[voodoo]

Коллеги, кто то пользуется функцией CGNAT у СКАТ ?

Как работает, какие подводные камни , и т.д. ?

[start200]

Уважаемый Voodoo !!!

Подскажите, ам удалось прояснить вышеуказанный вопрос ? Меня он тоже сильно интересует !!!!

[StSphinx]

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

[cursemipn]

В 02.07.2018 в 14:58, StSphinx сказал:

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

[StSphinx]

4 часа назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

[1076]

6 часов назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

[cursemipn]

17 часов назад, 1076 сказал:

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

19 часов назад, StSphinx сказал:

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

[1076]

1 минуту назад, cursemipn сказал:

Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить

Там своя  логика .  Это  не роутер .   Лупбек  не  нужен ю  Просто  подсеть  выдаете  для  НАТ.

[StSphinx]

3 минуты назад, cursemipn сказал:

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

 

У нас так же - в разрыв. Все делается в два шага:

1) Создаете сервис типа 11(CG-NAT) 

2) Навешиваете этот сервис на абонентов

Никаких доп. интерфейсов на самой коробке заводить не надо. Получается типа бридж с NAT'ом внутри.

[Urs_ak]

Добрый день.

 

Изучаю Complete.

 

Как вы мониторите функционал NAT ?

Ну там - NAT трансляции и т.п.

 

Интересно, Скат в лог напишет что-то человеко-понятное, если пул выбран ?

 

Сейчас поставил DPI-UI, там про NAT ничего особо нет.

Да и вообще у меня сломался интерфейс, пока крутил :)  Выключу его, от греха обратно.

 

Или вот, я поставил с серого ip на "ping 8.8.8.8 -t" (оно не пингуется без NAT'а)

включил NAT

всё пингуется, кроме 8.8.8.8  - видимо сессия ещё живая

Можно ли её сбросить, не дожидаясь 1-2 минуты (?) ?

 

Спасибо.

[EDA_SPB]

@StSphinx Интересует производительность NAT, сколько у вас трафика?

[StSphinx]

9 часов назад, EDA_SPB сказал:

@StSphinx Интересует производительность NAT, сколько у вас трафика?

 

Сейчас в пиках входящего трафика на СКАТ ~12 Gb/s, из них NAT порядка 2,5-3,5 Gb/s.

[ShyLion]

Как оказалось, нельзя просто взять и сделать:

 

# fdpi_ctrl load profile --service 11  --profile.name common_nat --profile.json '{ "nat_ip_pool" : "x.x.x.x/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

# fdpi_ctrl load --service 11 --profile.name common_nat --cidr 100.64.0.0/10

Эта коробка создает для каждого IP отдельную услугу, ну и благополучно съедает память, у меня где-то на 300х тысячах оно сломалось.

 

А еще, если IP привязан к логину, то и нат на IP не повесить, нужно на логин.

 

А еще, если добавлен порфиль ната, то вовнутрь траффик на ип ната уже не проходит.

Таки дела. Цена знаний - час простоя.

[Urs_ak]

Кто-нибудь знает как почистить NAT трансляции для конкретного абонента ?

Вот абонент съел весь выделенный пул (sess_tcp=1995) и надо эти сессии ему сбросить.

[gadrus42]

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

[bike]

4 часа назад, gadrus42 сказал:

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

[gadrus42]

11 часов назад, bike сказал:

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

В текущей настройке не получается в LB отдавать всем абонентам access-accept, а в Access-Reject добавить атрибут невозможно. Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

[bike]

2 часа назад, gadrus42 сказал:

Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

[gadrus42]

54 минуты назад, bike сказал:

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

Все понял, будем делать, спасибо.

[zavndw]

 

подскажите, такое кто нить встречал? настройка нат 2 строчки, но не работает. адрес внешний не отображает

[zavndw]

1 час назад, zavndw сказал:

 

подскажите, такое кто нить встречал? настройка нат 2 строчки, но не работает. адрес внешний не отображает

разобрался