Jump to content
Калькуляторы

drag0mir

Пользователи
  • Content Count

    78
  • Joined

  • Last visited

1 Follower

About drag0mir

  • Rank
    Абитуриент

Информация

  • Пол
    Мужчина

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. л2 везде да где его взять другой каталист ) да и надо на 10Г ) странное дело, но пока что дублей не было, хотя перекинул сегодня на эриксон около 500 клиентов, правда перекидывал мелкими пачками по 50-100 клиентов пока что наблюдаю может заодно кто знает еще фрирадиус шлет такие сообщения rlm_radutmp: NAS 192.168.201.26 port 335546356 unknown packet type 103) не известный тип пакета 103. сейчас поясню. у аккаунтинг пакетов есть 3 типа 1,2,3 - это Start,Stop,Update а вот ericsson redback посылает пакеты кроме этих 3-ех типов еще с типами 101,102,103 это аккаунтинг для дочерних сервисов. так вот freeradius не знает что за типы такие, можно ли каким то образом его обучить им либо может их подменить на 1,2,3? уж очень они надоедают в логах
  2. я так понимаю у вас родной радиус от UTM, а не freeradius? у меня фрирадиус и все пулы динамические на нем заведены. Вы говорите что радиус отправляет UDP пакет брасу, а что за пакет? как называется? Насколько мне известно брас отправляет Access-Request с логином паролем допустим, радиус делает запрос в базу на правильность, и если связка верна отвечает Access-Accept с атрибутом Framed-IP-Address, где указывает адрес который выделил. Дальше устанавливается уже сессия и начинается accounting. Никаких больше пакетов не нужно радиусу. Может возникнуть вот какая ситуация в вашем случае, когда начинается аккаунтинг, и не приходит допустим пакет Accounting-Start от браса, либо он приходит, но радиус не успевает его обработать из-за нагрузки например. Может быть тогда радиус от UTM считает, что этот айпишник никто не занял? Тут как бы фрирадиус создает ключи на каждую связку такого рода key = "%{NAS-IP-Address} %{NAS-Port}" И к каждому такому ключу прибивает ip-address. В итоге получается что за определенный брасом и определенным интерфейсом закрепляется всегда один и тот же айпишник. Допустим брас имеет адрес 192.168.201.12 и сессию 300, для нее создался ключ к нему привязался Framed-IP-Address в виде 1.1.1.1 к примеру, и всё! теперь каждый раз на этом брасе на эту сессию будет выдаваться этот айпишник. Ну разумеется пока ты не удалишь этот ключ сам. Ключи уникальные и не могут впринципе совпасть никак когда разные атрибуты NAS-IP-Address Поэтому я вообще в полном ступоре, как такое возможно в моей ситуации )) Костыль я написал чтобы искать дубли и сбрасывать сессии, но это не решение проблемы вообще. К тому же проблемы и не было, пока я не начал вставлять брасы в extreme.   Я этим занимался в феврале когда вставил все брасы в extreme ни к чему не пришел, к тому же там столько мусора постоянно ввиде ломящихся клиентов с неверными паролями или логинами, что диагностировать в таком режиме сущий ад )
  3. в папку radacct? это уже пакеты аккаунтинга, которые после пакетов Access идут, ну если не поможет выключение всех настроек радиуса на экстриме, загляну и туда. на данный момент перекидываю клиентов на эриксон, жду дублей.
  4. Выключил полностью на экстриме радиус. Сейчас проверю. # show radius Radius Default State: disabled Radius Default Timeout: 3 seconds Radius Algorithm: standard Radius Retries: 3 Switch Management Radius: disabled Switch Management Radius server connect time out: 3 seconds * Switch Management Radius Accounting: disabled * Switch Management Radius Accounting server connect time out: 3 seconds Netlogin Radius: disabled * Netlogin Radius server connect time out: 3 seconds * Netlogin Radius Accounting: disabled * Netlogin Radius Accounting server connect time out: 3 seconds Legend: An asterisk (*) indicates a global value is in use. что значит сырые пакеты?
  5. свитчи к радиусу не обращаются хотя если быть совсем откровенным, то обращаются, но к другому совсем радиусу и только для того чтобы залогиниться на сам свитч для управления то что в каталисте - linux с pppoe-server то что в экстриме - ericsson redback se1200 192.168.201.12 - это один из линуховых брасов так сложилось исторически, раньше были в 201-ой подсети, я их потом перевел в другой vlan отдельный с отдельной подсетью 181-ой, а названия оставил старые спасибо за идею, щас освещу эту тему, поковыряю экстрим
  6. Добрый день, коллеги. Наблюдаю очень странную я бы сказал даже бредовую картину и честно сказать не знаю куда даже копнуть и написать. Сейчаc попробую пояснить. Имею в ядре сети 2 коммутатора один catalyst другой extreme x670 В каталист вставлен сервак с Freeradius-ом и 4 браса на Линуксе куда подключаются клиенты через pppoe. На радиусе заведены динамические IP-пулы при помощи модуля ippool, а сессии все хранятся не в базе, а в файлике radutmp И всё прекрасно работало, но пришло время и гигабитных портов стало не хватать, поэтому было решено все брасы воткнуть в extreme портами 10g А extreme соединить с каталистом тоже через 10G В итоге получилась такая схема После этого началась полная паника и freeradius начал выдавать клиентам одинаковые ip-адреса не зависимо от брасов, дубли были между всеми брасами После того как я не спал 3-ое суток не понимая в чем дело, я всё таки вернул все брасы в каталист обратно и случилось чудо, всё заработало так же хорошо как и раньше ) На данный момент я настраиваю Ericsson redback как 5-ый брас и воткнул его в exteme Получилась такая схема Так вот, теперь снова появились дубли выдаваемых ip-адресов, но дубли эти соответственно только между 5-ым брасом(redback) и остальными 4-мя(linux). Между первыми 4-мя брасами которые вставлены в каталист, дублей - нет. Ситуация смахивает на бредовую 1-ой степени, я ума не могу приложить в чем может быть дело. Анализировал пакеты от радиус-клиентов с linux-а и c redback Прикладываю ниже файлы. Разницу удалось найти в том что с эриксона, который вставлен в экстрим пакет пришел с TTL равным 63, а с линукса который вставлен в каталист TTL=64 Уж не знаю как это может повлиять на радиус, но однако тоже вопрос куда делся один хоп? Дело точно не в Эриксоне, Линуксы ловили такие же проблемы когда я их вставлял в extreme На данный момент имею 2 пары дублей # radwho | awk {'print $8" "$7" "$1" "$5" "$6'} | sort | uniq -D -w 15 172.16.203.225 192.168.201.10 zorinmm Tue 19:19 172.16.203.225 192.168.201.26 lyalyakins Tue 12:16 172.16.203.231 192.168.201.17 kornilovni Thu 17:16 172.16.203.231 192.168.201.26 sokolovss Tue 12:16 192.168.201.10 - линуховый брас в каталисте 192.168.201.17 - линуховый брас в каталисте 192.168.201.26 - эриксон в экстриме Либо спецы по экстриму либо спецы по freeradius-у помогите, у меня просто нет идей никаких linux_Access_Request.pcap redback_Access_Request.pcap
  7. В загрузке проца не нашел ничего криминального. Но потери пропали после того как выключил в этом влане IGMP глобально disable igmp vlan mng В остальных вланах потери остались до этого коммутатора соответственно. Потери появляются когда коммутатор отправляет igmp query на 224.0.0.1 Странно конечно... но факт остается фактом....   в догонку хочу обновить прошивку на нем (х670) на какую нибудь по свежее сейчас стоит ExtremeXOS version 16.1.3.6 16.1.3.6-patch1-7 by release-manager посоветуйте что нибудь из нового, но по стабильнее
  8. Добрый день! Пришел вот summit x670 До этого не работал с такими коммутаторами. накинул на него ip-адреса в 1 и 5 вланах таким образом conf vlan 5 ipaddress 10.5.0.103/24 но почему то до него потери периодические и работать через телнет невозможно. при этом подключил к нему другой коммутатор, на пропуск потерь вроде не наблюдаю Что может быть не так show version Switch : 800400-00-08 1229G-01956 Rev 8.0 BootROM: 2.0.1.7 IMG: 16.1.3.6 PSU-1 : Internal PSU-1 800282-00-04 1230K-80714 PSU-2 : Image : ExtremeXOS version 16.1.3.6 16.1.3.6-patch1-7 by release-manager on Fri May 20 11:19:59 EDT 2016 BootROM : 2.0.1.7 Diagnostics : 6.4 заранее спасибо
  9. вчера перебрал на 3620 несколько прошивок: DGS3620_Run_1_58_R004.had DGS3620_Run_2_69_B001.had DGS3620_Run_2_69_B002.had DGS3620_Run_2_69_B003.had DGS3620_Run_2_70_B002.had DGS3620_Run_2_70_B003.had DGS3620_Run_2_70_B005.had DGS3620_Run_3_00_004.had DGS3620_Run_3_00_B006.had результат один и тот же
  10. через 2 дня придет еще такой же коммутатор 3620 на нем попробую поиграться с прошивками, отпишу
  11. на более старую? почему тогда не попробовать уж более новую 3-ю ветку? ну как тогда можно объяснить то что с другими коммутаторами работает и длинк и каталист, через эти же самые модули и эти же самые порты? пробовал и через sfp модули с пачкордом и через директ аттач пробовал также на каталисте разные модули X2 и порты менял и на длинке и на каталисте
  12. Добрый день. Столкнулся с такой проблемой, что когда соединяю dlink dgs-3620-28sc c catalyst 4900m через порты 10G, происходит следующая ситуация 1.Линк поднимается с обеих сторон на 10G 2.На циске вижу маки на порту куда вставлен длинк 3.На длинке не вижу ни одного мака на порту куда вставлен каталист 4.Пакеты с длинка на каталист приходят всё ок 5.Пакеты с каталиста на длинк не приходят 6.На порту длинка на каждый приходящий пакет с циски увеличивается счетчик symbol error 7.Проблема такая имеено между этими двумя коммутаторами, с другими вендорами каталист работает без проблем на 10g, но с другими моделями длинка, проверить возможности нет. 8.Длинк так же работает без проблем на 10g с каталистом 4948, проблема именно с 4900m 9.Воткнул в 4900M твингиги и поднял линк между гигабитными портами с dgs-3620-28SC, завелось всё без проблем, связь есть, маки тоже. 10.Пробовал выставлял на длинке на 10g порту скорость авто и скорость 10G, результата не дало 11.STP выключал с обоих сторон 12.Пробвал соедниять как DAC-ами, так и через sfp-модули с оптическим пачкордом, ситуация одинаковая Вобщем резюме такое, что проблема между этими моделями, возможно существует и с другими моделями длинка и именно на 10G Я так понимаю что автосогласование портов не удается до конца завершить Вот версия прошивки Device Type : DGS-3620-28SC Gigabit Ethernet Switch Boot PROM Version : Build 1.00.016 Firmware Version : Build 2.61.B005 Hardware Version : B1 Firmware Type : EI Подскажите, сталкивался ли кто нибудь с подобной проблемой и куда можно копнуть. Заранее спасибо за ответ.
  13. мы начали вешать на онушки вот такую строчку с головы в резделе pon-onu-mng firewall enable level high anti-hack enable После этого на онушку нельзя достучаться никак, не по ip-адресу который выдается через pppoe, не по серому ip-адресу управления в отдельном влане(такой тоже имеется). если нужно достучаться самим до онушки, тогда эту строчку удаляем предварительно соответственно Наблюдаем за ними теперь будут ли дохнуть. Но саппорт доложил что одна онушка всё таки сдохла даже с этой строкой. Продолжаем наблюдать. Может быть они в режиме роутера греются сильнее и поэтому дохнут? такая вот еще гипотеза. давайте попробуем прислать, напишу в личку