Перейти к содержимому
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Проблема решилась перебиванием LAG с access в dot1q и добавлением соответствующего влана.

Т.е. вот так LACP работает:

 

 

link-group UPLINK-DOT1Q dot1q

maximum-links 3

lacp active

lacp periodic-timeout long

dot1q pvc 2

bind interface UPLINK-UP local

!

 

 

 

А вот так - нет:

 

 

link-group UPLINK access economical

qos pwfq scheduling physical-port

maximum-links 3

lacp active

bind interface UPLINK-UP local

 

 

 

 

dmvy

Оставил два линка.

Ситуация не поменялась.

Собственно говоря, вопрос-то не в том, что трафик вообще не балансируется.

Входящий к абоненту балансируется прекрасно.

А вот исходящий от абонента льется в один порт.

post-80840-094912000 1418048135_thumb.png

Изменено пользователем purecopper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

link-group UPLINK-DOT1Q dot1q

maximum-links 3

lacp active

lacp periodic-timeout long

dot1q pvc 2

bind interface UPLINK-UP local

!

В конфигах SE написано что LAGG с LACP (lacp active)

а со стороны SNR включен протокол LACP? Что-то не увидел в конфигах (там написано mode passive) и если LACP был бы включен то в show port-group 3 detail показывалась бы буква "А" - LACP Active

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коммутаторы не умеют балансировать не по 2^n портам. делайте либо 2, либо 4 порта.

у меня 2 канала, по 3g каждый. Балансировка SRC-DST-IP, всё нормально они мажут. Где-то 750-600-680. Понятно дело, что идеальных 3г не получить

 

коммутатор: HP A5500 и 3612G с другой стороны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ситуация.

Сдох биллинг (не важно почему)

Пока ведутся работы по восстановлению работоспособности

Чтобы успокоить юзеров - делаю на брасе:

aaa authentication subscriber none profile default
aaa accounting subscriber none

 

Теперь сабскрайберов пускает без биллинга(радиус).

(L2TP)

 

Вопрос 1: когда биллинг снова пускаю встрой и снова включаю авторизацию через радиус - как потом грамотно отсеить/покилять тех юзеров, что авторизовались "без авторизации", чтобы реавторизовались их на биллинге?

Пробовал реаутентификацию - но получаю в логах

Reauth with non radius authentication method is not supported
(что вполне логично)

Есть еще варианты кроме ребута браса и заново массовый перелогин ?)

 

Вопрос 2: как запретить конектиться юзерам по l2TP несколько раз с одинаковым логином во время "халявного режима" (aaa authentication subscriber none) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По первому вопросу: дропнуть абонентов. Кто-то выкладывались snmp oid, чтобы быстро скриптом сбросить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я в UTM5 через вот так юзерам скорости меняю:

snmpset -v2c -c redback@local 10.2.1.10 .1.3.6.1.4.1.2352.2.27.1.1.3.3.0 s $1 

$1 - MAC-адрес для авторизации в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорости менять - это хорошо.

Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн.

Чтобы аккаунтинг зароботал. События разные.

И главное пулы и адреса - я белые раздаю динамикой.

 

Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг.

Иначе придется всех килять (брас ребутать или еще как-то)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорости менять - это хорошо.

Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн.

Чтобы аккаунтинг зароботал. События разные.

И главное пулы и адреса - я белые раздаю динамикой.

 

Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг.

Иначе придется всех килять (брас ребутать или еще как-то)...

вам сказали oid для реавторизации. наверняка есть oid и для disconnect.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да как именно килять юзеров - это не проблема.

Еще раз формулирую вопрос: как ОТФИЛЬТРОВАТЬ (загрепать, выгрести, выбрать :) в список - логины юзеров, авторизованных не по радиусу из общего к-ва ? (юзеры L2TP)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы ждал таймаут наверно, если не охото ночью сбросывать все сессии (если таймаут не миллион часов настроен, конечно)

 

=============

 

SE не умеет фильтровать http/url для физ.интерфейсе (dpi)? Или я не правильно понял мануал?

Нужно фильтровать имена и странички, а не IP'шники.

Умеет полисить для subscribers только, насколько понял. Странно немного. Например если я транзит для кого-то, кто не является для меня SUBS(

 

На 28ой цыске нормально зафильтрил URL и темплейт и апстимовый сабинтерфейс. Неужели SE не умеет это делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Жаль, что у меня нет второго браса )

Думаю, когда такая ситуация произойдет - я смогу найти зацепки, по которым можно отгрепать сабскрайберов.

 

А вот еще проблемка - заметил, что много L2TP юзеров болтаются на брасе с дефолтными параметрами (из дефолтного профиля),

т.е. некоторым юзерам не навешиваются полиси через CoA (radclient отсылает с биллинга)

 

в логах - CoA NAK

мол Session-Context-Not-Found

 

Чем эти юзеры отличаются от тех, кому нормально навешивается полиси согласно тарифа - не нашел.

Сам конектился много раз на всех тарифах с разных девайсов - все ок

 

 

Кто проходил такое?

Куда рыть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на свежую голову и после исследования дебага появилась версия

что биллинг слишком рано отсылает CoA для навешивания полиси

(пока еще установление сессии в самом разгаре :)

Нужно либо отсылать значения полиси в радиус accept (что не просто в моем случае)

Либо какую то паузу в скрипте внести искусственно в несколько секунд

либо отсылать coa пакет несколько раз - что не красиво совсем....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Похоже - помогло сделать оттяжечку в пару секунд после логина (в биллинге) навешивания полиси через CoA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а кто что скажет по поводу проблемы mtu/mss + L2TP/PPPoE

Есть жалобы от юзеров с роутерами

Очень похоже на проблему с mtu

 

Какие будут рекомендации

 

И не отвалятся ли текущие впн юзеров - если на брасе подкручивать mtu в профиле юзера

или на multibind интерфейсах добавить ip tcp mss replace XXX

 

UPDATE: SOLVED (помогли примеры с форума, юзеры не отвалились)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SE не умеет фильтровать http/url для физ.интерфейсе (dpi)?

SE = 100 - нет.

SE > 100 (SE600 и т.д.) - умеет, но только со спец платой в которую влазит совсем не много URL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую форумчане!

 

Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV?

 

У меня при 2FV

Entry Type Count Memory

Network 522585 44250500

Path 1036842 37326312

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV?

 

У меня почти 3FV (Реально 2 аплинка FV + локальные пирринги)

Entry Type      Count          Memory
Network        527433        44645824
Path          1479561        53264196

#sh memory
Memory: Total 802716k, Used 734508k, Free 31720k, Reserved 24k

3 дня назад, сразу после последнего аварийного рестарте коробки руками, когда bgp процесс умер из-за недостатка памяти, рестартовал (причем два раза), но не захотел поднимать все peer (они застряли в состоянии Idle и были так 9 часов) Free было около 70000к - теперь вот 31000к, я так понимаю аккуратно к НГ еще раз грохнется :(

subscribers (IPOE, non-dhcp) пока около 70 (подопытные)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 BGP FV где-то примерно с двумя тысячами активных абонентских сессий жило у меня на одном SE100. На грани фола, памяти не хватает капитально. Я тут где-то даже тему создавал "как расширить память". Там нужно подобрать-то правильную планку, которую официально менять нельзя.

Так вот сделал вывод, что или пользователи или bgp fv. В итоге функции пограничника уехали на другое железо. Иначе бывали случаи, когда убивался процесс bgp из-за нехватки памяти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо за ответ,

Забыл написать про память, так у меня при 2FV и 200 dot1q абонентах без ната, вообщем ни чего железка не делает:

 

[local]Redback>sh mem

Memory: Total 802716k, Used 622316k, Free 143888k, Reserved 24k

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, коллеги!

 

Есть контексты A, B, C, D.

Включена межконтекстная маршрутизация. Дефолтные маршруты прописаны А --> B --> C.

 

service multiple-contexts
service inter-context routing

context A
ip route 0.0.0.0/0 context B

context B
ip route 0.0.0.0/0 context C

 

Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D?

Да, вы гурман, батенька. К чему такие изыски?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, вы гурман, батенька. К чему такие изыски?

Гурман поневоле :) Вопрос связан с оптимизацией фильтрации запрещенных сайтов.

Судя по тишине - простого способа нет, чего и ожидал. Поищем другое решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

All а вот подскажите - это я что-т не докутил или таки задумано - по snmp вижу интерфейс управления, но трафик по нему типа остутсвует. Хотя он всё таки есть. cacti весело рисует что там при этом N/A трафика. Аналогично ина порту, к которому привязан mgmt интерфейс. Но по факту хоть и копеешный трафик, но там бегает, вижу это на графике свитча в который воткнут MGMT порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Снимайте с порта/pvc, интерфейс у редбэка зверь скрытный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да вот что интересно - добавил в график именно прт к которому MGMT привязан - тоже самое. port ethernet 1/1

 

!

context local

!

no ip domain-lookup

!

interface MGMT

description mgmt_if

ip address 10.22.2.72/26

ip source-address telnet snmp ssh

logging console

!

....

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

bind interface MGMT local

!

 

 

 

а вот соседние порты - Всё ок.

 

port ethernet 2/2

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 150

bind interface RADIUS pppoe

....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.