Jump to content

СКАТ CGNAT

voodoo

By voodoo
in СКАТ DPI и СКАТ CACHE

 Share

Recommended Posts

  • 1 year later...
StSphinx

StSphinx

Posted
Posted

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

  • 2 months later...
cursemipn

cursemipn

Posted
Posted
В 02.07.2018 в 14:58, StSphinx сказал:

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

StSphinx

StSphinx

Posted
Posted
4 часа назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

1076

1076

Posted
Posted
6 часов назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

cursemipn

cursemipn

Posted
Posted
17 часов назад, 1076 сказал:

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

19 часов назад, StSphinx сказал:

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

1076

1076

Posted
Posted
1 минуту назад, cursemipn сказал:

Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить

Там своя  логика .  Это  не роутер .   Лупбек  не  нужен ю  Просто  подсеть  выдаете  для  НАТ.

StSphinx

StSphinx

Posted
Posted
3 минуты назад, cursemipn сказал:

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

 

У нас так же - в разрыв. Все делается в два шага:

1) Создаете сервис типа 11(CG-NAT) 

2) Навешиваете этот сервис на абонентов

Никаких доп. интерфейсов на самой коробке заводить не надо. Получается типа бридж с NAT'ом внутри.

  • 6 months later...
Urs_ak

Urs_ak

Posted
Posted

Добрый день.

 

Изучаю Complete.

 

Как вы мониторите функционал NAT ?

Ну там - NAT трансляции и т.п.

 

Интересно, Скат в лог напишет что-то человеко-понятное, если пул выбран ?

 

Сейчас поставил DPI-UI, там про NAT ничего особо нет.

Да и вообще у меня сломался интерфейс, пока крутил :)  Выключу его, от греха обратно.

 

Или вот, я поставил с серого ip на "ping 8.8.8.8 -t" (оно не пингуется без NAT'а)

включил NAT

всё пингуется, кроме 8.8.8.8  - видимо сессия ещё живая

Можно ли её сбросить, не дожидаясь 1-2 минуты (?) ?

 

Спасибо.

  • 3 weeks later...
StSphinx

StSphinx

Posted
Posted
9 часов назад, EDA_SPB сказал:

@StSphinx Интересует производительность NAT, сколько у вас трафика?

 

Сейчас в пиках входящего трафика на СКАТ ~12 Gb/s, из них NAT порядка 2,5-3,5 Gb/s.

  • 5 months later...
ShyLion

ShyLion

Posted
Posted

Как оказалось, нельзя просто взять и сделать:

  

# fdpi_ctrl load profile --service 11  --profile.name common_nat --profile.json '{ "nat_ip_pool" : "x.x.x.x/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

# fdpi_ctrl load --service 11 --profile.name common_nat --cidr 100.64.0.0/10

Эта коробка создает для каждого IP отдельную услугу, ну и благополучно съедает память, у меня где-то на 300х тысячах оно сломалось.

 

А еще, если IP привязан к логину, то и нат на IP не повесить, нужно на логин.

 

А еще, если добавлен порфиль ната, то вовнутрь траффик на ип ната уже не проходит.

Таки дела. Цена знаний - час простоя.

  • 1 year later...
Urs_ak

Urs_ak

Posted
Posted

Кто-нибудь знает как почистить NAT трансляции для конкретного абонента ?

Вот абонент съел весь выделенный пул (sess_tcp=1995) и надо эти сессии ему сбросить.

  • 2 weeks later...
gadrus42

gadrus42

Posted
Posted

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

bike

bike

Posted
Posted
4 часа назад, gadrus42 сказал:

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

gadrus42

gadrus42

Posted
Posted
11 часов назад, bike сказал:

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

В текущей настройке не получается в LB отдавать всем абонентам access-accept, а в Access-Reject добавить атрибут невозможно. Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

bike

bike

Posted
Posted
2 часа назад, gadrus42 сказал:

Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

gadrus42

gadrus42

Posted
Posted
54 минуты назад, bike сказал:

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

Все понял, будем делать, спасибо.

  • 7 months later...
zavndw

zavndw

Posted
Posted

12.thumb.jpg.d99ea367c5b231459a1bdc1c23ee6b51.jpg

 

подскажите, такое кто нить встречал? настройка нат 2 строчки, но не работает. адрес внешний не отображает

zavndw

zavndw

Posted
Posted
1 час назад, zavndw сказал:

12.thumb.jpg.d99ea367c5b231459a1bdc1c23ee6b51.jpg

 

подскажите, такое кто нить встречал? настройка нат 2 строчки, но не работает. адрес внешний не отображает

разобрался 

  • 4 years later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.