macharius

попробуйте snmp server enhance ifmib добрый день, я не очень понял, как именно вы делали зеркалирование. Скажите вы использовали se как bras? т.е. к чему применялась forward policy? к влану или к абоненту (или к группе абонентов)?

Можно ли по подробнее ? Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель". Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy". В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license". Что я неправильно понимаю ? все верно вы понимаете, есть готовые LI админы и LI операторы, есть так же специальный тип инкапсуляции для туннелирования перехваченного трафика в соответствии с CALEA T1.678 - и для этого нужна лицензия. однако повторюсь - все это можно сделать и без LI-обертки. Для администраторов использовать TACACS+ с ограничением команд, forward policy с mirror, и туннелинг в виде GRE как вариант.

возможно, просто вы будете ограничены одним aaa методом. Т.е. заглушку не получится использовать, все должно будет через радиус идти, например. и еще не увидел, где собственно dynamic клипс в pvc в вашем конфиге.

судя по выводу стоит команда aaa authentication subscriber none это означает что аутентификация выключена (т.е. всегда положительная) и применяется только то что прописано в subscriber default. еще и ip адрес не назначен на сессию.

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

спасибо, а какой тип лицензии нужен, подскажите? или, может, этот функционал теперь доступен без лицензии? SEOS-6.2.1.8-Release нужен upgrade на софт 11.1. и лицензия на carrier grade NAT.

- НАТ 1 в 1 не имеет понятия трансляций - сколько абонентов - столько и трансляций - Dynamic NAT 1 to 1 (не путать с NAPT) - только для L3 интерфейсов (не для multibind) - Static 1 to 1 - для любых типов включая multibind - для dynamic 1 to 1 время жизни привязки регулируется (по умолчанию 1 час) - с utm5 интеграция в процессе, на сколько я знаю - PPTP нет, есть только L2TP

далее следует табличка с описанием полей которые надо добавить в софт... собственно вопрос - а есть ли рекомендованный коллектор или который можно кофигурить на нестандартные поля netflow v9 ? рекомендованного коллектора нет, нужна доработка коллектора оператором.

реализуемо для случая С-VLAN, более подробно в ЛС.

это возможно, нужно чтобы у вас стоял способ аутентификации - global, и тогда возвращая в access-accpet атрибут Context-Name - можно достичь желаемого эффекта.

на счет 1. можно сделать так например: ! policy access-list acl-RSE-TB-CLASSES-IN condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class class-NIGHT seq 10 permit ip any 10.0.0.0 0.255.255.255 class class-LOCAL seq 20 permit ip any 91.197.172.0 0.0.3.255 class class-LOCAL seq 30 permit ip any any class class-INET condition 1 ! policy access-list acl-RSE-TB-CLASSES-OUT condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class class-NIGHT seq 10 permit ip 10.0.0.0 0.255.255.255 any class class-LOCAL seq 20 permit ip 91.197.172.0 0.0.3.255 any class class-LOCAL seq 30 permit ip any any class class-INET condition 1 ! subscriber default qos policy policing BW-RSE-TB-POLICING qos policy metering BW-RSE-TB-METERING ! qos policy BW-RSE-TB-METERING metering access-group acl-RSE-TB-CLASSES-OUT local class class-LOCAL rate 100000 burst 12500000 class class-INET rate 64 burst 12000 class class-NIGHT rate 64 burst 12000 ! qos policy BW-RSE-TB-POLICING policing access-group acl-RSE-TB-CLASSES-IN local class class-LOCAL rate 100000 burst 12500000 class class-INET rate 64 burst 12000 class class-NIGHT rate 64 burst 12000 ! RADIUS Framed-IP-Address = 255.255.255.254 Dynamic-QoS-Param += "police-class-rate class-INET rate-absolute 2000" Dynamic-QoS-Param += "police-class-burst class-INET 250000" Dynamic-QoS-Param += "meter-class-rate class-INET rate-absolute 2000" Dynamic-QoS-Param += "meter-class-burst class-INET 250000" Dynamic-QoS-Param += "police-class-rate class-NIGHT rate-absolute 4000" Dynamic-QoS-Param += "police-class-burst class-NIGHT 500000" Dynamic-QoS-Param += "meter-class-rate class-NIGHT rate-absolute 4000" Dynamic-QoS-Param += "meter-class-burst class-NIGHT 500000" по поводу 2. есть много разных способов самый простой - создаете еще один контекст (либо просто как routing instacne, либо как L3VPN) и потом там где у вас bind на pppoe делаете следующее bind authentication chap pap maximum 8000 context CONTEXT-NAME

вы для начала уберите lag, и попробуйте на физическом интерфейсе.

to joesm, будем разбираться, возможно что проблема с двумя записями periodic в condition.... Может пока чтоб время не терять оптимизировать сами кондишены, это ведь будет тоже самое? policy access-list Pol-in condition 1 time-range periodic weekend weekdays 02:00 to 13:59 class UNight ... seq 900 permit ip any any class UDay condition 1 policy access-list Pol-out condition 1 time-range periodic weekend weekdays 02:00 to 13:59 class UNight ... seq 900 permit ip any any class UDay condition 1

to mr.anatoly, MR - 2.6.1.8

Update, в последнем обновлении SEOS все баги в модуле flow пофиксены.

to rush, ответил в ЛС

rush, если source адрес с которого приходит igmp join идентичен адресу с которого приходит обычный unicat этой clips сессии, то multicast должен работать также как для pppoe.

proxy лучше relay тем, что последующие dhcprequest (во время renew, например) от клиента направляются непосредственно на адрес сервера. в случае с proxy клиент думает что rpoxy это и есть сервер. то же самое справедливо для release и проч.

rush, вы привели вывод show subscriber active и в нем нет информации о том какой ip адрес у клиента - это неправильно, вот например как выглядит нормальная clips сессия (тут правда нет rse) 00:17:31:d7:3d:df Session state Up Circuit 4/1 vlan-id 6 clips 497300 Internal Circuit 4/1:1023:63/7/2/17 Interface bound dhcp-subs Current port-limit unlimited dhcp max-addrs 1 (applied) dhcp vendor class id MSFT 5.0 (applied) dhcp option client id 0x3d0701001731d73ddf (applied) dhcp option hostname 0x0c0654616e697461 (applied) http-redirect-profile INETOFF (applied from sub_default) ip access-group in acl-ACCT-PERMIT (applied) ip access-group out acl-ACCT-PERMIT (applied) flow-ip-profile both UTM-sflow (applied) nat policy-name NAPT-26 (applied) qos-metering-policy 12M-out (applied) qos-policing-policy 12M-in (applied) IP host entries installed by DHCP: (max_addr 1 cur_entries 1) 10.193.104.88 00:17:31:d7:3d:df обратите внимание на последнюю строчку, у вас должно быть также. Почему у вас не так? пока не знаю, покажите конфиг (можно выкинуть rse, acl и qos из него чтоб не загромождать) clips работает и с relay, но я не пойму чем proxy не устраивает - это более продвинутый режим.

на счет 1го вопроса - нужно больше информации, судя по всему у вас clips не работает. на счет бродкаста-юникаста. Это не совсем так, на сколько я понимаю. Точнее siaddr тут точно не причем. Но если изменить в multibind слово proxy на relay, то скорее всего он siaddr менять не будет.

rush, 1. У вас в примере абонент не получил адрес (с точки зрения se)? его не видно в выводе show subscriber active username 2. Все равно как делать. Зависит от ваших потребностей. я обычно предпочитаю внешний сервер, т.к. он более гибок чем встроенный. 3. Не совсем понял, зависит от подключения clips клиента, если он по L2, то бродкастом шлется offer если память не изменяет. Все остальное unicast. в случае с L3 доступом - всегда будет unicast. 4. да можно, например так ppp keepalive check-interval seconds 15 data-check

Анатолий, на счет RSE - да, в таком сценарии, дублировать. как альтернатива, можете посмотреть в сторону /32 меджду двумя брасами only, если есть свободные порты для такого взаимодействия. vrrp с qinq работает

нет, у вас стоит в ospf - redistribute connected. Для multibind интерфейсов (т.е. пулов) это будет означать, что анонс префикса multibind (т.е. пула) происходит только тогда, когда есть хотя бы один абонент под ним.

можно сделать например так, SE1 - в нем два контекста Ctx_A и Ctx_B под рррое. Тоже самое для SE2 - в нем также два контекста Ctx_A и Ctx_B под рррое. Далее вы делаете vrrp партиции, общую идею описал kostil выше. SE1: вланы в Ctx_A - активны с точки зрения vrrp, и соответственно пассивны в Ctx_B SE2: все наоборот - активны в Ctx_B и пассивны в Ctx_A Пулы в Ctx_A на SE1 и SE2 одинаковы, также они одинаковы в Ctx_B на SE1 и SE2. таким образом, на выхлопе получится то что вы хотите.

1. какой софт у вас стоит на se100? 2. сколько абонентов сейчас на коробке? попробуйте дать в контексте где абоненты подключены: ter mon debug ppp exception И еще включите keepalive на ppp, например так ppp keepalive check-interval seconds 10