Pavel_trc Опубликовано 28 июля, 2015 (изменено) · Жалоба Добрый день! Может быть кто-нибудь сталкивался, на SE-100 после включения debug dhcp-relay exception сильно возрасла загрузка ЦП, undebug all ситуацию не изменил, грузит процессы exec_cli: Total system CPU % usage (5s, 1m, 5m): 99.27, 98.10, 97.07 Number of CPUs: 1 Proc/thread name: 5sec 1min 5min Proc/thread name: 5sec 1min 5min ----------------------------------- ----------------------------------- less: 0.00 0.00 0.00 clibe: 0.00 0.00 0.00 exec_cli: 31.69 33.94 32.32 telnetd.cli: 0.00 0.00 0.00 statd: 19.38 8.59 6.40 exec_cli: 34.28 35.01 32.52 telnetd.cli: 0.00 0.00 0.00 snmpd: 5.42 6.64 5.81 sysmond: 0.00 0.00 0.00 ribd: 0.00 0.00 0.00 bgpd: 0.00 0.00 0.00 natd: 0.10 0.00 0.00 ipfixd: 3.96 3.81 2.88 dhelperv6d: 0.00 0.00 0.00 dhcpv6d: 0.00 0.00 0.00 dhelperd: 0.00 0.00 0.00 hrd: 0.00 0.00 0.00 clipsd: 0.00 0.00 0.00 dhcpd: 0.39 0.00 0.00 l2tpd: 0.00 0.00 0.00 pppoed: 0.00 0.00 0.00 qosd: 0.00 0.00 0.00 atmd: 0.00 0.00 0.00 dot1qd: 0.00 0.00 0.00 dnsd: 0.00 0.00 0.00 ntpd: 0.00 0.00 0.00 pppd: 0.00 0.00 0.00 staticd: 0.00 0.00 0.00 limmd: 0.00 0.00 0.00 ssmd: 0.00 0.00 0.00 sctpd: 0.00 0.00 0.00 flowd: 0.00 0.00 0.00 aaad: 1.07 0.05 0.00 ldpd: 0.00 0.00 0.00 oddd: 0.00 0.00 0.00 lm: 0.00 0.00 0.00 pemd: 0.00 0.00 0.00 dlmd: 0.00 0.00 0.00 tunneld: 0.00 0.00 0.00 clsd: 0.00 0.00 0.00 ppaslogd: 0.00 0.00 0.00 arpd: 0.10 0.00 0.00 rpmd: 0.00 0.00 0.00 vxxlatsvr: 0.00 0.00 0.00 issud: 0.00 0.00 0.00 ped_parse: 0.00 0.00 0.00 ism2: 0.20 0.00 0.00 rcm: 1.51 0.10 0.00 csm: 0.00 0.00 0.00 pnsd: 0.00 0.00 0.00 evtmd: 0.00 0.00 0.00 syslogd: 0.00 0.00 0.00 exec_cli: 0.00 0.00 0.00 pm: 0.00 0.00 0.00 metad: 0.00 0.00 0.00 inetd: 0.00 0.00 0.00 mount_udrv: 0.00 0.00 0.00 loggd: 0.00 0.00 0.00 mount_mfs: 0.00 0.00 0.00 mount_mfs: 0.00 0.00 0.00 ptdstat_thread: 0.00 0.00 0.00 reboot_thread: 0.00 0.00 0.00 evnt_th: 0.00 0.00 0.00 ioflush: 0.00 0.00 0.00 reaper: 0.00 0.00 0.00 pagedaemon: 0.00 0.00 0.00 init: 0.00 0.00 0.00 swapper: 0.00 0.00 0.00 даже непонятно, какой процесс перезагрузить, пробовал clibe, но безрезультатно. Redback Networks SmartEdge OS Version SEOS-12.1.1.4p3-Release Изменено 28 июля, 2015 пользователем Pavel_trc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pavel_trc Опубликовано 29 июля, 2015 · Жалоба Всвязи с отсутствием идей и молчанием Google помогла ночная перезагрузка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dm777 Опубликовано 18 августа, 2015 · Жалоба Подскажите, что заначит сия ошибка Aug 11 05:16:25: [2/2:511:63:31/13/2/46621]: %AAA-3-ERR: aaa_idx 5001b684: Can't find pvd_idx ffffffff Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ptica79 Опубликовано 11 сентября, 2015 (изменено) · Жалоба Подскажите, может кто-то сталкивался. Поднят PPPoE. У пользователей, на которых настроен NAT, всё работает, кроме tracert. Возвращается только последняя строка: C:\>tracert -d 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 * * * Превышен интервал ожидания для запроса. 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Превышен интервал ожидания для запроса. 7 * * * Превышен интервал ожидания для запроса. 8 * * * Превышен интервал ожидания для запроса. 9 * * * Превышен интервал ожидания для запроса. 10 58 ms 58 ms 58 ms 8.8.8.8 Выдержки из конфигурации: subscriber default qos policy policing default-in qos policy metering default-out nat policy-name NAT_POLICY ip interface name pppoe ppp mtu 1492 policy access-list NAT-ACL seq 10 permit ip 192.168.0.0 0.0.255.255 class NAT-CL-1 ip nat pool NAT_POOL napt paired-mode paired-mode subscriber over-subscription 256 port-limit 4096 address xxx.xxx.xxx.176 to xxx.xxx.xxx.191 exclude well-known nat policy NAT_POLICY enhanced ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAT-ACL class NAT-CL-1 pool NAT_POOL pppoe timeout tcp 1800 timeout udp 60 timeout fin-reset 60 timeout icmp 10 timeout syn 60 inbound-refresh udp icmp-notification Если из "subscriber default" убрать "nat policy-name NAT_POLICY", то для белых адресов всё начинает работать как надо. Для серых отдельно передаю параметр с радиуса, но у них проблема осталась. Кто-то подскажет? Изменено 14 сентября, 2015 пользователем Ptica79 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 сентября, 2015 · Жалоба Разберите LAG в абонентов - будет работать трассировка. Хз почему так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ptica79 Опубликовано 15 сентября, 2015 · Жалоба Разберите LAG в абонентов - будет работать трассировка. Хз почему так. Правильно ли я понимаю, что виною всему то, что абонентские линки я собрал в LAG? link-group InsideTrunk access economical encapsulation dot1q qos pwfq scheduling physical-port maximum-links 3 lacp active dot1q pvc on-demand 1 encapsulation pppoe replicate bind authentication chap context pppoe maximum 8000 dot1q pvc on-demand 102 encapsulation pppoe replicate bind authentication chap context pppoe maximum 1000 port ethernet 2/1 description InsideLAN no flow-control no auto-negotiate no shutdown medium-type copper encapsulation dot1q link-group InsideTrunk ! port ethernet 2/2 description InsideLAN no flow-control no auto-negotiate no shutdown medium-type copper encapsulation dot1q link-group InsideTrunk ! port ethernet 2/3 description InsideLAN no flow-control no auto-negotiate no shutdown encapsulation dot1q link-group InsideTrunk Мне LAG необходим по одной простой причине - дальше я должен собрать DHCP CLIPS на втором context. А там, в отличии от PPPoE, без LAG не обойтись... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 сентября, 2015 · Жалоба Значит у вас не будет трассировок от клиентов за NAT-ом. Либо собирать в три отдельных контекста, каждый на свой физический порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 18 сентября, 2015 · Жалоба Коллеги, подскажите, как настроить "route leaking" между не-vpn контекстами? Статические маршруты не подойдут, нужна динамика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 18 сентября, 2015 · Жалоба is-is вроде бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ptica79 Опубликовано 22 сентября, 2015 · Жалоба Проверил DHCP Clips + LAG + NAT. Проблема та же - traceroute не работает. А какие ещё проблемы у LAG + NAT кроме traceroute известны? Кто может подсказать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 24 сентября, 2015 · Жалоба Коллеги, подскажите, как настроить "route leaking" между не-vpn контекстами? Статические маршруты не подойдут, нужна динамика. В доке рекомендуется использовать IS-IS как самый простой в настройке. Но также можно использовать и BGP и другие протоколы. единственное, что может вызвать вопрос: не пингуются intercontext интерфейсы. Используйте loopback для BGP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 11 ноября, 2015 · Жалоба Возможно поможет использование "service-policy" в директиве "service clips ..." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 17 ноября, 2015 · Жалоба Столкнулся с ситуацией - "залипла" сессия. Была абонентская "non dhcp clips" сессия, сбросил ее через clear subscriber username 1.1.1.5, но новая сессия не создалась. Перенес абонента в другой pvid, сменил абоненту IP-адрес - без результата. debug clips, aaa молчит. Сессия создалась только с другим MAC-ом абонента. Что-то подобное у меня было на Juniper E120, но там со временем научились решать проблему. От Ericsson такого не ожидал, и самое главное - не ясно как это диагностировать. ПО - 12.1.1.9 Куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 15 декабря, 2015 (изменено) · Жалоба Задача часть абонентов заворачивать на отличающийся от таблицы маршрутизации next-hope, с которого в свою очередь заворачивать на другой next-hope, после которого уже работает обычная маршрутизация. Говоря иначе петлей подключается другое оборудование. С cisco VRF все понятно, но вот с context работать не приходилось. Прошу рассудить ход мыслей 1. Сначала помечаем класс с необходимыми пользователями, которых отправляем на нужный next-hope: context local ! policy access-list acl-classess-PBR1-in seq 10 permit ip 10.1.0.0 0.0.255.255 any class cls-NNN ! forward policy fwd-PBR1 access-group acl-classess-PBR1-in local class cls-NNN redirect destination next-hope 1.1.1.1 Затем создаем первый контекст, на который должны попадать 10.1.0.0 и редиректим их на второй контекст: context to-NNN interface to-NNN ip address 1.1.1.1/24 forward policy RedirectPolicy out ! forward policy RedirectPolicy redirect destination next-hop 1.1.1.2 На втором контексте создаём редирект для обратного маршрута context from-NNN interface from-NNN ip address 1.1.1.2/24 forward policy RedirectPolicy out ! forward policy RedirectPolicy redirect destination next-hop 1.1.1.1 Если раньше абонент ходил просто через redback, то теперь должен пройти еще через сервер, который подключен петлей к redback (между двумя context). Или к черту forward policy и сделать через ip route? context local ! policy access-list acl-classess-PBR1-in seq 10 permit ip 10.7.0.0 0.0.255.255 any class cls-NNN ! forward policy fwd-PBR1 access-group acl-classess-PBR1-in local class cls-NNN redirect destination next-hope 1.1.1.1 ! context to-NNN interface to-NNN ip address 1.1.1.1/24 ip route 0.0.0.0/0 context from-NNN ! context from-NNN interface from-NNN ip address 1.1.1.2/24 ip route 0.0.0.0/0 context to-NNN ! Изменено 15 декабря, 2015 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tux-tm Опубликовано 16 декабря, 2015 · Жалоба Столкнулся с ситуацией - "залипла" сессия. Была абонентская "non dhcp clips" сессия, сбросил ее через clear subscriber username 1.1.1.5, но новая сессия не создалась. Перенес абонента в другой pvid, сменил абоненту IP-адрес - без результата. debug clips, aaa молчит. Сессия создалась только с другим MAC-ом абонента. Что-то подобное у меня было на Juniper E120, но там со временем научились решать проблему. От Ericsson такого не ожидал, и самое главное - не ясно как это диагностировать. ПО - 12.1.1.9 Куда копать? Обновиться до 12.1.1.11 (вроде починили), в 12.1.1.9 у нас тоже временами это бывало. либо релоад модуля с сабом поможет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garryfisher Опубликовано 17 декабря, 2015 · Жалоба Здравствуйте! Приобретали SE100 у Qtech. В связи с тем, что они прекратили продажи Ericsson и истекли сроки гарантийных обязательств- они прекратили поддержку. Прошу при наличии поделиться SEOSами старше v12.1.1.9. gwinogradow[at]гмайл.ком. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 17 декабря, 2015 · Жалоба Как выдать клиенту белый адрес? с радиуса приходит: (26) Subscriber-Profile-Name = "rate-4Mbps" (26) Service-Type = Framed-User (26) Framed-IP-Netmask = 255.255.255.255 (26) Framed-IP-Address = xxx.xxx.xxx.133 (27) Sent Access-Accept Id 43 from yyy.yyy.16.19:1812 to xxx.xxx.242.1:1812 length 0 (27) Subscriber-Profile-Name = "rate-4Mbps" (27) Service-Type = Framed-User (27) Framed-IP-Netmask = 255.255.255.255 (27) Framed-IP-Address = xxx.xxx.242.133 (27) Finished request а нас: Dec 17 12:41:41: [0001]: %AAA-7-EXCEPT: aaa_get_prefix_match_if: No matching interface found for sub ip xxx.xxx.242.133/32. Dec 17 12:41:41: [0001]: [2/3:511:63:31/6/2/49]: %AAA-7-EXCEPT: aaa_idx 10000032: aaa_bind_subscriber: Failed to get matching interface for remote IP xxx.xxx.242.133 for subscriber 00006880 Dec 17 12:41:41: [0001]: [2/3:511:63:31/6/2/49]: %AAA-7-EXCEPT: aaa_idx 10000032: aaa_process_db_response: Cannot populate dynamic attribute for subscriber 00006880. send FAIL to client ! interface loop0 loopback ip address xxx.xxx.242.1/32 ip address xxx.xxx.242.129/26 secondary ip source-address radius ! interface mgt ip address 192.168.156.245/24 ! interface pppoe multibind ip unnumbered loop0 ! Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 декабря, 2015 · Жалоба Сделайте multibind интерфейс из подсети реальников. Или к текущему довесьте last-resort. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 18 декабря, 2015 · Жалоба Спасибо! Заработало. interface pppoe multibind lastresort ip unnumbered loop0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 18 декабря, 2015 (изменено) · Жалоба теперь трабла с редиректом: policy access-list acl-for-http-redirect seq 10 permit ip any host 8.8.8.8 class CLS-NORMAL seq 20 permit ip any host 8.8.4.4 class CLS-NORMAL seq 35 permit tcp any host xxx.xxx.52.77 eq www class CLS-NORMAL seq 40 permit tcp any any eq www class CLS-REDIRECT seq 50 permit ip any any class CLS-DROP ! http-redirect profile CABINET url "https://урл" message "Please wait while you are redirected to the customer portal server. Thank you." timeout 30 subscriber profile nomoney http-redirect profile CABINET ppp mtu 1492 dns primary 8.8.8.8 dns secondary 8.8.4.4 forward policy CABINET in ! forward policy CABINET redirect destination local ip access-group acl-for-http-redirect local class cls-NORMAL class cls-REDIRECT redirect destination local class cls-DROP drop ! В итоге пинг куда угодно по ip адресу. DNS не резолвит. Изменено 18 декабря, 2015 пользователем loschikatilos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArhAngel_John Опубликовано 20 декабря, 2015 · Жалоба policy access-list acl-for-http-redirect seq 10 permit ip any host 8.8.8.8 class CLS-NORMAL seq 20 permit ip any host 8.8.4.4 class CLS-NORMAL Пакеты до ДНС разрешил, а пакеты обратно от ДНС ? 8.8.8.8 any 8.8.8.4 any Ну и про www также ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tux-tm Опубликовано 21 декабря, 2015 · Жалоба Пакеты обратно неважны т.к. полиси на входе коробки, т.е. обрабатывается трафик от абона Работающий конфиг context test policy access-list acl-classess-LK-in seq 10 permit udp any any eq domain class cls-PASS seq 20 permit tcp any host x.x.x.x eq www class cls-PASS seq 30 permit tcp any host x.x.x.x eq 443 class cls-PASS seq 40 permit tcp any any eq www class cls-REDIRECT seq 100 permit ip any any class cls-DEFAULT ! forward policy fwd-LOCAL_test ip access-group acl-classess-LK-in test class cls-DEFAULT drop class cls-PASS class cls-REDIRECT redirect destination local ! Но у нас редиректы накладываются на работающую сессию при помощи COA, либо при старте RADIUS-сервер передает их через VSA Используем CLIPS, поэтому главный принцип "все политики ограничения доступа, скорости и т.п. не должны обрывать текущее подключение абона" Либо сам абон обрывает её, либо в крайнем случае менеджер. Поверьте, это сильно облегчило жизнь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 21 декабря, 2015 · Жалоба Всем спасибо: Косяк был в: forward policy CABINET redirect destination local ip access-group acl-for-http-redirect local class cls-NORMAL class cls-REDIRECT redirect destination local class cls-DROP drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 25 декабря, 2015 · Жалоба Существует ли возможность проверки pppoe сессии на ее наличие по SNMP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 27 декабря, 2015 · Жалоба Здравствуйте! Приобретали SE100 у Qtech. В связи с тем, что они прекратили продажи Ericsson и истекли сроки гарантийных обязательств- они прекратили поддержку. Прошу при наличии поделиться SEOSами старше v12.1.1.9. gwinogradow[at]гмайл.ком. Спасибо! Вопрос крайне актуальный, присоединяюсь! Мы тоже купили у QTECH, причем забрали их "лабораторный" экземпляр))) Народ, поделитесь софтом! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...