[shicoy]

Далее, там очень много про PPPoE пишут, меня интересует больше IPoE -- кто-нибудь пробовал?

Уже пробую, к концу след недели расскажу.

Пока неплохо, но есть но... как с но справимся, будет отчет.

 

[PowerPack]

Уже пробую, к концу след недели расскажу.

Пока неплохо, но есть но... как с но справимся, будет отчет

Ждем с нетерпением отчета!

[LionSprings]

меня интересует больше IPoE -- кто-нибудь пробовал

Япробовал. Как-то оно там реализовано... загадошно.

Для изменение скорости полисинга надо делать shut/no shut на интерфейсе CLIP, без этого изменения не применяются. Ну и ключевой момент, после чего мы плюнули и прекратили тесты - оно категорически отказывалось полисить сессии, которые не оно само затерминировало. Т.е. кесли gw клиента на нем - все красиво. Если "где-то там" - то пофих, траф летит мимо на максимальной скорости.

 

[Tosha]

А радиусом сессии IPoE рулятся? И нельзя ли каким-либо образом через радиус эту железку применить новую скорость без "shut/no shut"?

[shicoy]

так, в выходные пишу отчет о тестировании, потом в течении недели принимаю заявки на проверку интересующих вас фитч (про которые не напишу в тестировании).

в принципе вопросы можете задавать сейчас.

 

А радиусом сессии IPoE рулятся? И нельзя ли каким-либо образом через радиус эту железку применить новую скорость без "shut/no shut"?

В терминологии SE, нет разницы между IPoE или PPPoE все прекрасно рулится через Radius+CoA.

И если с PPPoE все более менее понятно, то с IPoE есть один интересный момент который требует shutdown/no shutdown, но он настолько исключительный, что им в принципе можно принебречь. Об этом чуть позже в обзоре.

[kostil]

Где посмотреть результаты тестирования PPPoE?

[shicoy]

Где посмотреть результаты тестирования PPPoE?

Более конкретные вопросы задавайте.

 

[kostil]

Если поднять на железке PPPoE,OSPF,NAT,flow-export,queue - сколько трафа прожует и сколько клиентов?

[shicoy]

queue это что в вашем понимании? шейпер, полисер, на абонента? на интерфейс, на порт? конкретнее.

 

flow-export - предел 1M flow, проблема возникнет c control-plane, когда надо эти flow передать куда-то (на агрегатор), вот тут cpu может сильно напрячься. В прочем вам flow-export нужен со всего трафика железки или скажем только с 1-2х интерфейсов (например в сторону аплинка или в строну абонентов), можно так же flow-export через радиус включать у конктретного подписчика.

 

pppoe - аппаратная функция до 24к активных абоненнтов.

ospf - не думаю что сильно нагрузить control-plane

nat - опять же вопрос в кол-во одновременных сессий и прироста новых (см. документацию)

 

Опять же мало конкретики, вопрос серии: "а мерседес по грязи сколько выжмет?" (какой мерседес, какая грязь и т.д.)

Изменено 28 июля, 2010 пользователем shicoy

[kostil]

Я думаю что наврядли вы мой конкретный вариант тестировали, поэтому первым вопросом было увидеть вашу конфигурацию и как железка на нее отреагировала.

[shicoy]

если честно, то нах :)

есть конкретные вопросы задавайте, а так что бы "вы мне расскажите да покажите" это вам к продажникам-вендору-и т.п."

а я только готов поделится своим опытом и знаниями, а не уговаривать вас покупать ее.

[kostil]

Далее, там очень много про PPPoE пишут, меня интересует больше IPoE -- кто-нибудь пробовал?

Уже пробую, к концу след недели расскажу.

Пока неплохо, но есть но... как с но справимся, будет отчет.

интересовал этот отчет. если не делали и не собираетесь - так и скажите, зачем тогда обещать.

[shicoy]

читайте на здоровье http://www.nag.ru/articles/article/19213/t...rtedge-100.html

[kosmatos]

читайте на здоровье http://www.nag.ru/articles/article/19213/t...rtedge-100.html

сейчас тестируем такую железку.

интересует вопрос по IPoE через L3 сеть - настроено как dhcp relay но запросы на внешний сервер не шлёт..

 

настройка релея

dhcp relay option

dhcp relay server 192.168.1.62

 

интерфейс управления

interface if_mgmt

ip address 192.168.1.253/24

ip source-address radius dhcp-server

 

интерфейс к L3 агрегаторам

interface if_srv

ip address 192.168.100.1/24

 

фейковый интерфейс

interface if_192.168.101.0/24 multibind

ip address 192.168.101.1/24

dhcp proxy 250

 

порт

port ethernet 2/1

auto-negotiate speed 100

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 100

bind interface if_srv local

service clips dhcp context local

 

на агрегаторах 192.168.100.1 указан как dhcp сервер

запрос на радиус уходит, а на dhcp (тотже сервер) нет. по ip bras и dhcp сервер другдруга видят, сервер работает - если его указать на коммутаторах то адреса выдаёт.

 

единственный вариант - вместо dhcp proxy использовать dhcp server. но в этом случае в качестве адреса сервера брас ставить ip фейкового интерфейса. в итоге клиент не может обновить адрес..

[macharius]

это из-за того что у вас dhcp сервер смотрит в management, а следовательно none routed порт. Перевести его в port 2/x - и все взлетит.

[shicoy]

Завтра приведу нужные настройки. Из дома просто не удобно.

[macharius]

запрос на радиус уходит, а на dhcp (тотже сервер) нет.

SE не отправляет запрос в сторону DHCP, если приходит reject от радиуса или если радиус выдал ему недостаточно параметров в accept-те. Покажите пожалуйста, что выдает radius в сторону SE?

[kosmatos]

запрос на радиус уходит, а на dhcp (тотже сервер) нет.

SE не отправляет запрос в сторону DHCP, если приходит reject от радиуса или если радиус выдал ему недостаточно параметров в accept-те. Покажите пожалуйста, что выдает radius в сторону SE?

rad_recv: Access-Request packet from host 192.168.1.253 port 1812, id=51, length=327
       User-Name = "00:90:27:ba:ae:ed"
       User-Password = "Redback"
       Service-Type = Outbound-User
       NAS-Identifier = "Redback"
       NAS-Port = 33619968
       NAS-Real-Port = 553648228
       NAS-Port-Type = Virtual
       NAS-Port-Id = "2/1 vlan-id 100 clips 131124"
       Medium-Type = DSL
       Mac-Addr = "00-90-27-ba-ae-ed"
       Called-Station-Id = "192.168.101.254"
       Redback-Attr-201 = 0x01c0a865fe
       Platform-Type = 4
       OS-Version = "6.1.5.3p1"
       Agent-Remote-Id = "\000\003sw2"
       ADSL-Agent-Remote-Id = "\000\003sw2"
       Agent-Circuit-Id = "\000\004\000e\000\001"
       ADSL-Agent-Circuit-Id = "\000\004\000e\000\001"
       Redback-Attr-202 = 0x3d3d0701009027baaeed
       Redback-Attr-202 = 0x0c0c0673746570696e
       Redback-Attr-125 = 0x4d53465420352e30
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "00:90:27:ba:ae:ed", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
[files] users: Matched entry 00:90:27:ba:ae:ed at line 2
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
+- entering group PAP {...}
[pap] login attempt with password "Redback"
[pap] Using clear text password "Redback"
[pap] User authenticated successfully
++[pap] returns ok
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 51 to 192.168.1.253 port 1812
       Framed-IP-Address := 192.168.101.101
       Framed-IP-Netmask := 255.255.255.0
       DHCP_Max_Leases := 1
Finished request 20.
Going to the next request
Waking up in 4.9 seconds.

[macharius]

проблема здесь

 

Framed-IP-Address := 192.168.101.101

Framed-IP-Netmask := 255.255.255.0

этих атрибутов быть не должно, это передаст dhcp сервер.

 

 

Не хватает:

IP-Interface-Name := "if_192.168.101.0/24"

 

Орбатите внимание на то, что SE перепишет GIADDR на айпишник этого multibind, т.е. ваш dhcp сервер должен иметь маршрут к GIADDR

Изменено 29 июля, 2010 пользователем macharius

[shicoy]

и так:

!Интерфейс в сторону абонентов
interface inter
  ip address 172.24.10.1/24

!Интерфейс в сторону внешней сети (за ним же находится радиус и dhcp)
interface outer
  description Outer Interface
  ip address 192.168.172.21/28

!Абонентский фейковый интерфейс (т.е. абоненты получают IP из диапазона 172.24.101.2-253)
interface subs-001 multibind
  ip address 172.24.101.254/24
  dhcp proxy 252

!Абонентский профиль
subscriber profile subs-profile-001
   dhcp max-addrs 1
   ip interface name subs-001

!Включаем dhcp прокси
dhcp relay option
dhcp relay server 192.168.172.18


!Настройки радиус
radius server 192.168.172.18 encrypted-key x
radius strip-domain 
radius attribute nas-port-id format physical
radius attribute acct-status-type RFC

aaa authentication administrator local  
aaa authentication subscriber radius  
aaa accounting subscriber radius
aaa update subscriber 30
aaa accounting event dhcp
aaa accounting suppress-acct-on-fail
no aaa route-download
radius accounting server 192.168.172.18 encrypted-key x

через радиус нужно отдать аттрибут
Sub-Profile-Name = "subs-profile-001"

 

 

[kosmatos]

это из-за того что у вас dhcp сервер смотрит в management, а следовательно none routed порт. Перевести его в port 2/x - и все взлетит.

перенёс dhcp сервер в сеть 192.168.100.0 доступную через e2/1 - не помогло

 

проблема здесь

 

Framed-IP-Address := 192.168.101.101

Framed-IP-Netmask := 255.255.255.0

этих атрибутов быть не должно, это передаст dhcp сервер.

 

 

Не хватает:

IP-Interface-Name := "if_192.168.101.0/24"

 

Орбатите внимание на то, что SE перепишет GIADDR на айпишник этого multibind, т.е. ваш dhcp сервер должен иметь маршрут к GIADDR

нам нужно чтобы радиус назначал адрес клиенту, а dhcp использовать только если радиус не сделал

 

сейчас радиус отдаёт такое:

Sending Access-Accept of id 61 to 192.168.1.253 port 1812

Framed-IP-Address := 192.168.101.101

Framed-IP-Netmask := 255.255.255.0

DHCP_Max_Leases := 1

Sub-Profile-Name := "sp_test"

 

но клиент адрес не получает. запроса на dhcp сервера не происходит.

 

есть подозрение, что схема заработает только с "внутренним" dhcp сервером se-100

сейчас попробую

[macharius]

Если хотите, чтобы IP возвращался радиусом - то да, это возможно только если dhcp сервер на самом SE. Иначе это нарушение законов физики.

Но Netmask все равно лишний.

 

[kosmatos]

исправил фейк на такое

interface if_192.168.101.0/24 multibind

ip address 192.168.101.1/24

dhcp server interface

 

убрал dhcp relay и добавил такое

dhcp server policy

subnet 192.168.101.0/24

range 192.168.101.50 192.168.101.99

default-lease-time 1800

maximum-lease-time 3600

 

радиус по прежнему отвечает так

Sending Access-Accept of id 62 to 192.168.1.253 port 1812

Framed-IP-Address := 192.168.101.101

Framed-IP-Netmask := 255.255.255.0

DHCP_Max_Leases := 1

Sub-Profile-Name := "sp_test"

 

но теперь клиент адрес получает и адрес от радиуса 192.168.101.101

 

Орбатите внимание на то, что SE перепишет GIADDR на айпишник этого multibind

вот тут самое непонятное - клиент действительно считает, что адрес dhcp сервера 192.168.101.1 но это адрес фальшивого интерфейса.

соответственно последующие запросы продления аренды на "сервер" 192.168.101.1 никуда не доходят.

 

[macharius]

В случае когда вы используете внешний dhcp сервер, SE работает в режиме dhcp proxy. Вспоминаем как работает DHCP и в частности как работает ISC-DHCP.

Любой dhcp relay agent переводит бродкастовый dhcp discover в юникастовое взаимодействие. SE в этом отношении не исключение. Когда discover отрелеен (спроксирован) на ISC-DHCP, т.е. когда он приходит юникстом, сервер смотрит в поле GIADDR этого пакета и делает по нему lookup в своих subnets. Если соответсвие найдено - выдается IP из этого диапазона. Далее сервер должен ответить OFFER-ом и он также должен быть юникастовый в качестве destination ip у этого пакета будет адрес этого GIADDR. SE как я уже сказал переписывает GIADDR, и делает он это для того чтобы сервак юникастил именно в него, а не в пустоту.

[kosmatos]

В случае когда вы используете внешний dhcp сервер...

я уже не использую внешний сервер. я уже понял что назначение радиусом адреса работает только с внутренним dhcp сервером

 

между клиентами и брасом у нас L3:

 

se-100 (dhcp сервер)

|

L3 коммутатор (dhcp relay на se-100)

|

клиент

 

проблема в том, что se-100 назначает giaddr из клиентской подсети.

 

в статье-обзоре есть такая фраза:

Более того, через Radius можно управлять почти всеми параметрами для DHCP (подменить giaddr, lease time , и т.п.)

я ещё когда первый раз читал удивлялся зачем через радиус менять giaddr, теперь подозреваю это единственный способ

получить работоспособную конфигурацию в случае IPoE через L3

 

подскажите пож. атрибут радиуса кот. отвечает за giaddr.