Jump to content
Калькуляторы

ASR1002-X комбайн PPPoE-концентратор, NAT, BGP...

Всем доброго времени суток!

Жила наша компания спокойно, росла потихоньку,- в Edge стоит Cisco 7201, рулит BGP на 2 Uplinks; крутится сервер IBM 3650 с биллингом LanBilling 2.06 (это чудо без комментариев); стоят 3 НАСа Mikrotik ccr1036-12g-4s-em терминируют сессии с нескольких VLAN от пользователей из многоквартирок и от Wi-Fi сегмента.

После неожиданно-нежданной аварии с микротиками (без комментариев, чтобы не возбудить микроводов и их оппонентов, мы знаем, что криворукие и всё не так настроили и вообще на таком по 100500 Гигабит терминируется) плюнули мы и решили, что микротиковское направление отжило своё и пора бы перейти. Закупили мы Cisco ASR1002-X в голову на замену Cisco 7201.

 

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Тут дело в том, что абонов у нас под 900, а адресов с гулькин нос (1024, /22) т.е. дело пахнет НАТом.

Проще всего было бы сделать Cisco 7201 NAS-ом, заставив всех терминироваться на ней, а на входе в ASR поставить CGN.

Но можно ли совместить такое в одной ASR1002-X? Железка вроде не слабая. К ней мы взяли 16 Гигов оперативки. Так что всё наличествует.

И конечно мы понимаем, что скоро будем брать еще ASR1001-X в качестве NAS, а затем еще одну, когда количество абонов перевалит за 3000. Но на текущий момент, хотя-бы до 2000 абонов, хотелось бы собрать всё в одном комбайне.

Если есть какие намеки, что можно комбайн сделать, намекните, ткните носом в статейки, буду премного благодарен.

Share this post


Link to post
Share on other sites

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Можете NAT overload замутить

А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть

Edited by ilili

Share this post


Link to post
Share on other sites

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Можете NAT overload замутить

А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть

 

Хм... А почему "может быть"? Некие невидимые грабельки?

NAT overload с пулом адресов по мне самое простое и очевидное решение. Вопрос к знатокам - может стоит посмотреть на MPLS в масштабе одной железки и создать как-бы "3-в-одном" т.е PPPoE-концентратор, CGN-траверс и BGP Edge? Скажу сразу, с MPLS знаком только обзорно и для меня это больше технология виртуализации, нежели способ пакетной передачи. Поправьте меня, если сморозил глупость.

Share this post


Link to post
Share on other sites

siddkharta

Какой MPLS? Какая виртуализация? вы о чём?

 

если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают

 

а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS

 

Относительно NAT overload - если его настроить тупо пул-на-пул, то получите плавающий во времени внешний IP для одной и той же сессии, появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

Share this post


Link to post
Share on other sites

siddkharta

Какой MPLS? Какая виртуализация? вы о чём?

 

если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают

 

а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS

 

О! Отлично. А вот где почитать про этот типовой сценарий? То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

Ага, приписочку увидел, пошел изучать матчасть.

Edited by siddkharta

Share this post


Link to post
Share on other sites

То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

 

просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет

Share this post


Link to post
Share on other sites

То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

 

просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет

Понятно. А может еще подскажете ИОС постабильнее, чтобы сие счастье работало? Скажем так, проверенно рабочий ИОС для ASR1002-X, на котором без особливых нюансов будет работать NAPT (CGN+PAP)? А то что-то я форумы почитал империалистические, да и наши (правда в основном посты от 2012 г.), народ плачется по поводу неработоспособности некоторых приложений, типа ftp и т.д.?

Share this post


Link to post
Share on other sites

active ftp nat якобы пофикшено в 3.13.1 и вроде как в 3.10.какой-то и 3.11.какой-то. но всегда есть вокэраунд в виде "no ip nat service ftp", пассивный режим при этом будет работать, а значит кол-во жалоб на ftp будет около 0%

Share this post


Link to post
Share on other sites

Кстати, есть желание попробовать мигрировать с se100 на asr1002x. Используем l2 dhcp subscriber, dot1q subscriber, l3 non dhcp subscriber. Накидайте плиз материалов как эти авторизационные схемы завести в asr. А так же интересны отзывы о стабильности при использовании cgnat, netflow и т.д.

Share this post


Link to post
Share on other sites

появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

на какой версии IOS такие проблемы у вас?

Share this post


Link to post
Share on other sites

появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

на какой версии IOS такие проблемы у вас?

 

на любой. это не баг, а фича. суть "проблемы" описана здесь http://net-labs.in/2014/11/04/nat-napt-%D0%B8-cg-nat-%D0%BD%D0%B0-%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8-cisco-asr1000-csr1000v/

Share this post


Link to post
Share on other sites

l2 dhcp subscriber, l3 non dhcp subscriber.

всё настраивается одинаково, кроме команд ip subcriber ... initiator ... на брасовском сабе

 

dot1q subscriber

что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом

Share this post


Link to post
Share on other sites
dot1q subscriber

что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом

Речь идет, когда субскрайбер живет в отделом vlan (qinq или обычный не важно), при наличии трафика (ip) в этом влане, BRAS делает aaa, и если радиус подтверждает, то "биндит" субскрайбера к соотвествующему svi и разрешает пропуск пакетов согласно Framed-IP/Netmask.

 

Вот пример такого абонента на SmartEdge

 

v1078@sgate

Session state Up

Circuit lg id 825 vlan-id 1078

Internal Circuit 255/22:13:58/3/2/13

Interface bound net_176.121.190

Current port-limit unlimited

Protocol Stack IPV4

profile vlanProfile (applied)

ip address 176.121.190.5 (applied)

ip access-group in access_subscriber (applied)

acct-interim-interval 900 (applied)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this