Перейти к содержимому
Калькуляторы

AcesAndrew

Пользователи
  • Публикации

    16
  • Зарегистрирован

  • Посещение

Все публикации пользователя AcesAndrew


  1. Вообще с netflow на SE у нас были очень большие проблемы, через какое то время карточки на нем крэшились одна за другой, и мы очень долго не могли понять почему, пока не нашли где то на форумах что не только у нас такая проблема а у многих, да и в поддержке НАГ-а нам ответили что есть какой то БАГ с netflow на SE, и лучше убрать netflow. У нас 4 SE1200 и на всех была эта проблема, так что судите сами, стоит снимать с них netflow или нет... Ну а так, вроде как на них только netflow v5 можно поднять, v9 к сожалению нет, соответственно IPv6 flow снимать не получится.
  2. У нас в основном l3-not-connected clips. Получается у вас download клиента вы режите нормально, а upload не режиться ? Если так то это для нас не проблема, в основном нужно резать download. Пример: interface IF_178.xxx.xxx.0 multibind description FLR-MPLS-HW ip address 178.xxx.xxx.1/23 ip arp proxy-arp always ip arp delete-expired ip pool 178.xxx.xxx.0/23 ip route 178.xxx.xxx.0/23 37.xxx.xxx.113 connected description FLR-MPLS-HW Session state Up Circuit 2/3 vlan-id 40 clips 476167 Internal Circuit 2/3:511:63:31/13/2/310658 Interface bound IF_178.xxx.xxx.0 Current port-limit unlimited Protocol Stack IPV4 context-name CLIENTS (applied) ip interface IF_178.xxx.xxx.0 (applied) ip address 178.xxx.xxx.2 (applied) qos-policing-policy qos-default-in (applied from sub_default) qos-metering-policy qos-default-out (applied from sub_default) acct-interim-interval 7200 (applied) service [svc mask: 0x0003] (applied) [svc id: 0] SERVICE-INTERNET (acct enabled) [svc id: 1] SERVICE-NATIONAL (acct enabled) service-parameter [svc mask: 0x0003] (applied) [svc id: 0] BW-INTERNET=204800 BR-INTERNET=38400000 [svc id: 1] BW-NATIONAL=204800 BR-NATIONAL=38400000 qos-dynamic-param [svc mask: 0x0003] (applied) [svc id: 0] meter-class-rate EXTERN rate-absolute 204800 (applied) [svc id: 0] meter-class-burst EXTERN 38400000 (applied) [svc id: 0] police-class-rate EXTERN rate-absolute 204800 (applied) [svc id: 0] police-class-burst EXTERN 38400000 (applied) [svc id: 1] meter-class-rate NATIONAL rate-absolute 204800 (applied) [svc id: 1] meter-class-burst NATIONAL 38400000 (applied) [svc id: 1] police-class-rate NATIONAL rate-absolute 204800 (applied) [svc id: 1] police-class-burst NATIONAL 38400000 (applied) service-acct (in) [svc mask: 0x0003] (applied) [svc id: 0] qos class-mask 0x02 [svc id: 1] qos class-mask 0x01 service-acct (out) [svc mask: 0x0003] (applied) [svc id: 0] qos class-mask 0x02 [svc id: 1] qos class-mask 0x01 service-interim-acct-interval [svc mask: 0x0003] (applied) [svc id: 0] 3600 [svc id: 1] 3600 И бывает что за таким клиентом есть еще 1 подсеть.
  3. Добрый, какие нюансы ? У нас есть и clips и dot1q, но клиенты у которых есть статические маршруты в основном clips.
  4. Спасибо большое, за пояснение, примерно так мы и думали, но теперь стало более понятно... Получается мы можем настроить следующую схему: interface loopback loopback ip address 10.10.10.1/32 ip address 10.10.11.1/32 ip address 10.10.12.1/32 ip address 10.10.13.1/32 interface clients multibind lastresort ip unnumbered loopback ip pool 10.10.10.0/24 ip pool 10.10.11.0/24 ip pool 10.10.12.0/24 ip pool 10.10.13.0/24 И в таком случае даже шлюз клиентов можем быть на SE, и все должно работать ?
  5. Спасибо за информацию!!! Именно этого ответа я и ждал =). Еще 1 вопрос хочу задать, раз уже знающие люди подтянулись). Интерфейсы типа multibind на которых живут субскрайберы, нужно биндить к физичиским интерфейсам/PVC, или нет ? У нас просто всегда все их биндили, а сейчас как то попробовали и без того чтоб биндить интерфейсы к PVC и все равно, все работает! Так как же прваильно поступать ? И если не сложно, кто то, объясните в двух словах, в чем смысл интерфейса lastresort ? То есть на нем можно сразу забить все сетки которые у нас есть в сети, на которых могут жить субскрайберы, и сам интерфейс не биндить ни к одному порту, и все равно в итоге все клиенты будут до него добираться и проходить аутентификацию ? Спасибо заранее =) последние 2 вопроса которые нас мучают и нигде в документации найти на них ответы не можем..
  6. Читал.. Примерно так и конфигурируем все, и вроде как с L3 без всяких DHCP начало получатся... Мы пытаемся и L2 и L3 сделать, в итоге у нас будет схема такая: Сеть MPLS, весь траффик гонится в БРАС, еще точно не решили что будем использовать L2VPN или L3VPN, но скорее L3VPN. В таком случае получится L3 а насчет connected/not connected, не совсем понятно что имеется в виду, гейт клиентов будет не на БРАСЕ, а на ближайщем PE( это получается not connected ? или как ? ). Есть и другие регионы где траффик клиентов доходит L2 до БРАСа, там сейчас используем CLIPS и Dot1q, и там у нас проблема в том что Relay сейчас делаем в обход SE, так как он у нас с Relay + Dynamic Clips ну не как не хочет работать.. Вот собственно вот 2 схемы которые пытаемся внедрить..
  7. Отписался.. надеюсь что кто то обратит внимание... Уже не знаем как бороться с этим зверем( SE1200 ) вообще до сих пор работали только с обычными рутерами и комутаторами, их логика нам уже понятна, а вот логику SmartEdge понять еще не удалось... и в частности работа non-dhcp dynamic CLIPS которая сейчас для нас очень актуальна... так как нужно будет клиентский траффик сети MPLS агреггировать в БРАС где клиенты должны проходить аутентификацию..
  8. Хотелось бы обратиться к администраторам закрытой группы обладателей Ericsson SmartEdge... Написал вам на почту 'smartedge@nag.ru' уже почти неделя прошла а ответа я так и не получил... Есть куча вопросов связанных с SE и не кто не может помочь + на сколько я понял проблемы которые нас мучают связанные с NON-DHCP Clips уже обсуждались в закрытой группе... Надеюсь на то что в ближайщее время вы наконец то ответите =) P.S. Пока мне ответят, всех желающих помочь нам, прошу обратить внимание на эту тему "SE1200 Non-DHCP Dynamic Clips + DHCP Relay на SE1200". Там я подробно описал наши проблемы в надежде что знающие люди откликнуться.
  9. Проверили с "arp proxy always" результат тотже.. Есть у кого то еще какие то идеи ? И немного оффтопа, можно как то еще связаться с теми кто дает доступ в закрытую группы обладателей Ericsson SmartEdge ? Уже почти неделя прошла, а от них ни слуху, ни духу...
  10. Нет сессии нет, arp-cache показывает привязку MAC-IP но в поле TTL стоит "-", обычно это когда еще нет субскрайбера...а его как раз таки и нету.. Попробуем в понедельник поставить proxy arp, только не вижу связи arp c тем что БРАС пытается выдать какой то IP клиенту...
  11. Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:23: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:23: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: [dhcp_aaa_send_aaa] drs_cctid 0xfffcec6277, drs_rmtid 0xfffcec627f, des_list 0x0 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [6] ACI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [8] ARI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:25: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:25: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Вот что в итоге получается, Radius не вписывает себе в DB адреса абонентов которые были выданы сторонним DHCP сервером.. я правильно понимаю ? Еще смущает поле subnet (0.0.0.0/0 это нормально вообще ? Пока что ничего не можем решить.. продолжаем делать Relay на других железках, а SE как БРАС...
  12. Проблема в том что на Радиус не приходят сообщения DHCP по поводу лизов, он не знает кому и какой IP был присвоен. В Access-Accept радиус клиентам у которых все работает(когда Relay делается на каком то другом девайсе не на SE1200) в поле Framed_IP_Addres Радиус пишет IP клиента( его username ), а в нашем случае когда DHCP Relay(SE1200) он в Access-Accept вообще не шлет поле Framed_IP_Addres а шлет вместо этого Framed_IP_Pool с названием интерфейса который прибинден к PVC клиента... Конфиг выглядит следующим образом: !context local!service-policy name CLIPS_x.x.x.128_testallow clips ip range x.x.x.128 x.x.x.255!!context CLIENTS!interface IF_x.x.x.128 multibind ip address x.x.x.x.129/25 dhcp proxy 15 server-group DHCP-TEST-1 ip arp delete-expired ip pool x.x.x.128/25!port ethernet 2/3 no shutdownencapsulation dot1qdot1q pvc 3997 bind interface IF_x.x.x.128 CLIENTS service clips auto-detect direct context CLIENTS service-policy CLIPS_x.x.x.128_test!dhcp relay server 172.1.1.1 max-hops 10 server-group DHCP-TEST-1!subscriber default qos policy policing qos-default-in qos policy metering qos-default-out dhcp max-addrs 1!aaa authentication subscriber radius aaa accounting subscriber radiusaaa update subscriber 60aaa accounting event dhcpaaa reauthorization bulk radiusaaa hint ip-address!! Вот что получаем в debug aaa radius: Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_create_auth_db_reply: Radius authentication success. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_response: process response to req Authentication. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_free_resource:, Free radius message, rad_idx 250294068Jul 3 10:36:48: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_clean_aaa_idx_tree: Clean aaa_idx tree for context db_request_type AuthenticationJul 3 10:36:48: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:36:48: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:36:48: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to clientJul 3 10:36:48: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queueJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_aaad_req: Receive request (Accounting Stop) Вот что получаем в debug aaa dhcp: Jul 3 10:41:41: %AAA-7-DHCP: [aaa_init_dhcp_cctcfg_iphost_key]: DHCP key: slot 1 port 2 channel 0xffff dot1_pvc 3997:0 vpi 0 vci 0,sess_id: 0, encap: 16778240Jul 3 10:41:41: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-DHCP: aaa_update_dhcp_cctcfg_iphost:added iphost x.x.x.189 to cctJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-DHCP: aaa_idx 502f8fe6: aaa_is_dhcp_clips_bounce_up: bounce flag 0 class 0x0 iphost 0.0.0.0Jul 3 10:41:41: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:41:41: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:41:41: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to client Что посоветуете делать?) Допилить раидус чтоб отправлял в Access-Accept не Framed_IP_Pool а Framed_IP_Address ? Или что-то не так в конфиге ?
  13. Написал на почту но пока что так и не получили ответа... может пока они ответят кто то хотя бы процитирует какие то сообщения из закрытой группы которые могли бы нам помочь разобраться с данной проблемой, или хоть помогут реализовать Dynamic non-DHCP Clips ? Так же есть проблемы при использовании Dynamic Clips при том что SE1200 работает как DHCP Relay или DHCP Proxy... Проблема заключается в том что клиенты получают IP но уже не поднимается субскрайбер... В логах пишет: AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.x since ip is already used Вообщем получается сразу 3 проблемы с которыми столкнулись... Во первых как завести нормально NON-DHCP Dynamic Clips со схемой когда L3 Gateway клиентов на БРАС-е, или когда он где то на другом девайсе а на БРАС трафик приходит через L3VPN и на БРАСе он должен проходить авторизацию.. А так же проблема с DHCP Relay/Proxy + CLIPS на SE1200.. Помогите)) а то чувствую что пока ответят на письмо нас тут всех уволят)))
  14. Нет, а как его получить ? Куда писать ? буду очень благодарен если дадите инфу по этому поводу.
  15. отзовитесь кто-нибудь в документации не где ответы на свои вопросы не могу найти... нужна помощь гуру..
  16. Добрый день дорогие знатоки, есть несколько вопросов по поводу Dynamic Clips non-DHCP. Есть железка SE, на разных портах клиенты по разному аутентифицируются, на одном из портов, клиенты приходят L2( перед SE есть циска которая работает как DHCP Relay ), гейт клиентов находится на SE, на порту следующий конфиг: service-policy name CLIPS_clients-1 allow clips ip range x.x.x.0 x.x.x.255 interface clients-1 multibind ip address x.x.x.1/24 ip pool x.x.x.0/24 port ethernet 1/1 dot1q pvc xxxx bind interface clients-1 service clips auto-detect context local service-policy CLIPS_clients-1 Теперь вопрос, если делаем все как написал выше то часть клиентов нормально работает, а для некоторых клиентов поднимается субскрайбер но в ARP клиент не записывается, висит клиент с ARP - incomplete, и нечего не помогает, clear arp-cache, clear subscriber итд... Если же меняем на service clips auto-detect [b]direct[/b] context local service-policy CLIPS_clients-1 то все работает без проблем... Еще есть вопрос по поводу L3 Dynamic Clips not directly connected. Если делать Л3, и гейт клиентов находится где то до SE, потом клиент все же доходит до БРАС-а то в сторону подсети аб. нужно будет прописывать каждый раз статику ? то есть что то вроде такого: service-policy name CLIPS_clients-1 allow clips ip range x.x.x.0 x.x.x.255 interface interconnect p2p ip address 10.10.10.1/30 interface client-1 multibind ip address x.x.x.1/24 ip pool x.x.x.0/24 port ethernet 1/1 dot1q pvc xxxx bind interface interconnect service clips auto-detect context local service-policy CLIPS_clients-1 ip route x.x.x.0/24 10.10.10.1 Я все правильно понял ? Или можно обойтись и без статики, при условии что интерфейс на котором сконфигурирована подсеть аб. не биндится к порту на который будет приходить L3 траффик аб. ну и гейт аб. будет где то перед SE.