[Eagle18]

Подскажите уважаемые коллеги,куда копать. Проблема следующая. Есть конфиг (весь не выкладываю только то что нужно)

сам интерфейс:

interface PPPoE multibind lastresort

ip unnumbered loopback3

ip mtu 1500

ip pool 192.168.101.0/24 name PPPoE_POOL2

ip pool 192.168.102.0/24 name PPPoE_POOL3

ip pool 192.168.103.0/24 name PPPoE_POOL4

ip pool 192.168.104.0/24 name PPPoE_POOL5

ip pool 192.168.105.0/24 name PPPoE_NAH

ip pool 192.168.107.0/24 name PPPoE_POOL1

ip access-group Block out

привязка к нату:

policy access-list NAT

seq 10 permit ip 192.168.105.0 0.0.0.255 class NAT_block

seq 20 permit ip 192.168.101.0 0.0.0.255 class NAT

seq 30 permit ip 192.168.102.0 0.0.0.255 class NAT

seq 40 permit ip 192.168.103.0 0.0.0.255 class NAT

seq 50 permit ip 192.168.104.0 0.0.0.255 class NAT

seq 60 permit ip 192.168.107.0 0.0.0.255 class NAT

по скорости настройки (есть такие же только на выход)

policy access-list Speed_policy_in

condition 1 time-range

periodic weekend weekdays 02:00 to 07:59 class night

seq 10 permit ip any 192.168.107.0 0.0.0.255 class day condition 1

seq 20 permit ip any 192.168.101.0 0.0.0.255 class day condition 1

seq 30 permit ip any 192.168.102.0 0.0.0.255 class day condition 1

seq 40 permit ip any 192.168.103.0 0.0.0.255 class day condition 1

seq 50 permit ip any 192.168.104.0 0.0.0.255 class day condition 1

seq 60 permit ip any 192.168.105.0 0.0.0.255 class day condition 1

параметры dhcp:

dhcp server policy

subnet 192.168.101.0/24 name PPPoE_POOL2

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

subnet 192.168.102.0/24 name PPPoE_POOL3

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

subnet 192.168.103.0/24 name PPPoE_POOL4

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

subnet 192.168.104.0/24 name PPPoE_POOL5

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

subnet 192.168.105.0/24 name PPPoE_NAH

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

subnet 192.168.107.0/24 name PPPoE_POOL1

option router 192.168.100.1

option domain-name-server x.x.x.x x.x.x.x

параметры subscriber:

subscriber default

ip address pool

ip source-validation

qos policy policing qos-in

qos policy metering qos-out

nat policy-name NAT

ppp mtu 1492

dns primary x.x.x.x

dns secondary x.x.x.x

forward policy rosreestr in

используется подключение PPPoE. каждый пул под свой тариф по скорости. Связка UTM+freeradius+SE. Параметры на freeradius для связки тарифов:

if ($row_acct[0] > 0 or $row_usr[0] > 0) { echo "ip:addr-pool=PPPoE_NAH"; } else {

if ($row[0] == 235) echo "ip:addr-pool=PPPoE_POOL1";

if ($row[0] == 236) echo "ip:addr-pool=PPPoE_POOL2";

if ($row[0] == 237) echo "ip:addr-pool=PPPoE_POOL3";

if ($row[0] == 238) echo "ip:addr-pool=PPPoE_POOL4";

if ($row[0] == 261) echo "ip:addr-pool=PPPoE_POOL3";

if ($row[0] == 263) echo "ip:addr-pool=PPPoE_POOL4";

if ($row[0] == 269) echo "ip:addr-pool=PPPoE_POOL5";

 

При подключении следующая проблема. Клиента из любого пула кроме первого подключаются и выходят в инет без проблем. Те у кого услуга попадает в пул1 так же подключаются но в инет выйти не могут. Шлюз не пингуется (192.168.100.1). трассировка до любого адреса выглядит так:

tracert 8.8.8.8

1 <1 мс <1 мс <1 мс 8.8.8.8

т.е. любой адрес доступен сразу же. при попытке подключиться телнетом к любому адресу выводиться запрос логина пароля от самой se.(т.е. подключение идет к шлюзу). Припопытке сменить пул адресов на 192.168.108.0/24 ситуация не меняется. перезагрузка не помогает. Сегодня пытался сменить имя пула с PPPoE_POOL1 на PPPoE_POOL6 (в файле конфига freeradius тоже сменил имя)-в результате, как прописано в настройках freeradius подключение идет на пул PPPoE_NAH (т.е. подключение с несуществующей услугой либо как заблокированый). Не могу понять толи связка freeradius+se не обрабатывает и не дает подключиться правильно при смене имени либо ещё где проблема. И при этом всем остальные пулы работают прекрасно и без нареканий. Что предшествовало произошедшему?! Попивание кофе. В конфиг уже 4 месяца никто не лазил и ничего не менял. Ни скачков напряжение ни перезагрузок ни на одной машине в связке не было. Пытался даже просто создать новый пул на se новую услугу в билинге прописать все в freeradius. все равно не работает-клиент подключается по пулу PPPoE_NAH. Помогите хоть в нужную сторону мысли направить

[breusovok]

И снова грабли! Выставил тайм аут сессии 0 (сессия живет бесконечно, буду скриптом раз в день - два прибивать мертвые сессии). Теперь другой нюанс вылез: сессия прибивается по ssh команде из биллинга (clear subscriber username XX:XX:XX:XX:XX:XX). Сессия падает на SE100, по радиусу падает и в биллинге. пинги пропадают у клиента, трафик не ходит. проходит 5-7 секунд и начинают ходить пинги. работать сайты, при этом сессия ни в билллинге. ни на самой Se100 не поднимается. Что это за брас такой. который выпускает неавторизованного пользователя в интернет?!

[dmvy]

Если у вас clips, то правильно сбрасывать сессию через удаление dhcp lease. Чем вам CoA не нравится для таких действий?

[alex.malyshev.71]

Уважаемы господа, подскажите

Решился ли вопрос с шейпингом подсетей отличных от /32 через clips? Или по прежнему зарезать юрика или физика с нескольмими адресами можно только через dot1q subscriber?

Если нет возможности реализовать схему vlan per customer, то какие есть варианты ограничивать скорость для подсети одного клиента? И вообще, есть ли возможность рейтлимитить транзитный трафик в случае, например, если РБ не является шлюзом для абонента?

Изменено 3 сентября, 2014 пользователем alex.malyshev.71

[breusovok]

Если у вас clips, то правильно сбрасывать сессию через удаление dhcp lease. Чем вам CoA не нравится для таких действий?

Не уверен, что LanBilling умеет CoA. пробовал через clear dhcp host xxx.xxx.xxx.xxx - та же история, и еще. если я пропишу статический ИП со шлюзом se100, трафик ттчже начинает ходить. без всяких политик и т.п. может быть есть какая-то команда запрещающая ходить любому трафику, кроме авторизованных пользователей?

[dmvy]

Уважаемы господа, подскажите

Решился ли вопрос с шейпингом подсетей отличных от /32 через clips? Или по прежнему зарезать юрика или физика с нескольмими адресами можно только через dot1q subscriber?

Если нет возможности реализовать схему vlan per customer, то какие есть варианты ограничивать скорость для подсети одного клиента? И вообще, есть ли возможность рейтлимитить транзитный трафик в случае, например, если РБ не является шлюзом для абонента?

vlan per user не обязательно. слышал, есть возможность мультиплексировать несколько ip по одному мак адресу. Но это тогда должна быть маршрутизируемая подесеть на несколько адресов, а не просто несколько ПК с разными адресами.

[breusovok]

написал на support@nag.ru, жду ответа

[alex.malyshev.71]

Уважаемы господа, подскажите

Решился ли вопрос с шейпингом подсетей отличных от /32 через clips? Или по прежнему зарезать юрика или физика с нескольмими адресами можно только через dot1q subscriber?

Если нет возможности реализовать схему vlan per customer, то какие есть варианты ограничивать скорость для подсети одного клиента? И вообще, есть ли возможность рейтлимитить транзитный трафик в случае, например, если РБ не является шлюзом для абонента?

vlan per user не обязательно. слышал, есть возможность мультиплексировать несколько ip по одному мак адресу. Но это тогда должна быть маршрутизируемая подесеть на несколько адресов, а не просто несколько ПК с разными адресами.

То есть clips как не умел этого делать так и не умеет? Это печально. А полностью транзитный трафик он резать умеет, вы не в курсе?

Нам предлагают эриксон взять на тест, но если он ничего не умеет, то и брать, получается, бессмысленно...

[VasiliyP]

Если у вас clips, то правильно сбрасывать сессию через удаление dhcp lease. Чем вам CoA не нравится для таких действий?

Не уверен, что LanBilling умеет CoA. пробовал через clear dhcp host xxx.xxx.xxx.xxx - та же история, и еще. если я пропишу статический ИП со шлюзом se100, трафик ттчже начинает ходить. без всяких политик и т.п. может быть есть какая-то команда запрещающая ходить любому трафику, кроме авторизованных пользователей?

 

Вам нужен скрипт для отключения клиент через CoA, а биллинг просто передает в него данные сессии..

[breusovok]

прикрутил скрипт выключения subscriber-ов по CoA, ситуация ровно такая же как и по SSH - windows xp отключилась от интернета, windows 7 и поутер tplink 1042 через несколько секунд снова интернете, но сессии нет!

upd: У меня появилась идея: а правильно ли идеологически вешать ип, который является шлюзом для абонентов, напрямую на интерфейс. который смотрит на абонентов? и еще. не работает по какой-то причине http-redirect, на абонента профиль с редиректом навешивается, проверял.

мой конфиг(выкинул ненужное):

context aaaa
!
no ip domain-lookup
!
interface DOWNL multibind
 description To_Test_Client_Vlan_20
 ip address xx.xx.xx.193/26
 dhcp relay 65535
  giaddr xx.xx.xx.193
!
interface aa-traff
 description KT-traff
 ip address xx.xx.xx.190/29
!
interface AAAA_MGT
 description MGT_Radius_NetFlow_DHCP
 ip address xx.xx.yy.13/24
  ip source-address snmp ssh radius dhcp-server flow-ip
!
interface UPL
 ip address xx.xx.xx.59/25
  ip source-address telnet

!
!
policy access-list acl-for-http-redirect
 seq 10 permit udp any host xx.xx.xx.24 eq domain class cls-NORMAL
 seq 20 permit udp any host xx.xx.xx.34 eq domain class cls-NORMAL
 seq 30 permit tcp any host xx.xx.xx.112 eq www class cls-NORMAL
 seq 40 permit tcp any any eq www class cls-REDIRECT
 seq 50 permit ip any any class cls-DROP
!
http-redirect profile CABINET
 url "http://xx.xx.xx.112"
!

subscriber default
  qos policy policing TARIF-DEFAULT-512K-IN
  qos policy metering TARIF-DEFAULT-512K-OUT
  http-redirect profile CABINET
  dhcp max-addrs 1
  forward policy CABINET in
subscriber profile DOM1
  qos policy policing DOM1-IN
  qos policy metering DOM1-OUT
  http-redirect profile CABINET
  forward policy CABINET in
!

qos policy DOM1-IN policing
ip access-group acl-classess-PBR1-in aaaa
 class cls-DEFAULT
  rate 8000 burst 1200000 excess-burst 2000000
 class cls-CLASS1
  rate 15000 burst 2400000 excess-burst 4000000
 class cls-CLASS2
  rate 102400 burst 15000000 excess-burst 30000000
rate-calculation exclude layer-2-overhead
!
qos policy DOM1-OUT metering
ip access-group acl-classess-PBR1-out aaaa
 class cls-DEFAULT
  rate 8000 burst 1200000 excess-burst 2000000
 class cls-CLASS1
  rate 15000 burst 2400000 excess-burst 4000000
 class cls-CLASS2
  rate 102400 burst 15000000 excess-burst 30000000
rate-calculation exclude layer-2-overhead
!

forward policy HTTP-REDIRECT
ip access-group acl-for-http-redirect aaaa
 class cls-NORMAL
 class cls-REDIRECT
  redirect destination local
 class cls-DROP
  drop
!
qos policy TARIF-DEFAULT-512K-IN policing
rate 512 burst 64
rate-calculation exclude layer-2-overhead
!
qos policy TARIF-DEFAULT-512K-OUT metering
rate 512 burst 64
rate-calculation exclude layer-2-overhead
!
forward policy fwd-PBR1

ip access-group acl-classess-PBR1-in aaaa
 class cls-DEFAULT
 class cls-CLASS1
  redirect destination ip next-hop xx.xx.xx.185
!
!
!
!
http-redirect server
port 80
!
!
port ethernet 1/1
! XCRP management port on slot 1
no shutdown
bind interface mgt local
!
card carrier 2
mic 1 ge-2-port
mic 2 ge-2-port
!
port ethernet 2/1
description *** Port for uplink connections **
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc aa
 bind interface AAAA_MGT aaaa
dot1q pvc ab
 description AA-traff
 bind interface AA-traff aaaa
dot1q pvc ac
dot1q pvc ad
 bind interface UPL aaaa
!
port ethernet 2/2
description *** Port for users connections ***
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc ae
 bind interface DOWNL aaaa
 service clips dhcp maximum 8000 context aaaa
dot1q pvc aeae
 bind interface DOWNL aaaa
 service clips dhcp maximum 8000 context aaaa
!
!

Изменено 8 сентября, 2014 пользователем breusovok

[dmvy]

для clips нужно создавать multibind интерфейс и идти по аналогии с cisco ip unnumbered. пока нет сесси, нет и маршрута в интерфейс.

[breusovok]

Да, в этом и была моя ошибка. Не работал ранее с ip unnumbered)). Осталось разобраться, почему редирект не работает.

[breusovok]

Разобрался со всем, всем спасибо!

[roma33rus]

Всем привет. Нужен совет. Хотим заменить сервак freebsd на se100. vlan стекаются на него же. Адреса абонентам раздаются по DHCP со статической привязкой по MAC (то есть получают всегда одни и те же), есть некоторые абоненты, которые ручно себе прописывают адреса. Постепенно настраиваем Option82. Получаем по BGP full view. Смогу ли я с помощью этой железки перевести на нее всю работу? насколько я понял из прочитанного мне нужен non DHCP CLIPS. используем в связке с биллингом abills. Сильно не пинайте) только разбираюсь.

[dmvy]

Да. Ставите non dhcp clips, рядом на фряхе оставляете только dhcp-сервер. Когда перейдете полностью на dhcp, то можно freebsd убирать и перенастраивать на dhcp clips.

[roma33rus]

Да. Ставите non dhcp clips, рядом на фряхе оставляете только dhcp-сервер. Когда перейдете полностью на dhcp, то можно freebsd убирать и перенастраивать на dhcp clips.

 

к сожалению полностью на dhcp перейти не получиться. есть такие клиент (юрики), которые не могут, или не хотят использовать на своем оборудовании динамику. а одновременно dhcp clips и non dhcp использовать не получится?

[dmvy]

Для таких абонентов отдельный vlan, где будет только non dhcp clips. Одновременно нельзя. Триггеры сессий разные. В одном случае - это dhcp-пакет, а в другом ip-пакет

[roma33rus]

Для таких абонентов отдельный vlan, где будет только non dhcp clips. Одновременно нельзя. Триггеры сессий разные. В одном случае - это dhcp-пакет, а в другом ip-пакет

 

Все понял, спасибо большое.

[garryfisher]

Здравствуйте!

 

Может кто сталкивался, есть проблема с SE100. Абоненты подключаются по PPPoE, биллинг bgbilling. Два порта настроены LACP и смотрят в сторону провайдера. По остальным портам: port 1 FTTB, port 2 DSL, port 3 - static /30, /29

Периодически зависает SE100, сессии у абонов не поднимаются, статика работает и так пока не перезагрузишь SE100. Для резервирования приобрели второй SE100, на нем такая же проблема. Переодичность зависания- хаотичная, но пока не более 1 раза в 1,5 мес.

 

sho ver

Redback Networks SmartEdge OS Version SEOS-12.1.1.6p1-Release

Built by sysbuild@eussjlx7008.sj.us.am.ericsson.se Fri Mar 14 06:43:34 PDT 2014

Copyright © 1998-2014, Redback Networks Inc. All rights reserved.

System Bootstrap version is PowerPC,rev2.0.1.2

Installed minikernel version is 2.6

[zstas]

целиком коробка зависает? я бы обновился до 12.1.1.8 для начала, на se600 12.1.1.6 плохо работала.

[baronzzz]

Всем привет, вопрос к знатокам se100.

 

Прокачает ли se100 следующие задачи:

2-3к абонентов

NAT

BGP 2 FV

Авторизацию + аккаунтинг

Shaper

по IPOE

Изменено 7 октября, 2014 пользователем baronzzz

[Butch3r]

да

[dmvy]

если vlan на абонента, т.е. много pvc, то 2 FV будет тесно. У нас это работало, но пределе и если залогиниться по telnet, то памяти не хватало и процесс bgp перезапускался. со временем один аплинк у нас ушел - стало легче.

#sh process | e demand

Load Average : 3.64 4.70 4.63

NAME               PID    SPAWN    MEMORY TIME           %CPU STATE     UP/DOWN
evtmd             2764        1    38504K 00:16:37.80   0.00% run          16w0d
pnsd              2765        1     9800K 00:16:34.77   0.00% run          16w0d
csm               2766        1    46764K 03:43:07.69   0.00% run          16w0d
rcm               2767        1    81492K 02:59:23.55   0.00% run          16w0d
ism               2768        1    67616K 04:22:17.68   0.00% run          16w0d
ped_parse         2769        1    11020K 00:14:31.01   0.00% run          16w0d
issud             2770        1     9724K 00:15:49.17   0.00% run          16w0d
vxxlatsvr         2771        1    13376K 00:13:42.65   0.00% run          16w0d
rpm               2772        1     9912K 00:16:40.56   0.00% run          16w0d
rib               5308        5    92904K 00:00:11.80  48.94% run       00:00:36
ntp               2802        1    53972K 00:38:07.67   0.00% run          16w0d
arp               2774        1    41232K 08:56:49.86   0.00% run          16w0d
static            2798        1     9836K 00:16:07.23   0.00% run          16w0d
isis              2801        1    42648K 21:44:43.80   0.00% run          16w0d
bgp               4487        6   135372K 02:15:53.04   9.86% run           2w3d
igmp              2799        1    40860K 00:27:32.86   0.00% run          16w0d
pim               3175        2    42492K 00:51:40.78   0.00% run          12w6d
ospf              2797        1    39444K 05:35:26.39   0.00% run          16w0d
sysmon            2775        1    11144K 01:00:45.57   0.00% run          16w0d
dns               2805        1     9636K 00:13:53.25   0.00% run          16w0d
msdp              3573        1    10572K 01:36:32.70   0.00% run           8w5d
ppaslog           2776        1     9680K 00:14:25.71   0.00% run          16w0d
cls               2777        1    46108K 00:23:42.70   0.00% run          16w0d
dot1q             2806        1    83192K 02:17:51.08   0.00% run          16w0d
tunnel            2778        1    10552K 00:25:39.28   0.00% run          16w0d
qos               2791        1    42888K 00:43:29.39   0.00% run          16w0d
dlm               2779        1    14272K 00:15:56.84   0.00% run          16w0d
pem               2780        1    41840K 00:14:51.75   0.00% run          16w0d
dhcp              2810        1    60524K 06:36:29.20   0.00% run          16w0d
bridge            3195        2    40260K 00:14:23.29   0.00% run          12w6d
atm               2807        1    56212K 00:34:43.62   0.00% run          16w0d
lm                2781        1    40524K 00:21:54.16   0.00% run          16w0d
nat               2809        1     9868K 00:15:46.29   0.00% run          16w0d
odd               2782        1    12944K 00:14:20.95   0.00% run          16w0d
dhelperd          2813        1    40052K 02:48:18.15   0.00% run          16w0d
dhcpv6d           2815        1    55824K 00:27:43.40   0.00% run          16w0d
dhelperv6d        2816        1    38640K 00:18:25.18   0.00% run          16w0d
mcastmgr          2804        1    42024K 00:18:10.40   0.00% run          16w0d
snmp              2803        1    46556K 01:26:51.35   0.00% run          16w0d
stats             2783        1    51464K 218:40:04.84  6.69% run          16w0d
ldp               2784        1    40480K 01:00:05.62   0.00% run          16w0d
aaad              2785        1    74516K 02:24:17.94   0.00% run          16w0d
clips             2811        1    60280K 00:41:04.96   0.00% run          16w0d
hr                2812        1    10476K 02:40:42.21   0.00% run          16w0d
flowd             2786        1    53760K 00:16:15.10   0.00% run          16w0d
cfm               2814        1    40692K 00:25:03.28   0.00% run          16w0d
sctp              2787        1     9656K 00:14:24.57   0.00% run          16w0d
ssm               2788        1    11304K 00:15:11.79   0.00% run          16w0d
limm              2789        1    56420K 00:16:38.94   0.00% run          16w0d
clibe             2790        1    10180K 00:13:57.74   0.00% run          16w0d

#sh memory 
Memory: Total 802720k, Used 734576k, Free 15660k, Reserved 24k

#sh bgp neighbor summary 
Neighbors Configured: 5, Established: 3
 CapSent  : refresh 4byteAS unicast restart
 CapRcvd  : refresh 4byteAS unicast restart
 unicast  : rcvd: 510083 imported: 0 active: 510083 history: 0 dampened: 0 sent: 2

#sh subscribers summary 
--------------------------------------------------------------------------------
Total=839

Type            Authenticating          Active          Disconnecting
PPP                          0               0                      0
PPPoE                        0               0                      0
DOT1Q                        0               0                      0
CLIPs                        0             839                      0
ATM-B1483                    0               0                      0
ATM-R1483                    0               0                      0
Mobile-IP                    0               0                      0

#sh dot1q pvc summary 

PVCs total: 4270, Up: 4270, Down: 0, Bound: 1

Protocol CCTs total: 0, Up: 0, Down: 0

[baronzzz]

Butch3r останится от него хоть чуть чуть ? )))

[Butch3r]

Butch3r останится от него хоть чуть чуть ? )))

В своё время, когда тестировали SE100 отдавать такие же требования поставщику. Нам ответили что "Да, всё будет работать". Мы не купили потому что нормально заставить работать интерфейсы /29, /30 не получилось.