[Bushi]

Всем привет!

Есть ли у кого нибудь идея, как с помощью политик на коммутаторе Nortel BPS 2000 можно блокировать ответы PPPoE(PADO) от клиентов? PPPoE-discovery - это 0x8863 протокол, сама сессия - 0x8664, и, естественно, коммутатор не умеет различать PADO и PADI пакеты discovery-уровня. А в фильтрах layer2 коммутатора можно задать Ethernet-протокол, но, к сожалению, нельзя MAC-source и MAC-destination. Если есть идеи, как это можно реализовать, буду рад услышать.

[Я_рядом]

Необходима дополнительная информация.

Блокировать совсем?

Или блокировать для определенных Source MAC?

[Guest]

Блокировать от клиентов весь протокол 0x8863, направленный не на адрес MAC-destination ff:ff:ff:ff:ff:ff и не на адрес MAC-destination 00:50:04:ed:38:c1 (для примера). Как с помощью политик реализовать это непонятно, так как в L2 правилах политик нельзя определить MAC-source и MAC-destination.

 

И еще вопрос по конфигурации QoS. Есть ли способ помечать фреймы, которые идут непосредственно от модуля управления коммутатора? Разметка ведь идет только входящего на портах трафика, а получается так, что пакеты интерфейса управления не попадают ни в один из портов, и в итоге управление идет с наименьшим приоритетом.

 

Буду рад любой помощи.

[Bushi]

Последний пост мой, забыл зарегистрироваться.

 

А есть ли вообще русскоязычные форумы или списки рассылки, посвященные оборудованию Nortel?

 

P.S. Может стоит запретить незарегистрированным пользователям писать сообщения. А то часто ерунда получается.

[Nag]

Up

[Bushi]

Вообще не понятно. В рекламе BPS 2000 написны критерии, по которым может классифицироваться трафик:

 

Set up prioritization by configuring the:

 

- 802.1p header (layer 2)

- MAC Source and/or Destination address (Layer 2)

- IP SA/DA or subnet (Layer 3)

- TCP/UDP source/destination port, range (Layer 4)

- VLAN ID (layer 3/4)

 

 

Ну вот все это (кроме второго пункта) есть. Облазил все настройки, перечитал гайды, нигде не вижу, как делать классификацию по MAC-адресам. Странно, если заявлено, то должно же он где-то быть. А без него очень туго.

[Я_рядом]

Если я правильно понял суть вопроса, то можно использовать такую функцию, начиная с релиза софта 3.1:

Enabling traffic separation

 

Traffic separation is a feature used to separate IP packets and PPPoE packets from an incoming port and forward them to different outgoing ports. IP packets and PPPoE packets separated using this feature go to different channels. Hence, this is packet-type based switching.

To enable this feature, use the following command:

 

config switch mode <l2|traffic-separation>

 

Note: Once this feature is enabled, port mirroring does not work. Also, QoS is different from regular BPS2000 behavior.

 

Форумы по продуктам Nortel:

Общие вопросы по продуктам передачи данных

Общие вопросы по телефонии

Захиревший русскоязычный форум

Ну и в конце-концов, пишите - объединенными усилиями ответим . ;-)

[Bushi]

Собственно хочется классифицировать трафик по MAC-адресу (а там уже его или дропать, или назначать приоритет). В рекламе обещано, а фактически не нашел такой фичи :(

[repa]

Кая я понял задача одна из двух.

1. Разрешить пользователям общение только с сервером по всем видам трафика

2. Разшить IP трафик на комутаторе куда угодно и зафильтровать только PPPoE

 

Решение первого варианта более топорно.

Каждый пользователь сажается в отдельный VLAN. На порту у пользователей назначются различные PVID. Каждый VLAN распростарняется на порт UPLINK.

Создаем еще один VLAN. На порту UPLINK назначем PVID с номером этого последнего VLAN. Распростаняем его на все порты пользователей.

Все порты устанавливаем в access. Нетагированые. Все VLAN port based.

Тестируем работу сети.

 

Второй вариант более гибок. В поставленой форме не проверял. Но в похожей схеме работал.

Работает на принципе того, что пользователь может отправлять трафик в другой VLAN не будучи членом этого VLAN как по входящему так и по исходящему трафику.

То есть, если мой порт принадлежит только VLAN 10, то я могу, если не сказано другое, отправить пакет моему соседу находящемуся в 11 влан.

Ограниечения схемы: пакеты с протоколом 0x8863 направленые сервером не попадут клиентам. Это устраевает?

Если да то распишу принцип настройки.

[Bushi]

Кая я понял задача одна из двух.

1. Разрешить пользователям общение только с сервером по всем видам трафика

2. Разшить IP трафик на комутаторе куда угодно и зафильтровать только PPPoE

 

Решение первого варианта более топорно.

Каждый пользователь сажается в отдельный VLAN. На порту у пользователей назначются различные PVID. Каждый VLAN распростарняется на порт UPLINK.

Создаем еще один VLAN. На порту UPLINK назначем PVID с номером этого последнего VLAN. Распростаняем его на все порты пользователей.

Все порты устанавливаем в access. Нетагированые. Все VLAN port based.

Тестируем работу сети.

 

Второй вариант более гибок. В поставленой форме не проверял. Но в похожей схеме работал.

Работает на принципе того, что пользователь может отправлять трафик в другой VLAN не будучи членом этого VLAN как по входящему так и по исходящему трафику.

То есть, если мой порт принадлежит только VLAN 10, то я могу, если не сказано другое, отправить пакет моему соседу находящемуся в 11 влан.

Ограниечения схемы: пакеты с протоколом 0x8863 направленые сервером не попадут клиентам. Это устраевает?

Если да то распишу принцип настройки.

 

Принцип понял. Это все таки не совсем то, чтобы хотелось. У меня есть два севрера доступа PPPoE. Я хочу установить один приоритет на трафик одного сервера и другой на трафик второго сервера. Это можно сделать, создав фильтры Layer 2 и классифицировать трафик по MAC-адресу. В том то и дело, что в обзорах написано:

"Set up prioritization by configuring the MAC Source and/or Destination address (Layer 2)", а фактически я этой фичи не нашел. Поэтому и спрашиваю, может быть я не там искал или использую не ту версию BOSS (v3.1.4.10)?

[Я_рядом]

Не-е-е-е

В эти игры я Вам помогать играться не буду, в плане приоритезации резервных серверов агрегирования трафика.

Еще раз нарисуйте свою схему и поймете , что смысла нет.

Хотя приоритезация по требуемому принципу - Src MAC работает. Все ОК.

[Bushi]

Не-е-е-е

В эти игры я Вам помогать играться не буду, в плане приоритезации резервных серверов агрегирования трафика.

Еще раз нарисуйте свою схему и поймете , что смысла нет.

Хотя приоритезация по требуемому принципу - Src MAC работает. Все ОК.

 

Вот в чем и вопрос. Как делать приоритезацию по Src MAC или Dst MAC?

 

Создаю правило:

 

BPS2000(config)#qos l2-filter 10 create ?

 ds-field      Specifies the 6-bit value for the DS field

 dst-port-min  Specifies the TCP/UDP minimum destination port value

 ethertype     Specifies the Ethernet type

 priority      Specifies the 802.1p priority values

 protocol      Specifies the protocol type

 src-port-min  Specifies the TCP/UDP minimum source port value

 vlan          Specifies the VLAN IDs

 vlan-tag      Specifies the VLAN tagging filter

 <cr>

То есть в итоге правило выглядит так:

 

qos l2-filter 4 create ethertype 0x8864  vlan-tag ignore    src-port-min 0 src-port-max 65535 dst-port-min 0 dst-port-max 65535

 

А где писать маки? В веб-интерфейсе тоже не нашел, как создать фильтр с маками.

[Я_рядом]

1. vlan ## create type macsa

 

2. vlan mac-address ## address <H.H.H>

 

3. qos l2-filter 4 create ethertype 0x8864 vlan ## src-port-min 0 src-port-max 65535 dst-port-min 0 dst-port-max 65535

[Bushi]

1. vlan ## create type macsa

 

2. vlan mac-address ##  address <H.H.H>

 

3. qos l2-filter 4 create ethertype 0x8864  vlan ##   src-port-min 0 src-port-max 65535 dst-port-min 0 dst-port-max 65535

 

Ммм... а по MAC-destination никак?

[Я_рядом]

FYI

 

Описание подхода Nortel к QoS

Рекламная брошюра Nortel Business Policy Switch

Ни в одном месте нет ссылки на MAC DA.

[repa]

Ммм... а по MAC-destination никак?

А ведь могут, наверника, существовать и другие решения...

 

Я бы делал раскраску трафика на входе в сеть. И далее стандартные механизмы приоритизации по сети.

 

Если нужна очень интелектуальная связка PPPoE и QoS на сети, то нужно искать механизм выставления приоритета самим PPPoE сервером, а на сети его только обслуживать.

Инструмент приоритезации по макам будет не очень гибкий.

[Я_рядом]

Приоритезация трафика многочисленных PPPoE серверов, ни коим образом не обеспечит вам 100% гарантию использования абонентами только 1-го сервера живого сервера (с пакетами наивысшего приоритета).

Т.к. время получения пользователем ответа от конкретного сервера,зависит не только от нагрузки в сети, но и от нагрузки и выполняемых в текущий момент времени задач сервером PPPoE.

Т.е. выставление "gold" приоритета на 1-ый сервер, "silver" на 2-ой сервер и "bronze" на 3-й не даст Вам гарантии, что при активности 1-го - не будет авторизации пользователей на 2-ом и 3-ем.

[Bushi]

Ммм... а по MAC-destination никак?

А ведь могут, наверника, существовать и другие решения...

 

Я бы делал раскраску трафика на входе в сеть. И далее стандартные механизмы приоритизации по сети.

 

Если нужна очень интелектуальная связка PPPoE и QoS на сети, то нужно искать механизм выставления приоритета самим PPPoE сервером, а на сети его только обслуживать.

Инструмент приоритезации по макам будет не очень гибкий.

 

Можно конечно метки ставить на самом PPPoE-сервере, но ведь надо же будет помечать и фреймы от клиентов.

 

Приоритезация трафика многочисленных PPPoE серверов, ни коим образом не обеспечит вам 100% гарантию использования абонентами только 1-го сервера живого сервера (с пакетами наивысшего приоритета).

Т.к. время получения пользователем ответа от конкретного сервера,зависит не только от нагрузки в сети, но и от нагрузки и выполняемых в текущий момент времени задач сервером PPPoE.

Т.е. выставление "gold" приоритета на 1-ый сервер, "silver" на 2-ой сервер и "bronze" на 3-й не даст Вам гарантии, что при активности 1-го - не будет авторизации пользователей на 2-ом и 3-ем.

 

Цель не обеспечить резервирование. Есть, например, два PPPoE-сервера с разными тэгами сервиса для доступа к разным услугам. Одна услуга должна идти с максимальным приоритетом, вторая - с минимальным.

[Я_рядом]

Бр-р-р

Тогда не понял зачем Вам DA MAC?

Хотя выглядит такая схема ужас как.

Вы пытаестесь перешагнув через канальный уровень PPPoE приоритезировать на Ethernet, трафик, вложенный в PPP.

Вы не то курите.

[repa]

Можно конечно метки ставить на самом PPPoE-сервере, но ведь надо же будет помечать и фреймы от клиентов.

 

Мне тяжело представить рабочую схему.

Давай вернемся к истокам. Что за необходимость использовать в сети PPPoE?

И что за необходимость гонять чувствительный к QoS трафик через PPPoE?

[Bushi]

Можно конечно метки ставить на самом PPPoE-сервере, но ведь надо же будет помечать и фреймы от клиентов.

 

Мне тяжело представить рабочую схему.

Давай вернемся к истокам. Что за необходимость использовать в сети PPPoE?

И что за необходимость гонять чувствительный к QoS трафик через PPPoE?

 

Классическая неправильная домашняя сеть. Гора неуправляемых свичей и куча абонентов, гоняющих туда-сюда дивиди-фильмы. Доступ в Интернет осуществляется по протоколу PPPoE.

Потихоньку началась модернизация сети, в итоге которой каждый абонент должен подключаться к порту управляемого коммутатора.

В данный момент QoS - это желание облегчить доступ к коммерческим услугам за счет внутрисетевого трафика.

[Я_рядом]

Сервер PPPoE #1 - обеспечивает доступ в интернет.

Сервер PPPoE #2 - какова его цель?

[Bushi]

Сервер PPPoE #1 - обеспечивает доступ в интернет.

Сервер PPPoE #2 - какова его цель?

 

Доступ к платному внутрисетевому трафику (сети клиентов изолированы на канальном уровне), который тарифицируется по другому, нежели Интернет-трафик.

[repa]

Для того чтобы обеспечить качество нужно соответствующее оборудование на всех участках прохождения трафика.

Это возможно обеспечить?

 

Если это невыполнимо, то можно попытаться изолировать комерческий трафик от вмешательства со стороны (VLAN). Очень много зависит от вида комерческой нагрузки и загрузки магистрали. Если это голос и магистральные линки перегружены, то о качестве голоса без полноценой приоритизации можно забыть. Нужно как минимум пробовать.

 

Что за услуги?

Как Вы видите облегчать доступ?

 

Если оборудования мало, то я бы рекомедовал поставить коммутатор в центре какой-либо звезды и дать приоритеты на трафик геймеров, шейпить качков, чтобы не вызвали перегрузки на портах. Тот-же трафик PPPoE обслуживать только там где это должно быть, дабы левые сервера не появлялись.

Поиск траблов намного упрощается, что опять сказывается на качестве предоставления услуг.

[Я_рядом]

Поскольку основную нагрузку на сеть в этом случае создает передача данных от серверов PPPoE в сторону пользователя, то действуя путем :

1 создать VLAN для PPPoE сервера коммерческих услуг - назначить ему выский приоритет

2 создать VLAn для PPPoE сервера внутри сетевого обмена- назначить ему низший приоритет

 

VLAN-ы создаються на основе MAC SA - адреса серверов - это для BPS, к которому подключены сервера.

Принципы создания VLAN на коммутаторах доступа могут быть произвольными, соединение с магистральным коммутатором - через dot1Q порты.

 

Это решение "в лоб".

Мне оно не нравиться очень.

 

 

Описанное в этом топике получиться гибче, но у вас возникнет вопрос как считать использование внутри сетевых ресурсов.