mr6in

свяжитесь с менеджером, у которого закупали, он скорее всего вам даст доступ в хелпдеск, либо что то другое посоветует

Комрады, как у вас на сегодня с избыточной блокировкой? или только мы постоянно письма "счастья" получаем?

сделал, результат тот же

ASR#sh ip nat statistics Total active translations: 837 (0 static, 837 dynamic; 837 extended) Outside interfaces: GigabitEthernet0/0/3 Inside interfaces: Virtual-Access2.1, Virtual-Access2.2, Virtual-Access2.5, Virtual-Access2.9 Virtual-Access2.24, Virtual-Access2.34, Virtual-Access2.38 Virtual-Access2.46, Virtual-Access2.48, Virtual-Access2.61 Virtual-Access2.62, Virtual-Access2.86, Virtual-Access2.87 Virtual-Access2.92, Virtual-Access2.97, Virtual-Access2.101 Virtual-Access2.105, Virtual-Access2.114, Virtual-Access2.115 Virtual-Access2.118, Virtual-Access2.144, Virtual-Access2.153 Virtual-Access2.419, Virtual-Access2.428, Virtual-Access2.431 Virtual-Access2.432, Virtual-Access2.433, Virtual-Access2.442 Virtual-Access2.447, Virtual-Access2.459, Virtual-Template1 Hits: 18815146 Misses: 297016 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 304199 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 interface GigabitEthernet0/0/3 refcount 807 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 600 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0

Временно отложили циску, теперь взялсь вновь, можно поподробнее про протухание кэша, и фильтров? Самостоятельный поиск ни к чему не привел. Вот финальный конфиг: version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no platform punt-keepalive disable-kernel-core ! hostname ASR ! boot-start-marker boot-end-marker ! ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! enable password xxxxx ! aaa new-model aaa session-mib disconnect ! ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default start-stop group radius ! ! ! ! ! aaa session-id common ! ! ! ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ! ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! username xxxx privilege 15 password 0 xxxxxx ! redundancy mode none ! ! ! ip tftp source-interface GigabitEthernet0 ! policy-map pppoe_5000_in class class-default police 5000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_5000_out class class-default shape average 5280000 5000 5000 policy-map pppoe_10000_in class class-default police 10240000 1024000 1280000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_30000_in class class-default police 30000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_15000_in class class-default police 15000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop ! ! ! ! ! ! ! ! ! ! ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name ASR sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! interface Loopback0 no ip address ! interface GigabitEthernet0/0/0 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/1 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/2 ip address 10.222.0.2 255.255.224.0 negotiation auto pppoe enable group global ! interface GigabitEthernet0/0/3 ip address х.х.х.х 255.255.255.252 ip nat outside ip flow ingress negotiation auto ! interface GigabitEthernet0 vrf forwarding Mgmt-intf ip address 10.222.0.6 255.255.224.0 negotiation auto ! interface Virtual-Template1 mtu 1492 ip unnumbered Loopback0 ip nat inside ip flow ingress ip flow egress ip tcp adjust-mss 1452 peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp ipcp dns 194.67.1.154 194.67.1.155 ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ip local pool PPPoE 10.222.2.1 10.222.10.254 ip nat translation timeout 60 ip nat translation tcp-timeout 60 ip nat translation pptp-timeout 600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 60 ip nat translation max-entries all-host 600 ip nat inside source list 1 interface GigabitEthernet0/0/3 overload ip forward-protocol nd ! ip flow-export source GigabitEthernet0/0/2 ip flow-export destination 10.222.18.161 9996 no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 х.х.х.х ! access-list 1 permit 10.222.0.0 0.0.15.255 access-list 3 permit 10.222.18.161 access-list 3 deny any log ! snmp-server community bgbilling RW 3 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.222.18.161 161 snmp-server host 10.222.18.161 2c snmp-server host 10.222.18.161 aaa snmp-server host 10.222.18.161 pass snmp snmp ifmib ifindex persist ! radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted lower-case radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key bgbilling radius-server vsa send accounting radius-server vsa send authentication ! ! control-plane ! ! ! ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 password xxxxxx ! ! end

спасибо! похоже дело было действительно в этом

как я уже говорил, с циской дел не имел, но просто sh log ничего странного не показывает

да

Это временный IP, вообще там "белый" ip

Камрады прошу помощи! Как можно увеличить максимальное кол-во сессий pppoe конфиг PPPoE /usr/sbin/pppoe-server/ -I eth1 -L -R 10.222.0.1 -R 10.222.1.1 -N 999 -k тупо увеличить в конфиге не дает

до этого работало на Debian+PPPoE таких проблем не было

Рано радовался((( Интернет стабильно работает несколько часов, потом сайты перестают открываться, хотя 8ки пингуются, mtu 1492 mss 1452, такое ощущение что эти значения слетают, хотя такое невозможно

Всем огромное человеческое спасибо! Заработало

дальнейшие копания выявили следующее. После перезагрузки циски какое то время все работает нормально. Через 5-7 минут перестают работать dns еще через пять остается виден лишь IP внешнего интерфейса (это из под сессии). Сама циска при этом пингует шлюз и днс. И еще. Заметил что некоторые сайты грузятся дольше остальных, и похоже дело отличие в http/https

Всем спасибо за помощь! возникла еще одна проблема. Сессии поднимаются, доступ в интернет есть, но не работают днс, при этом сессия днс получает. Т.е. на стороне клиента по IP в интернет доступ есть а по доменному имени нет. Буду рад любому совету.

Прикупили железку ASR 1002, возникла проблема, сессии поднимает на ура, в Интернет доступа нет, хоть интерфейс внешний для pppoe-сессии виден. Настраивал по разным манам результата нет. С цисками раньше дел не имел, прошу помочь aaa new-model aaa session-mib disconnect aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa session-id common bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name ASR sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup interface GigabitEthernet0/0/1 #внешний интерфейс ip address 192.168.0.1 255.255.255.0 ip nat outside ip route-cache flow negotiation auto interface GigabitEthernet0/0/2 #внутренний интерфейс ip address 10.222.0.2 255.255.224.0 pppoe enable group global interface Virtual-Template1 mtu 1492 ip nat inside ip unnumbered GigabitEthernet0/0/2 ip route-cache flow autodetect encapsulation ppp peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ip nat inside source list 1 interface GigabitEthernet0/0/1 overload ip classless access-list 1 permit 10.222.2.1 10.222.9.254 ip local pool PPPoE 10.222.2.1 10.222.9.254 ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source GigabitEthernet0/0/1 ip flow-export version 5 ip flow-export destination 10.222.18.161 9996 access-list 3 permit 10.222.18.161 access-list 3 deny any log snmp-server community qbiqing RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.222.18.161 161 snmp-server host 10.222.18.161 2c snmp-server host 10.222.18.161 aaa snmp-server host 10.222.18.161 qqq11 snmp radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 0 gbilloy radius-server vsa send accounting radius-server vsa send authentication Циска шлюз свой видит. из pppoe сессии виден внутренний и внешний интерфейс, дальше ни-ни

на проце загрузка при макс кол-ве абонентов не превышает 20% т.е. сразу пользователя в какой то влан? или домовой свитч? просто где гарантия что все не окажутся на одном сервере? есть идея костыля (плана реализации нет), который будет набирать определенное кол-во абонентов а после перестанет принимать запросы, и абоненты начнут цеплятся на второй, при этом оба сервера должна проверять друг друга (если один ушел в даун то второй принимает запросы всегда), ну и естественно чтобы оба мониторили кол-во активных сессий друг у друга, это вообще сделать реально? и если да то есть ли у кого опыт внедрения?

Вы посмотрите что они пишут, какие ipoe :) У них наверно и мыльницы еще стоят, не? если под мыльницами идет речь о неуправляемых свичах то нет, везде L2/L3

Если меньше 4К потецниальных клиентов, то даже куинку не понадобится так что вперёд и с песней)) меньше

большой и не будет, город маленький

ммм, стыдно канеш, но, работаем пока без vlan, сетка маленькая, хватает сегментации, после того как распидалим трафик как раз хотел заняться vlan'ами и коль уж так, то ставить accel-pppoe или pppoe при том что на рабочем стоит pppoe?

ммм, стыдно канеш, но, работаем пока без vlan, сетка маленькая, хватает сегментации, после того как распидалим трафик как раз хотел заняться vlan'ами

Пришли к мысли что лучше использовать 2 pppoe сервера, но вот тут встал другой вопрос как их объединить? чтоб при определенной нагрузке перестал поднимать сессии, есть кому пнуть в нужном направлении?

можно подробнее?

к технологии EoC не присматривались?