[siddkharta]

Всем доброго времени суток!

Жила наша компания спокойно, росла потихоньку,- в Edge стоит Cisco 7201, рулит BGP на 2 Uplinks; крутится сервер IBM 3650 с биллингом LanBilling 2.06 (это чудо без комментариев); стоят 3 НАСа Mikrotik ccr1036-12g-4s-em терминируют сессии с нескольких VLAN от пользователей из многоквартирок и от Wi-Fi сегмента.

После неожиданно-нежданной аварии с микротиками (без комментариев, чтобы не возбудить микроводов и их оппонентов, мы знаем, что криворукие и всё не так настроили и вообще на таком по 100500 Гигабит терминируется) плюнули мы и решили, что микротиковское направление отжило своё и пора бы перейти. Закупили мы Cisco ASR1002-X в голову на замену Cisco 7201.

 

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Тут дело в том, что абонов у нас под 900, а адресов с гулькин нос (1024, /22) т.е. дело пахнет НАТом.

Проще всего было бы сделать Cisco 7201 NAS-ом, заставив всех терминироваться на ней, а на входе в ASR поставить CGN.

Но можно ли совместить такое в одной ASR1002-X? Железка вроде не слабая. К ней мы взяли 16 Гигов оперативки. Так что всё наличествует.

И конечно мы понимаем, что скоро будем брать еще ASR1001-X в качестве NAS, а затем еще одну, когда количество абонов перевалит за 3000. Но на текущий момент, хотя-бы до 2000 абонов, хотелось бы собрать всё в одном комбайне.

Если есть какие намеки, что можно комбайн сделать, намекните, ткните носом в статейки, буду премного благодарен.

[ilili]

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Можете NAT overload замутить

А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть

Изменено 22 мая, 2015 пользователем ilili

[siddkharta]

А вот теперь контрольный, как выстрел, вопрос - можно ли на такой железке собрать комбайн Всё-в-одном? Т.е. С одной стороны собрать на себе все PPPoE, затем пронатить их, затем выкинуть в Интернет?

Можете NAT overload замутить

А вообще, для него одного и 3000 хомяков не нагрузка. Грузите в него последний иос, от января 2015 и будет счастье может быть

 

Хм... А почему "может быть"? Некие невидимые грабельки?

NAT overload с пулом адресов по мне самое простое и очевидное решение. Вопрос к знатокам - может стоит посмотреть на MPLS в масштабе одной железки и создать как-бы "3-в-одном" т.е PPPoE-концентратор, CGN-траверс и BGP Edge? Скажу сразу, с MPLS знаком только обзорно и для меня это больше технология виртуализации, нежели способ пакетной передачи. Поправьте меня, если сморозил глупость.

[s.lobanov]

siddkharta

Какой MPLS? Какая виртуализация? вы о чём?

 

если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают

 

а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS

 

Относительно NAT overload - если его настроить тупо пул-на-пул, то получите плавающий во времени внешний IP для одной и той же сессии, появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

[siddkharta]

siddkharta

Какой MPLS? Какая виртуализация? вы о чём?

 

если вам нужен pppoe-nas+nat+bgp, так просто настраивайте эти фичи все вместе и работайте. довольно типовой сценарий для asr1k, не без подводных камней и багов, но всё же так делают

 

а виртуализацию устройства asr1k не умеет, только L2(bridge) и L3(vrf), как и обычный IOS

 

О! Отлично. А вот где почитать про этот типовой сценарий? То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

Ага, приписочку увидел, пошел изучать матчасть.

Изменено 22 мая, 2015 пользователем siddkharta

[s.lobanov]

То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

 

просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет

[siddkharta]

То есть как 1,2 и 3 отдельно настроить - я понимаю, а вот как связать сие воедино (кроме NAT overload) хоть убейте не пойму.

 

просто берёте и настраиваете всё это сразу. в случае вашей задачи, лучше делайте всё в GRT(global routing table) и тогда вообще вопросов быть не должно. ну разве что связность с радиус-сервером можно запилить в отдельном vrf, чтоб ACL-и не запиливать, но непосредственно на форвардинг это не влияет

Понятно. А может еще подскажете ИОС постабильнее, чтобы сие счастье работало? Скажем так, проверенно рабочий ИОС для ASR1002-X, на котором без особливых нюансов будет работать NAPT (CGN+PAP)? А то что-то я форумы почитал империалистические, да и наши (правда в основном посты от 2012 г.), народ плачется по поводу неработоспособности некоторых приложений, типа ftp и т.д.?

[s.lobanov]

active ftp nat якобы пофикшено в 3.13.1 и вроде как в 3.10.какой-то и 3.11.какой-то. но всегда есть вокэраунд в виде "no ip nat service ftp", пассивный режим при этом будет работать, а значит кол-во жалоб на ftp будет около 0%

[shicoy]

Кстати, есть желание попробовать мигрировать с se100 на asr1002x. Используем l2 dhcp subscriber, dot1q subscriber, l3 non dhcp subscriber. Накидайте плиз материалов как эти авторизационные схемы завести в asr. А так же интересны отзывы о стабильности при использовании cgnat, netflow и т.д.

[ilili]

появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

на какой версии IOS такие проблемы у вас?

[s.lobanov]

появятся жалобы на работу некоторых приложений/сайтов(в самом деле, не так уж и много их). Поэтому приходится делать пул-на-пул в CGNAT+PAP

на какой версии IOS такие проблемы у вас?

 

на любой. это не баг, а фича. суть "проблемы" описана здесь http://net-labs.in/2014/11/04/nat-napt-%D0%B8-cg-nat-%D0%BD%D0%B0-%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8-cisco-asr1000-csr1000v/

[s.lobanov]

l2 dhcp subscriber, l3 non dhcp subscriber.

всё настраивается одинаково, кроме команд ip subcriber ... initiator ... на брасовском сабе

 

dot1q subscriber

что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом

[shicoy]

dot1q subscriber

что именно вы хотите? я так понял, речь идёт о голом ipoe без сигнализации в виде dhcp. если /30 с авторизацией в биллинге - тогда это обычный routed с initiator unclassified ip-address, если же общий пул с кучей сабов в нём и статиками, то тоже самое, но надо будет ещё nas-port-id распарсить биллингом

Речь идет, когда субскрайбер живет в отделом vlan (qinq или обычный не важно), при наличии трафика (ip) в этом влане, BRAS делает aaa, и если радиус подтверждает, то "биндит" субскрайбера к соотвествующему svi и разрешает пропуск пакетов согласно Framed-IP/Netmask.

 

Вот пример такого абонента на SmartEdge

 

v1078@sgate

Session state Up

Circuit lg id 825 vlan-id 1078

Internal Circuit 255/22:13:58/3/2/13

Interface bound net_176.121.190

Current port-limit unlimited

Protocol Stack IPV4

profile vlanProfile (applied)

ip address 176.121.190.5 (applied)

ip access-group in access_subscriber (applied)

acct-interim-interval 900 (applied)