macharius

попробуйте snmp server enhance ifmib добрый день, я не очень понял, как именно вы делали зеркалирование. Скажите вы использовали se как bras? т.е. к чему применялась forward policy? к влану или к абоненту (или к группе абонентов)?

Можно ли по подробнее ? Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель". Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy". В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license". Что я неправильно понимаю ? все верно вы понимаете, есть готовые LI админы и LI операторы, есть так же специальный тип инкапсуляции для туннелирования перехваченного трафика в соответствии с CALEA T1.678 - и для этого нужна лицензия. однако повторюсь - все это можно сделать и без LI-обертки. Для администраторов использовать TACACS+ с ограничением команд, forward policy с mirror, и туннелинг в виде GRE как вариант.

возможно, просто вы будете ограничены одним aaa методом. Т.е. заглушку не получится использовать, все должно будет через радиус идти, например. и еще не увидел, где собственно dynamic клипс в pvc в вашем конфиге.

судя по выводу стоит команда aaa authentication subscriber none это означает что аутентификация выключена (т.е. всегда положительная) и применяется только то что прописано в subscriber default. еще и ip адрес не назначен на сессию.

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

спасибо, а какой тип лицензии нужен, подскажите? или, может, этот функционал теперь доступен без лицензии? SEOS-6.2.1.8-Release нужен upgrade на софт 11.1. и лицензия на carrier grade NAT.

- НАТ 1 в 1 не имеет понятия трансляций - сколько абонентов - столько и трансляций - Dynamic NAT 1 to 1 (не путать с NAPT) - только для L3 интерфейсов (не для multibind) - Static 1 to 1 - для любых типов включая multibind - для dynamic 1 to 1 время жизни привязки регулируется (по умолчанию 1 час) - с utm5 интеграция в процессе, на сколько я знаю - PPTP нет, есть только L2TP

далее следует табличка с описанием полей которые надо добавить в софт... собственно вопрос - а есть ли рекомендованный коллектор или который можно кофигурить на нестандартные поля netflow v9 ? рекомендованного коллектора нет, нужна доработка коллектора оператором.

реализуемо для случая С-VLAN, более подробно в ЛС.

это возможно, нужно чтобы у вас стоял способ аутентификации - global, и тогда возвращая в access-accpet атрибут Context-Name - можно достичь желаемого эффекта.

на счет 1. можно сделать так например: ! policy access-list acl-RSE-TB-CLASSES-IN condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class class-NIGHT seq 10 permit ip any 10.0.0.0 0.255.255.255 class class-LOCAL seq 20 permit ip any 91.197.172.0 0.0.3.255 class class-LOCAL seq 30 permit ip any any class class-INET condition 1 ! policy access-list acl-RSE-TB-CLASSES-OUT condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class class-NIGHT seq 10 permit ip 10.0.0.0 0.255.255.255 any class class-LOCAL seq 20 permit ip 91.197.172.0 0.0.3.255 any class class-LOCAL seq 30 permit ip any any class class-INET condition 1 ! subscriber default qos policy policing BW-RSE-TB-POLICING qos policy metering BW-RSE-TB-METERING ! qos policy BW-RSE-TB-METERING metering access-group acl-RSE-TB-CLASSES-OUT local class class-LOCAL rate 100000 burst 12500000 class class-INET rate 64 burst 12000 class class-NIGHT rate 64 burst 12000 ! qos policy BW-RSE-TB-POLICING policing access-group acl-RSE-TB-CLASSES-IN local class class-LOCAL rate 100000 burst 12500000 class class-INET rate 64 burst 12000 class class-NIGHT rate 64 burst 12000 ! RADIUS Framed-IP-Address = 255.255.255.254 Dynamic-QoS-Param += "police-class-rate class-INET rate-absolute 2000" Dynamic-QoS-Param += "police-class-burst class-INET 250000" Dynamic-QoS-Param += "meter-class-rate class-INET rate-absolute 2000" Dynamic-QoS-Param += "meter-class-burst class-INET 250000" Dynamic-QoS-Param += "police-class-rate class-NIGHT rate-absolute 4000" Dynamic-QoS-Param += "police-class-burst class-NIGHT 500000" Dynamic-QoS-Param += "meter-class-rate class-NIGHT rate-absolute 4000" Dynamic-QoS-Param += "meter-class-burst class-NIGHT 500000" по поводу 2. есть много разных способов самый простой - создаете еще один контекст (либо просто как routing instacne, либо как L3VPN) и потом там где у вас bind на pppoe делаете следующее bind authentication chap pap maximum 8000 context CONTEXT-NAME

вы для начала уберите lag, и попробуйте на физическом интерфейсе.

to joesm, будем разбираться, возможно что проблема с двумя записями periodic в condition.... Может пока чтоб время не терять оптимизировать сами кондишены, это ведь будет тоже самое? policy access-list Pol-in condition 1 time-range periodic weekend weekdays 02:00 to 13:59 class UNight ... seq 900 permit ip any any class UDay condition 1 policy access-list Pol-out condition 1 time-range periodic weekend weekdays 02:00 to 13:59 class UNight ... seq 900 permit ip any any class UDay condition 1

to mr.anatoly, MR - 2.6.1.8

Update, в последнем обновлении SEOS все баги в модуле flow пофиксены.