macharius

Номер влана, порт и IP адрес браса шлются самим брасом на радиус при dot1q схеме ? в случае с dot1q subs, вы его указываете в влане в конфиге, и он сразу активен после этого, но адреса в эту сущность выдаются по dhcp например (или как-то по другому выдаются через ааа). как только dot1q subs появляется в конфигурации - брас может послать для этого влана access-request, в этом access-request есть номер влана, порт и вымышленный username. Сразу скажу, что так (access-request на dot1q subs) в реальной жизни никто не делает, т.к. любой port flap или тому подобное будут убивать ваш радиус. Абонент авторизуется в конфиге, либо через subscriber default, при этом, если выдача ip адресов в самом dot1q subs происходит по dhcp, то каждый факт получения ip адреса по dhcp отображается в внеплановом acct alive пакете (в котором опять таки есть все: порт, влан, адрес), по этому событию билинг/радиус может реагировать по СоА, настраивая этого абонента индивидуально (oqs, acl, redirect, nat, netflow и проч). Не понял насчет изоляции клиентов в схеме динамическим clips. Какое оборудование ее обеспечивает ? Если коммутатор доступа, то как проблема решается в кольцевых топологиях ? может быть L3 между брасом и shared vlan-ом, например, а вообще для всех clips и dot1q subs можно включить secured proxy-arp Dot1q сабскрайбер должен быть заведен на оборудовании в конфигурационном файле ? Если да, приводит ли это к более жестким лимитам, по сравнению с динамическим clips ? ответил выше Dinamic clips создается и уничтожается по мере подключения/отключения клиентских хостов ? при dynamiс clips да, даже вланы могут динамично создаваться удаляться для этого случая (т.к. dynamic clips могут использовать для c-vlan) Можно ли сказать, что dot1q сабскрайбер это то же самое, что и динамический сlips, за исключением модели влан на пользователя и аккаунтинга сразу по всем хостам ? Да, а также за исключением того, что dotq1 subs заводится в влане в конфиге.

под S-VLAN я имел ввиду shared vlan, так тут вроде на наге так принято называть способ, когда в одном влане много абонентских сессий (а c-vlan это типа customer vlan, т.е. когда в одном влане один абонент). может быть все что угодно: ничего, полисер, шейпр полисер или шейпер работают также, как обычные полисеры (rate, burst, excess-burst) групповые полисеры и шейперы работают для Hitless LAG-а (home slot). для Eco LAG-а работают только групповые полисеры (это обычный LAG across cards)

да можно, в этом собственно идея лимитов на кол-во circuit groups нет (сколько памяти хватит), так же нет лимитов на кол-во dynamic clips сессий в них. общее максимальное кол-во dynamic clips сессий равно максимальному кол-ву абонентов в системе.

rus-p, вы не поняли, circuit groups работают для dhcp (dynamic clips), также как и для static clips - это для s-vlan модели. Т.е. вот что такое circuit groups: Circuit groups allow you to group arbitrary PVCs or other circuits, such as subscriber sessions, for collective metering, policing, and scheduling. You can group circuits—for example, to represent a single entity — and apply class-aware or circuit-level rate limits to the group. In this case, the traffic on all of the member circuits is collectively limited to any metering, policing, and scheduling rates configured on the circuit group. И как еще выше написали, при с-vlan, без всяких circuit groups у вас может быть dot1q subscriber с выдачей адресов в него по dhcp (при этом можно задать ограничение сверху на их кол-во скажем 5 адресов на с-vlan), все они с точки зрения qos и acct одна сущность.

Ericsson SE600... причем желательно чтобы он терминировал на себе абонентов для грядущего CGN по SRX650 здесь на форуме есть человек, который его заставил уйти в ребут при нагрузке в пару сотен мбит =) послав группу пакетов определенного протокола. Ныне тружусь у шпд оператора, так что ериксона сюда не засунуть. Бабла стока не дадут. На счёт SE600, я его когда юзал, он назывался Redback ещё :) У него был функционал Site Router. Там ни о каком нате ваще речь не шла. Наверное, в него можно напихать каких-то прикольных плат. А с эриксоном проработал 3 года в вымпеле. Поддержка у них классная :) На счёт SRX6500 я так и думал, что нужно будет гадать с версией джунос. Так со всеми их железками. С завода они не работают на 100% :) Вы мне скажите, после всех установок софта на него, он сколько сможет занатить трафика? Есть живые примеры? Интегратор нам и предложил этот джунипер либо ASA5580. Ну это вы махнули... SE600 никогда не выпускался под брендом Redback, это был уже сразу Ericsson, т.к. это шасси было выпущено в 2010 году. В SmartEdge нет никаких специальных модулей под NAT. Если использовать его именно как BRAS, то можно спокойно использовать NAT на абонентских сессиях. Для сомневающихся, вот график работы одного модуля 10GE, на нем 8-9тыс абонентов (clips) вечером, с NAPT и с Netflow, загрузка cpu вечерами ~15% (только за счет netflow), у самого модуля 10GE мощей еще на прирост минимум в двое

это называется proxy-arp

to rush в 6.5 можно теперь сделать так: Packet type: CoA-Request Attributes: Acct-Session-Id=0101FFFF7800010C-4E1421F5 Deactivate-Service-Name:1=RSE-SVC-EXT Service-Name:1=RSE-SVC-EXT Service-Parameter:1=Rate=10000 Burst=1250000 т.е. послать все в одном СоА пакете, отпишитесь плиз если получится.

вот, например, пиринг в влане 299, все что приходит в этот влан маркируется в dscp cs4 ! qos policy inbound-marking policing mark dscp cs4 ! ! port ethernet 2/2 no shutdown medium-type copper encapsulation dot1q dot1q pvc 299 bind interface peering local qos policy policing inbound-marking ! теперь вы добавляете абонентам propagate qos to ip и делаете metering policy, которая все что отмаркировалось на входе в влане 299 не ограничивает это по скорости ! context local ! policy access-list dscp-based-out seq 10 permit ip any any dscp eq cs4 class cls-PEERING seq 20 permit ip any any class cls-INET ! subscriber default qos policy metering dscp-default-out propagate qos to ip ! ! ** End Context ** ! qos policy dscp-default-out metering access-group dscp-based-out local class cls-PEERING class cls-INET rate 128 burst 16000 ! ну и остальное как по howto

ну это и есть своего рода QPPB. Повторить тоже самое на SE увы не получится. Все что можно сделать - это принять пиринг в отдельном влане на SE и отмаркировать его, а потом на выходе к абонентам сделать полсиер, котрый не будет ограничивать скорость для промаркированного трафика. Но вот с трафиком который приходит от абонентов такая схема бесполезна. Либо статично весь список создать в SE (а не динамично как сейчас), но я так понимаю что там префиксов в пиринге под 1000.

smartedge не поддерживает pptp, только l2tp (также не поддерживается ms-chap). se600 может 32 тыс l2tp с натом и с ipv6.

вы имеете в виду QPPB? SE его поддерживает, только он все равно не поможет, т.к. qos policy срабатывает до того как происходит fib lookup. много локальных префиксов?

это появится к ближайший год-два, берите сейчас то, что реально сможет грамотно отнатить ваши 10G+ на wire-speed.

прочтите первую главу policy how to http://www.nag.ru/projects/setup/67855/ policy acl - определяет классы (направления). qos policy - привязывается к классам и определяет для каждого класса скорость. в зависимости от того, на сколько гибок радиус в вашем билинге: 1. если билинг умеет посылать в радиус пакете несколько раз один и тотже атрибут с разными значениями, то лучше делать через Dynamic-QoS-Param (при этом общая на всех qos policy) 2. если билинг не умеет, то тогда под каждый тарифный план свои qos policy, в которых прописаны скорости.

asr1k на сколько известно не поддерживает dual-stack, в чем тогда смысл советовать именно его? smartedge поддержиает сегодня dual-stack (с QoSv6 и проч) на PPPoE/l2tp.

rush посоветовались с коллегами, попробуйте передать значения rate и burst напрямую в класс, к которому привязан ваш RSE-SVC-EXT, т.е. если скажем у вас класс называется ext, то тогда это будет выглядеть приблизительно таким образом: Acct-Session-Id=0101FFFF7800010C-4E1421F5 Dynamic-Qos-Param += meter-class-rate ext rate-absolute 1000 Dynamic-Qos-Param += meter-class-burst ext 1250000 Dynamic-Qos-Param += police-class-rate ext rate-absolute 1000 Dynamic-Qos-Param += police-class-burst ext 1250000

Да все верно, NAT в SE и особенно готовящийся к выходу CG-NAT заточен под брас, т.е. когда вы нат подымаете на абонентских сессиях, а не на L3 интерфейсах. Основная проблема вашего текущего подхода заключается в том, что нат полиси ограничена 8-мю классами. Каждый класс - это нат пул. Т.к. отсутсвует address-pairing, то в идеале, в пуле нужно иметь 1 адрес. В howto про полиси очень подробно все это описано. То как делает mikevlz - это именно 1:1, подсеть в подсеть. Такой способ очень специфичен, и встречается по опыту очень редко, а точнее впервые :) Про CG-NAT. По своей сути это NAPT, точно такой же как есть сейчас за исключением того, что в него добавлены следующие основные функциональности: 1. Полная поддержка следующих BEHAVE RFC: 4787 (UDP), 5382 (TCP) 5508 (ICMP), draft-nishitani-cgn-04. На практике это улучшит traversability, в частности можно будет включить endpoint-independent filtering также для tcp. 2. Поддержка функции IP Address Pairing. Что даст возможность задавать NAPT пулы так, как я описал парой постов выше - фиксировать желаемое кол-во серых на один белый (уровень перепеодписки), определять расчетное кол-во портов/трансляций на адрес и т.п. 3. Logging/tracing всех делаемых трансляции На счет последнего, подробности следующие: › Для организации функций logging/tracing используется транспортный контейнер NetFlow v9 › Поддержка двух log-коллекторов одновременно для отказоустойчивости › SmartEdge логирует следующую информацию: – Internal IP address: – NATed IP address – NATed port (allocated port range) – Session start time (allocated port block assignment time) – Session end time (allocated port block unassignment time) – Context Id и еще забыл добавить, что CG-NAT будет работать поверх LACP, а также для LNS (сейчас это не поддерживается)

попробуйте вместо Service-Name использовать другой VSA - Reauth-Service-Name номер 204. Все остальное точно также.

А что реально это даст? возможность переключать, в случае disaster, ручками на резервный брас, район, который отвалился с основного браса? А толку? на новом брасе все абоненты получат статус - not-authorized и будут выброшены на web-авторизацию, для того чтобы пройти аутентификацию снова. Весело. При этом, если район достаточно большой - то еще и личный кабинет положат минут на 30 ... Сделайте lease равным 10 мин - переключение будет происходить в разы быстрее.

не понимаю в чем проблема, разные вланы - разные подсети, в случае с se100, такие запросы, с одинаковых маков, но с разных вланов отличаются для dhcp сервера и для se100 полем giaddr. SE100 работает как dhcp-proxy, а не как realy. Так что адреса будут выданы разные - и ничего рваться не будет. предполагается схема когда у клиента должен быть один IP адрес на порту доступа. Клиент должен использовать рутер в таких случаях. Для того чтобы подобные деятели не забивали муором билинг на брасе включатся throttling на входяще dhcp запросы, который работает per-mac. Не вижу никаких проблем. если вы не анализируете маки, а только опт82, то при подключении нового оборудования будет выдан ip адрес.

ничего не помешает. вы писали про аутентифкацию mac+opt82, я говорю что самой одной opt82 будет достаточно (единственное что не должно быть duplicate маков в одном свиче доступа).

Minya у вас se100 как нат-девайс без браса? в смысле абонентов на нем не создается (рррое/clips) и есть только нат-политика на L3 интерфейсе?

советую не связываться с mac, и оставить аутентификацию только на базе opt82. абоненты будут ставить себе рутеры и качать прошивки с интернета - результат duplicate маки. 82-ой опции имхо вполне достаточно.

Эта лицензия на общее количество активных абонентов в системе, они могут быть разных типов (L2TP/PPPoE/CLIPS) и в разных комбинациях но суммарно их не более 8000. Находясь в exec режиме котекста local, и давая команду show subscribers summary all можно увидеть сколько в данный момент абонентов в системе суммарно и каких типов.

mikevlz, и в самом деле, оказывается в SE действительно есть dynamic 1:1. Честно, я не знал..... точнее всегда думал, что его нет, чтож, спасибо за наводку, как говорится век живи, век учись... в таком случае я практически уверен, что для dynamic 1:1 понятие "трансляции" как таковой не существует, т.е. грубо говоря их ровно столько, сколько у вас реальных IP адресов в пулах. В свою очередь это означает "неограниченное" их число, т.к. трансляций в se100 может быть два миллиона. Это очень легко проверить, дайте сначала вот эту команду show card 2 nat pool ее вывод покажет все пулы которые сейчас есть в айсике, после этого выберите какой-нибудь пул и обратите внимания на его grid_id далее дайте команду show card 2 nat pool <grid_id> detail появится информация, которая точно говорит сколько в этом пуле сейчас трансляций, а точнее третья строчка вывода, что-то типа: Translations: all X, alloc Y, unassign Z static 0 del 0

небольшое информационное сообщение на тему трансляций в SE. 1:1 NAT в SE есть только static 1:1 NAT, когда все соответствия серый-белый прописаны в конфиге. Dynamic 1:1 - нет. при 1:1 нет понятия трансляций, т.е. неважно сколько там flow проходит через 1:1 запись, это все равно одна "трансляция" N:1 NAT или NAPT Соответствующего кол-ву трансляций SNMP OID-a в SE нет. Соглашусь, что на первый взгляд это кажется серьезным упущением, но на самом деле, это не так. Как вы наверное знаете, у нас в этом году выходит большое обновление по NAT, т.е. новый NAT, станет называться CG-NAT (carrier grade), т.к в него помимо всего прочего будет добавлена функция address pairing. Что это будет означать на практике? Например, вы задаете NAT пул как вариант, следующим образом: ip nat pool nat-pool napt paired logging <--Configure an Enhanced NAT pool logging-profile nat-log-profile paired-mode subscriber over-subscription 10 port-limit 1000 address 155.53.1.1 to 155.53.1.254 port-block 0 to 15 exclude well-known <-Excludes TCP and UDP ports 0-1023 from the entire pool я задал пул из /24 реальных адресов и указал, что через каждый реальный адрес нужно натить 10 серых, при этом каждому серому не давать более 1000 трансляций. в результате на выхлопе получается, что этот пул может отъесть потенциальный максимум в 253*10*1000=2,5М трансляций, при условии что каждый серый пользователь который привязан к этому пулу октрыл 1000 flow (что обычно маловероятно). Однако, заданные параметры не означают, что будет делаться admission control, эта функция включается отдельно. Данные параметры пула в примере определяют только поведенческие характеристики hash функции, т.е. если кто-то будет пытаться открыть более 1000 flow и в пуле есть ресурсы, то ему будет позволено это сделать.