dmvy

Route map или prefix нужно писать в address family ipv6

Объясните, что вы продукте ip связность, а протоколы L4 уровня реализует ПО абонента или сервера где-то в интернете. Можно налить на них флуд 100мбит и в диспетчера задач на вкладке сеть увидят, что интерфейс утилизированы на 100%

решение программное и для мультикаста я бы не советовал его применять. потери пакетов будут сильно влиять на качество картинки. надежнее делать такие штуки на wire-speed девайсах.

И сколько же это займет дискового пространства? сколько попадет на интерфейс сервера, столько и будет на диске занимать (с условием, что tcpxtract увидит типы файлов, которые описываются у него в конфиге - для экономии можно что-то отключить). это некоторый аналог древнего givemetoo. но на самом деле wireshark тоже умеет на лету http захватывать и сохранять... правда он тяжелее и медленно работает.

если в сети есть банально vlan и канал нужен точка-точка, то на крайних точках заварачивайте во внешний тэг, а на всех остальных коммутаторах проключайте как обычный vlan (не забыв включить jumbo frame). на агистрали можно даже выключить изучение мак-адресов в этом vlan. останется решить вопрос с резервированием и все...

можно убрать аттенюатор. а вообще, проблема в настройке оборудования. конфиги в студию.

TCPXTRACT(1) User Commands TCPXTRACT(1) NAME tcpxtract - extract files from captured network packets SYNOPSIS tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]] DESCRIPTION Valid options include: --file, -f <FILE> to specify an input capture file instead of a device --device, -d <DEVICE> to specify an input device (i.e. eth0) --config, -c <FILE> use FILE as the config file --output, -o <DIRECTORY> dump files to DIRECTORY instead of current directory --version, -v display the version number of this program --help, -h display this lovely screen не совсем элегантно, но сложит все html, картинки, архивы, видео по файлам. это по вопросу как разобрать трафик а отзеркалировать можно и на каком-нибудь d-link с Packet content filter.

В момент авторизации абонента, не? Я думаю тут основной момент не авторизация как раз. А как так сделать чтобы в нормальном состоянии БРАС не слушал запросы с чужих вланов. Тут надо искать, пытаться, а может и отказаться. сессия инициируется по DHCP discovery. а его не будет, пока лиза не протухнет и соответственно связи у абонента не будет. Единственный выход - делать короткие лизы, чтобы максимум через 5 минут после failover одного браса абоненты подключились ко второму. альтернативный вариант сейчас есть у Ericsson non-dhcp-clips, где инициация сессии происходит по ip-пакету, но и здесь не все так просто (ощущения сессионности как в dhcp нет - все по timeout). Нужно согласиться, что в IPOE failover не так хорош, как в PPPoE или PPP. Но и не нужно на этом зацикливаться - у ipoe есть плюсы, которые это компенсируют!

на BRAS интерфейс поднимется только после прохождения AAA. В зависимости от от ваших предпочтений можете дать белый адрес, можете дать серый и повесить NAT policy, а если на порту не должно быть абонента, то дайте ему серый адрес и перенаправление на заглушку, где предложить связаться с техподдержкой (вдруг монтажник/ремонтник переткнул в другой порт абонента). С DHCP легко наладить автоматическую привязку - достаточно у dhcp-сервера спросить кому сейчас выдан адрес с которого производится активация... Да никуда оно не ушло. Если вы сделали IPoE на пару десятков тысяч сабскрайберов, то это вообще ни о чём. В IPoE есть проблемы с резервированием брасов и перетеканием/балансировкой сессий, есть нюансы в dual-stack'е (которых нет в ppp, ибо v4 и v6 согласовывается в рамках одной и той же сессии) И кстати, DSL=PPP(oE) это стереотип. На DSL-е точно также можно делать IPoE (на некоторых дсламах можно сделать vlan-per-user, где-то есть и opt82). В SE можно авторизовать v4 и v6 в рамках одного SVID:CVID или mac-адреса на PVC и абонент по обоим протоколам получит один тариф и одно ограничение скорости. Резервирование можно сделать уменьшением времени лизы (на SE продление DHCP-сессии аппаратно происходит) вплоть до 5 минут.

включать trace на авторизацию и pppoe. можно поискать changelog на разницу между версиями. а лучше остаться на 11.4 - для BRAS самая стабильная.

Ищите мануалы по настройке работы радиуса с брусом. Уверен, что стандартные опции ответа радиуса.

В таком случий все MAC адреса протащим по всей сети до БРАС-а? и пропускная способность БРАС-а должна быть соответствующая, т.е. получается дорого?. По ссылке я так понял что ASR1000 не умеет работать с L3 connected абонентов, а в случае L2 connected не должно быть проблем или я что не так понял? Касательно ASR9000 к сожалению не поддерживает учет трафика. Если будет много оптики, то сводить все в центр с узлов, которые делают заворот в SVLAN. Т.е. в пределах L2-аггрегирующего узла vlan'ы уникальные, а дальше в ябре уже не важно. Для транзита можно отключать mac-learning. Если планируется кольцо по городу с несколькими выходами в ядро, то лучше использовать MPLS. Таблица мак-адресов на современных коммутаторах достаточно большая - даже с запасом на коллизии. Предлагаю сделать звезду: В центре два X670 в стэке, к ним по два волокна с узлов аггрегации десятками SFP+ DGS-3420-28SC - их можно тоже в стэк ставить. А дальше уже кольца на DES-3200. Останется придумать план по распределению vlan в одном сегменте или кольце. У меня был опыт с DGS-3627G/DES-3200-28/SE100 3 года назад рисовал хитрую схему с адресацией вланов, в которой влан на порту формировался так: aabb, где aa - это последний октет ip-адреса, а bb - номер порта на коммутаторе (ограничение: 39 коммутаторов в кольце и до 99 портов на коммутаторе) или наоборот (тогда до 99 коммутаторов и до 38 портов на каждом - мы использовали не более 24-х портов модели). Второй бонус использования mgmt vlan default в том, что на 3627, где делали qinq при помощи double_vlan, мы приземляли управление кольцом и дальше по L3 отдавали в ядро. на кольце использовали функцию vlan_trunk, чтобы руками создавать на 3200 только те вланы, которые на нем присутствуют... [ipoe]core#sh subscribers TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- clips 2/3 vlan-id 37:333 clips 1 f8:1a:67:71:22:2b ipoe Nov 14 10:39:35 clips 2/3 vlan-id 38:311 clips 1 f0:7d:68:82:4a:0f ipoe Nov 14 10:39:35 clips 2/3 vlan-id 37:1633 clips f0:7d:68:82:53:b7 ipoe Nov 14 10:39:35 clips 2/3 vlan-id 40:1514 clips cc:b2:55:92:b1:d9 ipoe Nov 14 10:39:35 clips 2/3 vlan-id 33:619 clips 1 28:10:7b:ee:6d:e5 ipoe Nov 14 10:39:36 clips 2/3 vlan-id 31:1028 clips 64:70:02:62:0c:fb ipoe Nov 14 10:39:36 clips 2/3 vlan-id 36:212 clips 1 cc:b2:55:92:b5:1b ipoe Nov 14 10:39:36 clips 2/3 vlan-id 42:1014 clips 34:08:04:d2:d9:d5 ipoe Nov 14 10:39:36 clips 2/3 vlan-id 30:1033 clips f8:1a:67:49:32:e9 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 33:305 clips 1 f8:1a:67:49:52:f1 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 42:2122 clips 34:08:04:d5:30:81 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 33:1809 clips 34:08:04:d2:d2:09 ipoe Nov 14 10:39:38 clips 2/3 vlan-id 31:1628 clips b8:88:e3:af:34:8c ipoe Nov 14 10:39:38 clips 2/3 vlan-id 40:523 clips 1 2c:41:38:5f:c8:2f ipoe Nov 14 10:39:38 clips 2/3 vlan-id 42:612 clips 1 a0:f3:c1:56:e4:f9 ipoe Nov 14 10:39:38 возьмем последний: vlan-id 42:612 верхний тэг 42: значит подсеть управления коммутаторами 10.4.42.0/24 нижний тэг 612 - это значит последний октет 12 и полный адрес коммутатора 10.4.42.12 а 6 означает номер порта. очень удобно! все конфиги генерируются скриптом только исходя из ip-адреса коммутатора. на брасе также скриптом генерируется портянка: port ethernet 2/3 no shutdown encapsulation dot1q dot1q pvc 30 encapsulation 1qtunnel dot1q pvc on-demand 30:102 service clips dhcp context ipoe dot1q pvc on-demand 30:103 service clips dhcp context ipoe dot1q pvc on-demand 30:104 service clips dhcp context ipoe dot1q pvc on-demand 30:105 service clips dhcp context ipoe dot1q pvc on-demand 30:106 service clips dhcp context ipoe dot1q pvc on-demand 30:107 service clips dhcp context ipoe dot1q pvc on-demand 30:108 service clips dhcp context ipoe dot1q pvc on-demand 30:109 service clips dhcp context ipoe dot1q pvc on-demand 30:110 service clips dhcp context ipoe dot1q pvc on-demand 30:111 service clips dhcp context ipoe ..... service clips dhcp context ipoe dot1q pvc on-demand 31:826 service clips dhcp context ipoe dot1q pvc on-demand 31:827 service clips dhcp context ipoe dot1q pvc on-demand 31:828 service clips dhcp context ipoe dot1q pvc on-demand 31:829 service clips dhcp context ipoe dot1q pvc on-demand 31:830 service clips dhcp context ipoe dot1q pvc on-demand 31:902 service clips dhcp context ipoe dot1q pvc on-demand 31:903 service clips dhcp context ipoe dot1q pvc on-demand 31:904 service clips dhcp context ipoe В приложении к посту альфа-версия такой конфигурации... ipoe.pdf

в первую очередь нужен статичный белый ip-адрес. Более реально виднеется использование третьего сервера/маршрутизатора с белым адресом, куда будут подключаться оба клиента.

ipoe через qinq с opt82 или vlanid:vlanid работает отлично в Ericsson SE (причем iptv-приставки можно по мак-адресу цеплять и садить на серые адреса с отдельным ACL для доступа только на middleware). Есть повод пересмотреть вендора. И с NAT на сколько я знаю у SE лучше.

Вы и 5% функционала и возможностей me3600 использовать не будете, а платить за них придется. Сколько будет абонентов? Вместо PPPoE нужно использовать IPoE DHCP (встаил патч-корд и работай. или переключил патч-корд из компа в ноутбук и работай). Причем не обязательно делать opt82. Лучше сделать QinQ и авторизвать/выдавать адрес по vlanid:vlanid. Таким образом будет изумительная изоляция абонентов и централизация доступа.

нахожу лишним deny ip any any по логике на next-hop будут уходить пакеты только те, которые попали под permit и никакие другие. deny не нужен. Вероятно он и нагрузил CPU.

Делали pbr на данном железе. Порядка гигабита таким policy заворачивали. Так что нужно уметь готовить...

для каждого клиента создаем цепочку (у вас же не 2000 пользователей). В -t mangle PREROUTING матчим их по dst ip и отравляем в свою цепочку. А внутри клиент сам себе рисует правила и обязательно ставит в конце либо ACCEPT, либо DROP. Самых толстых клиентов можно перемещать в начало основной цепочки.

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять

в ЛС

Настраивайте логгирование debug в syslog сервер и анализируйте события, предшествующие выключению портов

подтверждаю, что и 5 и 10 минут работают нормально.

Насколько достоверная инфа? У моего диллера другая инфа - до конца года приостановлена поставка этих свичей в страны восточной европы. Возможно, после НГ все нормальзуется. Но если они действительно сворачивают производство, то рискуют просрать крупный рынок, как уже просрали по сохо-роутерам. В России SNR-S2960-48G - вполне себе достойная альтернатива. А вот в Украине пока пичалько... информация ложная. с производства не снимают. наверняка у кого-то из дистрибьютеров на складах закончились запасы.

можно в разные. DefaultMirror является главным для обратной совместимости с конфигами. а по ссылке пример о том, что можно в составе одной сессии слать один и тот же трафик в несколько портов.