siddkharta Опубликовано 22 мая, 2015 · Жалоба Всем доброго времени суток! Жила наша компания спокойно, росла потихоньку,- в Edge стоит Cisco 7201, рулит BGP на 2 Uplinks; крутится сервер IBM 3650 с биллингом LanBilling 2.06 (это чудо без комментариев); стоят 3 НАСа Mikrotik ccr1036-12g-4s-em терминируют сессии с нескольких VLAN от пользователей из многоквартирок и от Wi-Fi сегмента. После неожиданно-нежданной аварии с микротиками (без комментариев, чтобы не возбудить микроводов и их оппонентов, мы знаем, что криворукие и всё не так настроили и вообще на таком по 100500 Гигабит терминируется) плюнули мы и решили, что микротиковское направление отжило своё и пора бы перейти. Закупили мы Cisco ASR1002-X в голову на замену Cisco 7201. А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет? Тут дело в том, что абонов у нас под 900, а адресов с гулькин нос (1024, /22) т.е. дело пахнет НАТом. Проще всего было бы сделать Cisco 7201 NAS-ом, заставив всех терминироваться на ней, а на входе в ASR поставить CGN. Но можно ли совместить такое в одной ASR1002-X? Железка вроде не слабая. К ней мы взяли 16 Гигов оперативки. Так что всё наличествует. И конечно мы понимаем, что скоро будем брать еще ASR1001-X в качестве NAS, а затем еще одну, когда количество абонов перевалит за 3000. Но на текущий момент, хотя-бы до 2000 абонов, хотелось бы собрать всё в одном комбайне. Если есть какие намеки, что можно комбайн сделать, намекните, ткните носом в статейки, буду премного благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 22 мая, 2015 (изменено) · Жалоба А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет? Можете NAT overload замутить А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть Изменено 22 мая, 2015 пользователем ilili Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
siddkharta Опубликовано 22 мая, 2015 · Жалоба А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет? Можете NAT overload замутить А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть Хм... А почему "может быть"? Некие невидимые грабельки? NAT overload с пулом адресов по мне самое простое и очевидное решение. Вопрос к знатокам - может стоит посмотреть на MPLS в масштабе одной железки и создать как-бы "3-в-одном" т.е PPPoE-концентратор, CGN-траверс и BGP Edge? Скажу сразу, с MPLS знаком только обзорно и для меня это больше технология виртуализации, нежели способ пакетной передачи. Поправьте меня, если сморозил глупость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 мая, 2015 · Жалоба siddkharta Какой MPLS? Какая виртуализация? вы о чём? если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS Относительно NAT overload - если его настроить тупо пул-на-пул, то получите плавающий во времени внешний IP для одной и той же сессии, появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
siddkharta Опубликовано 22 мая, 2015 (изменено) · Жалоба siddkharta Какой MPLS? Какая виртуализация? вы о чём? если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS О! Отлично. А вот где почитать про этот типовой сценарий? То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму. Ага, приписочку увидел, пошел изучать матчасть. Изменено 22 мая, 2015 пользователем siddkharta Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 мая, 2015 · Жалоба То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму. просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
siddkharta Опубликовано 22 мая, 2015 · Жалоба То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму. просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет Понятно. А может еще подскажете ИОС постабильнее, чтобы сие счастье работало? Скажем так, проверенно рабочий ИОС для ASR1002-X, на котором без особливых нюансов будет работать NAPT (CGN+PAP)? А то что-то я форумы почитал империалистические, да и наши (правда в основном посты от 2012 г.), народ плачется по поводу неработоспособности некоторых приложений, типа ftp и т.д.? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 мая, 2015 · Жалоба active ftp nat якобы пофикшено в 3.13.1 и вроде как в 3.10.какой-то и 3.11.какой-то. но всегда есть вокэраунд в виде "no ip nat service ftp", пассивный режим при этом будет работать, а значит кол-во жалоб на ftp будет около 0% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 23 мая, 2015 · Жалоба Кстати, есть желание попробовать мигрировать с se100 на asr1002x. Используем l2 dhcp subscriber, dot1q subscriber, l3 non dhcp subscriber. Накидайте плиз материалов как эти авторизационные схемы завести в asr. А так же интересны отзывы о стабильности при использовании cgnat, netflow и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 24 мая, 2015 · Жалоба появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP на какой версии IOS такие проблемы у вас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2015 · Жалоба появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP на какой версии IOS такие проблемы у вас? на любой. это не баг, а фича. суть "проблемы" описана здесь http://net-labs.in/2014/11/04/nat-napt-%D0%B8-cg-nat-%D0%BD%D0%B0-%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8-cisco-asr1000-csr1000v/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2015 · Жалоба l2 dhcp subscriber, l3 non dhcp subscriber. всё настраивается одинаково, кроме команд ip subcriber ... initiator ... на брасовском сабе dot1q subscriber что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 25 мая, 2015 · Жалоба dot1q subscriber что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом Речь идет, когда субскрайбер живет в отделом vlan (qinq или обычный не важно), при наличии трафика (ip) в этом влане, BRAS делает aaa, и если радиус подтверждает, то "биндит" субскрайбера к соотвествующему svi и разрешает пропуск пакетов согласно Framed-IP/Netmask. Вот пример такого абонента на SmartEdge v1078@sgate Session state Up Circuit lg id 825 vlan-id 1078 Internal Circuit 255/22:13:58/3/2/13 Interface bound net_176.121.190 Current port-limit unlimited Protocol Stack IPV4 profile vlanProfile (applied) ip address 176.121.190.5 (applied) ip access-group in access_subscriber (applied) acct-interim-interval 900 (applied) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...