 cir 15000С пппое думаю можно разобраться самостоятельно.
WiFi тоже настраивается, но я оставил заводское, удобно что оно все написано на пузе железки. Ну или аб. сам может себе поменять.
-
Отлично. Спасибо.
-
@Aleksey Sonkin , то есть такой вариант справедлив ограничивать скорость из диапазона вланов?
И последний тогда вопрос, ничего не случится плохого если в <match> будут отсутствовать вланы, например я сконфигурю планируемый диапазон, но вланы будут создаваться со временем...
-
@Aleksey Sonkin здравствуйте.
А что будет если сделать так:
class bandwidth match vlan 100 200 300Он ограничит скорость для каждого отдельного влана или суммарно?
Ищу вариант красиво шейпить транзитный трафик с некоторым списком вланов, а не каждый влан в отдельности.
-
Простите что лезу, а как связан Диджитал Диагностиг Мониторинг ( я подчеркиваю, Мониторинг))) с тем что кто то там что то на основании параметров ддм что то будет менять для лазера?
В самом крутом случае свич пришлет трап или выключит порт на основании этих данных.
Внимательно послушаю как можно управлять мощностью вставки ддм, из-под командной строки желательно)
-
Здравствуйте.
Да.
Может кому-то пригодится:
Обновился до версии -
BDCOM(tm) P3608-2TE Software, Version 10.1.0F Build 74816
Конфиг mcst поменялся немного и стал такой:
ip mcst enable ip mcst compatible enable ip igmp-proxy enable ip mcst querier enable ip mcst mrouter-learning disable ip mcst series-connection ip mcst mrouter-multi-vlan 100 ip mcst mrouter interface GigaEthernet0/8 multi-vlan 100Команда "ip mcst mrouter-learning disable" - вроде как это лечит. Пока что больше mroute не менялся и не добавлялся со стороны EPON портов.
-
Я ведь целый рабочий день потратил на дебаг этой штуки.
Уже начал изобретать, конфигурить ненужными вещами, переживать, обзывать себя идиотом и тд)
А потом психанул и вернул стенд полностью на неделю назад. Вот и обнаружилось. Облегчение невероятное. Как будто конец света отменили...
-
Так вот не хотелось бы их.
Если бы это обнаружилось во время переключения, то было бы печально.
-
@Aleksey Sonkin понял, спасибо
А с чем еще столкнуться можно?
В вебинаре весьма поверхностно все было. Просто основы. Соединить комп-комп. Но так же не бывает)
-
@vurd Походу это мой случай что ли. С петлей то.
Фига колхоз(
Это расход порта, расход производительности на лишнюю коммутацию, и наверно еще что-нибудь плохое...
Я правильно понял что L3 интерфейс не будет работать на порту где мплс/вплс?
-
UPD:
В схеме выше собран ПИМ-см, доступ внизу работает по мплс л2вс.
Т.к. это лаба, я инет и ИПТВ забрал с разных портов у верхнего СНР-1.
Потом переключил все в один транк и забыл. Включаю стенд - ПИМ не работает.
Конфиг верхнего СНР-1, порт в который льет мультикаст во влане 100.
Interface Ethernet1/0/28
speed-duplex force1g-full
description IN_MACST
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 100Потом я с этого же порта зафигачил влан для доступа по влл. Стало так:
Доступ работает, все ок во влане 3112.
Interface Ethernet1/0/28
speed-duplex force1g-full
description IN_MACST
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 100
xconnect l2-vc pw-id 3112 mode vlan svid 3112А ПИМ помер)
Почему?
АРП в 100 живой, источники пингуются.
Убираю икс-коннекты - ПИМ взлеает. Не понял связи.
-
Здравствуйте.
Не подскажете, как отфильтровать IGMP query со стороны ONU?
У BDCOM есть команды filter igmp, но что они делают неясно. Применял, не помогло.
Вопщем суть в том, что появляется "роутер/квэриер" за абонентским ПОН-портом:
Global multicast configuration:
-----------------------------------------------------------------
Globally enable : Enabled
IGMPv3 mode : Disabled
Multicast Compatible : Disabled
Multicast mode : IGMP Snooping
Dlf-frames filtering : Enabled
Querier : Disabled
Querier address : 10.0.0.200
Router age : 260 s
Response time : 10 s
volum : 512
double-tag-mode : Disabled
double-tag outer vlan id : 0Router Port PVID VLANMAP=1,100
Router Port List:
-----------------
GigaEthernet0/8(static); EPON0/1(querier);
1 влан физически удалить нельзя. Что он там делает в снупинге?
Пользователя, который делал своим роутером так, я нашел и отрубил. Но это жестко. Хочу фильтровать.
Ну и настройки (сокращено):
interface EPON0/1
epon pre-config-template T1 binded-onu-llid 1-64 param 1
epon bind-onu mac f8f0.8215.439e 1
filter dhcp
switchport trunk vlan-allowed 100,1181
switchport mode trunk
switchport protected 1interface EPON0/1:12
switchport port-security dynamic maximum 6
switchport port-security mode dynamic
epon onu port 1 ctc vlan mode tag 1181 priority 0
epon onu port 1 ctc loopback detect
epon onu port 1 ctc mcst tag-stripe enable
epon onu port 1 ctc mcst mc-vlan add 100ip mcst enable
ip mcst timer response-time 10
ip mcst series-connection
ip mcst support-reverse-stream
ip mcst mrouter interface GigaEthernet0/8
ip mcst mc-vlan 100 range 239.195.0.1 - 239.195.0.120
!Таблица igmp из за этого "флуда" (часть таблицы):
1 влан нагадил конкретно.
Vlan Group Type Port(s) ---- --------------- -------- ------------------------------------- 1 239.195.0.7 LEARNING EPON0/1:10 1 239.195.19.1 LEARNING GigaEthernet0/7, EPON0/3:17, EPON0/2:11, EPON0/4:8 1 239.195.31.24 LEARNING EPON0/2:4 1 239.195.11.74 LEARNING EPON0/3:9, EPON0/4:21 1 239.195.19.3 LEARNING GigaEthernet0/7 1 239.195.11.69 LEARNING GigaEthernet0/7 1 239.195.19.5 LEARNING GigaEthernet0/7, EPON0/4:21 1 239.195.31.200 LEARNING EPON0/3:3 1 239.195.19.202 LEARNING EPON0/4:12, EPON0/4:17 1 239.195.19.10 LEARNING EPON0/1:15 1 239.195.11.213 LEARNING EPON0/4:2 1 239.195.31.10 LEARNING GigaEthernet0/7, EPON0/1:12 1 239.195.12.16 LEARNING EPON0/1:43 1 239.195.8.9 LEARNING GigaEthernet0/7 1 239.195.19.16 LEARNING EPON0/3:7 1 239.195.19.4 LEARNING EPON0/1:28 1 239.195.1.8 LEARNING EPON0/2:16 100 239.195.0.7 LEARNING EPON0/1:10 100 239.195.19.1 LEARNING GigaEthernet0/7, EPON0/3:17, EPON0/2:11, EPON0/4:8 100 239.195.31.24 LEARNING EPON0/2:4 100 239.195.11.74 LEARNING EPON0/3:9, EPBDCOM(tm) P3608-2TE Software, Version 10.1.0E Build 56869
-
-
Да уж.
Камент ТС в скобочках - потенциальный мем.
Ну или на худой конец устаревшая технология.
-
Все ок, я разобрался как тут)
Вопщем первые итоги по л2впн.
Собрал лабу фулмэш:
Тут работают три snr-s300g и два роутера другого вендора.
В мплс катаются куинку вланы, которые пакуются на агрегациях.
Перемесил ЛАГи рандомных вендоров.Рутинг оспф, мультикаст организован средствами pim-sm внутри кольца. На агрегациях ism.
Из тюнинга только тайминги и bfd.
Кстати по таймингам камент, я на вебинаре тоже писал, у разных вендоров разные дефолтные тайминги для работы LDP. В связи с чем наблюдал расколбас ldp-нейборов. Благо на снр есть дебаг, обнаружилось быстро.
Приключений особых не было. Заработало сразу. И мплс и вплс.
Вопщем главное это тайминги и мту наверно. Если настроить то пашет как атомный реактор. Мне понравилось.
Жаль конечно что траффик-инжиниринга нет. Но и на том спасибо.
-
===========
UPD:
Разобрался.
Действительно надо вешать xconnect на все порты, где будет жить данный влан.
На хуавэе вообще не так) там саб с влл и понеслась простой свичинг хоть куда. Я по аналогии и зафигачил.
Если у меня езернет, то просто иксконнекчу езернет видимо.
Вопрос закрыт) Спасибо.
Cisco ASR CG-NAT pool allocation
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Жалоба на ответ
@sdy_moscow Да(
Спасибо, народ