Jump to content
Калькуляторы

СКАТ CGNAT

Коллеги, кто то пользуется функцией CGNAT у СКАТ ?

Как работает, какие подводные камни , и т.д. ?

Share this post


Link to post
Share on other sites

Уважаемый Voodoo !!!

Подскажите, ам удалось прояснить вышеуказанный вопрос ? Меня он тоже сильно интересует !!!!

Share this post


Link to post
Share on other sites

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

Share this post


Link to post
Share on other sites
В 02.07.2018 в 14:58, StSphinx сказал:

Мы пользуемся. Перешли на CG-NAT от СКАТ примерно с месяц назад. Пока никаких подводных камней не вылезло.

 

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Share this post


Link to post
Share on other sites
4 часа назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

Share this post


Link to post
Share on other sites
6 часов назад, cursemipn сказал:

Приветствую. А как вы его настроили? Не могу понять логику работы 1 строчки. Создал профиль, повесил на абонента и чудо не произошло, что не удивительно

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

Share this post


Link to post
Share on other sites
17 часов назад, 1076 сказал:

Внешнюю  подсеть задали ?

Абоны  с  назначенной  услугой  есть ?

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

19 часов назад, StSphinx сказал:

Да собственно там ничего сложного. Настраивали по "мурзилке":

 

Вики Vas Expers - CG-NAT

 

Но у нас СКАТ не используется в качестве BRAS. NAT'им транзитный трафик, соотв. абоненты "виртуальные".

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

Share this post


Link to post
Share on other sites
1 минуту назад, cursemipn сказал:

Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить

Там своя  логика .  Это  не роутер .   Лупбек  не  нужен ю  Просто  подсеть  выдаете  для  НАТ.

Share this post


Link to post
Share on other sites
3 минуты назад, cursemipn сказал:

Спасибо за наводящий вопрос. Был отключен loopback интерфейс с белыми IP. Внутренний NAT на коробке поднялся. А вот через СКАТ хоть тресни не заводится. Абоны с услугой есть. DHCP серый раздаем, дальше GW при трассировки ничего не видно соответствено. 

 

Собственно не сложно. 1 строчка и все по идее взлетает. Вот только мне логика не понятно как СКАТ определяет, что такие сети есть и можно их натить. Или мне все же с 2 сторон поднять IP адреса /30 и между СКАТ-ом "погонять"? Схема в разрыв у нас.

 

 

У нас так же - в разрыв. Все делается в два шага:

1) Создаете сервис типа 11(CG-NAT) 

2) Навешиваете этот сервис на абонентов

Никаких доп. интерфейсов на самой коробке заводить не надо. Получается типа бридж с NAT'ом внутри.

Share this post


Link to post
Share on other sites

Добрый день.

 

Изучаю Complete.

 

Как вы мониторите функционал NAT ?

Ну там - NAT трансляции и т.п.

 

Интересно, Скат в лог напишет что-то человеко-понятное, если пул выбран ?

 

Сейчас поставил DPI-UI, там про NAT ничего особо нет.

Да и вообще у меня сломался интерфейс, пока крутил :)  Выключу его, от греха обратно.

 

Или вот, я поставил с серого ip на "ping 8.8.8.8 -t" (оно не пингуется без NAT'а)

включил NAT

всё пингуется, кроме 8.8.8.8  - видимо сессия ещё живая

Можно ли её сбросить, не дожидаясь 1-2 минуты (?) ?

 

Спасибо.

Share this post


Link to post
Share on other sites

@StSphinx Интересует производительность NAT, сколько у вас трафика?

Share this post


Link to post
Share on other sites
9 часов назад, EDA_SPB сказал:

@StSphinx Интересует производительность NAT, сколько у вас трафика?

 

Сейчас в пиках входящего трафика на СКАТ ~12 Gb/s, из них NAT порядка 2,5-3,5 Gb/s.

Share this post


Link to post
Share on other sites

Как оказалось, нельзя просто взять и сделать:

 

# fdpi_ctrl load profile --service 11  --profile.name common_nat --profile.json '{ "nat_ip_pool" : "x.x.x.x/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

# fdpi_ctrl load --service 11 --profile.name common_nat --cidr 100.64.0.0/10

Эта коробка создает для каждого IP отдельную услугу, ну и благополучно съедает память, у меня где-то на 300х тысячах оно сломалось.

 

А еще, если IP привязан к логину, то и нат на IP не повесить, нужно на логин.

 

А еще, если добавлен порфиль ната, то вовнутрь траффик на ип ната уже не проходит.

Таки дела. Цена знаний - час простоя.

Share this post


Link to post
Share on other sites

Кто-нибудь знает как почистить NAT трансляции для конкретного абонента ?

Вот абонент съел весь выделенный пул (sess_tcp=1995) и надо эти сессии ему сбросить.

Share this post


Link to post
Share on other sites

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

Share this post


Link to post
Share on other sites
4 часа назад, gadrus42 сказал:

Коллеги, добрый день!

 

Кто как решил проблему с навешиванием услуги нат на абонента, если прилетает access-reject от ридиуса, и СКАТ блочит учетку. А без ната даже на страничку блокировки не выходит

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

Share this post


Link to post
Share on other sites
11 часов назад, bike сказал:

Так, а в чем проблема?

Присылайте вместе с Access-Reject необходимые атрибуты абонента, если радиус так не умеет, то VasExperts-Restrict-User=1 Вам в помощь.

В текущей настройке не получается в LB отдавать всем абонентам access-accept, а в Access-Reject добавить атрибут невозможно. Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

Share this post


Link to post
Share on other sites
2 часа назад, gadrus42 сказал:

Имеете ввиду, что атрибут VasExperts-Restrict-User=1 добавить в access-accept?

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

Share this post


Link to post
Share on other sites
54 минуты назад, bike сказал:

Если Ваш биллинг/radius не умеет передавать атрибуты в Access-Reject, то тогда научите его отправлять Access-Accept с нужными для заблокированных атрибутами + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject.

Все понял, будем делать, спасибо.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now