dead_moroz
-
Публикации
48 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем dead_moroz
-
-
overload прекрасно работает на 7301, 7201, 7206VXR, 2911 (на других не пробовал, думаю тоже проблем не будет).Ну очевидно же. При использовании nat overload надо поддерживать большую(а иногда огромную) таблицу xlat. В случае "обычного" nat это почти статическая таблица с кол-вом записей, равным кол-ву внешних адресов
Может это специфика ASR1002? У меня НАТ на старенькой 3725 с overload-ом работает нормально.не работает overload на ASR1002На ASR1002 overload не работает.
-
не работает overload на ASR1002
http://forum.nag.ru/forum/index.php?showto...mp;#entry563552
команды командуются, в конфиге пишеццо все как надо, а по факту - не работает.
-
а вот это плохо
config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit
лучше так
config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny
а на аплинках permit.
Вы же не хотите поддельных ДХЦП серверов?
-
-
нет там никаких блокировок, откатился обратно на 2.6.2 без проблем.Кто-то уже пробовал ставить 3.1.2S ?хороший вопрос .. может вы попробуете?
что боязно так это то что есть риск блокировки отката на предыдущие Ios
-
всяко пробовал - и access-list 1, и access-list 199, и ip access-list standard, и ip access-list extended именованные и нет, и через роут-мап...
попробуйте сделать проще - используйте standard access-list'ыip access-list extended NATpermit ip 10.10.0.0 0.0.255.255 any
и с адресами действительно странно
Один результат - без overload работает нормально, с overload отрабатывает только первая трансляция на адрес/порт, повторная трансляция на тот же адрес/порт с другого inside не происходит до тех пор, пока не умрет первая.
-
И НАТ и j-flow работают на MS-DPC, разве не так?
НАТа там не будет1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.2. MX80 не умеет j-flow (по той же причине, что и НАТа)
j-flow там есть.
остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)
Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.
MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.
Посему на нем нет ни НАТа, ни j-flow.
А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.
-
Опубликовано · Изменено пользователем dead_moroz · Жалоба на ответ
1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.Juniper MX80 посмотрите2. MX80 не умеет j-flow (по той же причине, что и НАТа)
3. МХ80 не умеет редирект.
4. В настоящий момент МХ80 не умеет раздельный аккаунтинг по сервисам, только на всю сессию сразу, в 10.4 обещают исправить.
-
Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1.
-
Железка ASR1002 RP1 ESP10 non-crypto.
Конфиг простейший
!
interface GigabitEthernet0/0/0
ip address 172.16.0.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
ip address 10.10.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly
!
ip nat pool NAT 172.16.0.2 172.16.0.254 prefix-length 24
ip nat inside source list NAT pool NAT overload
!
ip access-list extended NAT
permit ip 10.10.0.0 0.0.255.255 any
!
Без overload работает на ура, с overload первая трансляция открывается нормально, последующие трансляции на тот же адрес/порт от других клиентов не создаются до тех пор, пока не очистится по таймауту первая, либо до clear ip nat trans *.
Проверял на 2.03.02, 2.05.02, 2.06.02, 3.01.00 - одно и то же.
В чем грабли?
Кто пользует на ASR1K NAT с overload, отзовитесь!!!
-
Не встает ES20 в 6500 шасси.
ЛогичноНапример 6500 с ES-20+ или SIP-400 - чем не коммутатор?Если ES20, то 7600.
-
по DGS-3627/3612 примерно такая же картина
Сам себе отвечаю.
После 5к просто коллизии начинаются, или же полное хабство?Serhio GoДа, этот. Методика такая-же, как была описана на в соседней теме по 3028, тоесть scapy. Если не планируется более 5к маков на него, то можно брать.
DGS-3610-26G
Заявлено "до 16к" :) MAC.
Скормлено Изучено Изучено %
1000 1000 100
2000 2000 100
3000 3000 100
4000 4000 100
5000 4996 99,9
7000 6973 99,6
10000 9784 97,8
16000 13926 87
И это фактически их топовый агрегатор...
10К - 9792
16K - 13952
-
1. покажите zebra.conf
2. отдельный VRF не подойдет?
-
PBR на циске.Если можно то ещё вопрос:Можно ли как-нибудь через ospf заставить принудительно отправить траффик на один из шлюзов?
Например подключился абонент с айпи 10.10.10.10, а ospf его трафик шлет только на 1.1.1.2 (а так он шлет и на 1.1.1.2 и на 1.1.1.3). А все остальные работали бы так как было.
-
Опубликовано · Изменено пользователем dead_moroz · Жалоба на ответ
вот так правильно.PPPoE_Test#show ip route 0.0.0.0Routing entry for 0.0.0.0/0, supernet
Known via "ospf 10", distance 110, metric 10, candidate default path, type extern 2, forward metric 1
Last update from 1.1.1.3 on GigabitEthernet0/0.12, 00:00:15 ago
Routing Descriptor Blocks:
* 1.1.1.3, from 1.1.1.3, 00:00:15 ago, via GigabitEthernet0/0.12
Route metric is 10, traffic share count is 1
1.1.1.2, from 1.1.1.2, 00:00:15 ago, via GigabitEthernet0/0.12
Route metric is 10, traffic share count is 1
попробуйте завести оспф сессии по очереди, сначала на одном шлюзе, потом на другом.
-
Ничего не изменилось
show ip route 0.0.0.0 на циске чего говорит?
-
на циске:
router ospf 10
maximum-paths 2
-
Для бордера до 4Г трафика с несколькими FV самое оно ASR1002 или M7i.
Цыско или джунипер - дело религии.
76 платформа немного не для этого.
-
http://www.raisecom.ru/
Посмотрел ихний сайт - контора весьма закрытая - вся информация только после регистрации
Железо нормальное, софт сырой до боли.Сдесь начали рекламировать RAISECOM ISCOM2924GF стоит 999$ - подороже. Хотелось бы тоже услышать если кто использует отзывы как ведет себя в работе.Брали на замену DGS-3612G, т.к. замучались с их бесконечными дропами трафика.
Из функционала используем только L2 фичи - агрегация L2.
По железу нареканий никаких, софт в процессе пиления под нас.
Cisco-like CLI, по SNMP умеет делать много всякого, техсаппорт от продавца вполне адекватный, но не очень оперативный.
Кучу замечаний обещали пофиксить в следующей фирмваре (обещают до конца августа), если доведут софт до ума - будет очень неплохая железка в свои деньги.
PS. Порадовало наличие модели с 2 DC источниками питания.
Существует ли у них русскоязычная тех.поддержка или форум к кому можно оперативно обратится?
-
QinQ вам в помощь.А мне интересно чисто так для развития.Допустим есть 10 районов с которых в центр сходится с каждого по 4к вланов, итого 40к вланов. Каким способом рулить всем этим делом? как можно отличить или промаркировать влан из одного района, если есть точно такие же из других?
Или надо на железках сначала переводить все в IP и потом уже считать?
-
Железо нормальное, софт сырой до боли.Сдесь начали рекламировать RAISECOM ISCOM2924GF стоит 999$ - подороже. Хотелось бы тоже услышать если кто использует отзывы как ведет себя в работе.Брали на замену DGS-3612G, т.к. замучались с их бесконечными дропами трафика.
Из функционала используем только L2 фичи - агрегация L2.
По железу нареканий никаких, софт в процессе пиления под нас.
Cisco-like CLI, по SNMP умеет делать много всякого, техсаппорт от продавца вполне адекватный, но не очень оперативный.
Кучу замечаний обещали пофиксить в следующей фирмваре (обещают до конца августа), если доведут софт до ума - будет очень неплохая железка в свои деньги.
PS. Порадовало наличие модели с 2 DC источниками питания.
-
a. все пойдет в оставшуюся дырку.
b. половина пакетов улетит в пустоту.
-
задача состоит именно в том, чтобы локализовать маки в своем сегменте сети, чтобы уменьшить влияние и размер штормов на сети.
на 7600 серии для работы VPLS нужна карта ES20/ES20+/ES40.
прописываете что-то типа того:
vlan 100
!
l2 vfi vlan100 manual
vpn id 100
neighbor 192.168.0.2 encapsulation mpls [no-split-horizon]
neighbor 192.168.0.3 encapsulation mpls [no-split-horizon]
!
interface Vlan100
xconnect vfi vlan100
при указании no-split-horizon 192.168.0.2 и 192.168.0.3 будут видеть маки друг друга в влане 100, без no-split-horizon - нет.
Вы этого хотели?
-
я не просил учить меня жизни.
Это называется "тырить трафик" ))Есть AS, аплинк и даунлинк.даунлинк вешает на свои анонсы стопиццот препендов, я не хочу их транслировать аплинку.
как можно вырезать эти препенды из AS-path?
не знаете как - так и скажите - "НЕ ЗНАЮ".
тема опять скатилась от вопроса "КАК СДЕЛАТЬ?" до вопроса "ПОЧЕМУ ТАК ДЕЛАТЬ ПЛОХО".
Стоит ли на ASR1002 разворачивать NAT
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Жалоба на ответ
не срослось буквально на пару месяцев.