Перейти к содержимому
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Добрый день!

 

Может быть кто-нибудь сталкивался, на SE-100 после включения debug dhcp-relay exception сильно возрасла загрузка ЦП, undebug all ситуацию не изменил, грузит процессы exec_cli:

 

Total system CPU % usage (5s, 1m, 5m): 99.27, 98.10, 97.07

Number of CPUs: 1

 

Proc/thread name: 5sec 1min 5min Proc/thread name: 5sec 1min 5min

----------------------------------- -----------------------------------

less: 0.00 0.00 0.00 clibe: 0.00 0.00 0.00

exec_cli: 31.69 33.94 32.32 telnetd.cli: 0.00 0.00 0.00

statd: 19.38 8.59 6.40 exec_cli: 34.28 35.01 32.52

telnetd.cli: 0.00 0.00 0.00 snmpd: 5.42 6.64 5.81

sysmond: 0.00 0.00 0.00 ribd: 0.00 0.00 0.00

bgpd: 0.00 0.00 0.00 natd: 0.10 0.00 0.00

ipfixd: 3.96 3.81 2.88 dhelperv6d: 0.00 0.00 0.00

dhcpv6d: 0.00 0.00 0.00 dhelperd: 0.00 0.00 0.00

hrd: 0.00 0.00 0.00 clipsd: 0.00 0.00 0.00

dhcpd: 0.39 0.00 0.00 l2tpd: 0.00 0.00 0.00

pppoed: 0.00 0.00 0.00 qosd: 0.00 0.00 0.00

atmd: 0.00 0.00 0.00 dot1qd: 0.00 0.00 0.00

dnsd: 0.00 0.00 0.00 ntpd: 0.00 0.00 0.00

pppd: 0.00 0.00 0.00 staticd: 0.00 0.00 0.00

limmd: 0.00 0.00 0.00 ssmd: 0.00 0.00 0.00

sctpd: 0.00 0.00 0.00 flowd: 0.00 0.00 0.00

aaad: 1.07 0.05 0.00 ldpd: 0.00 0.00 0.00

oddd: 0.00 0.00 0.00 lm: 0.00 0.00 0.00

pemd: 0.00 0.00 0.00 dlmd: 0.00 0.00 0.00

tunneld: 0.00 0.00 0.00 clsd: 0.00 0.00 0.00

ppaslogd: 0.00 0.00 0.00 arpd: 0.10 0.00 0.00

rpmd: 0.00 0.00 0.00 vxxlatsvr: 0.00 0.00 0.00

issud: 0.00 0.00 0.00 ped_parse: 0.00 0.00 0.00

ism2: 0.20 0.00 0.00 rcm: 1.51 0.10 0.00

csm: 0.00 0.00 0.00 pnsd: 0.00 0.00 0.00

evtmd: 0.00 0.00 0.00 syslogd: 0.00 0.00 0.00

exec_cli: 0.00 0.00 0.00 pm: 0.00 0.00 0.00

metad: 0.00 0.00 0.00 inetd: 0.00 0.00 0.00

mount_udrv: 0.00 0.00 0.00 loggd: 0.00 0.00 0.00

mount_mfs: 0.00 0.00 0.00 mount_mfs: 0.00 0.00 0.00

ptdstat_thread: 0.00 0.00 0.00 reboot_thread: 0.00 0.00 0.00

evnt_th: 0.00 0.00 0.00 ioflush: 0.00 0.00 0.00

reaper: 0.00 0.00 0.00 pagedaemon: 0.00 0.00 0.00

init: 0.00 0.00 0.00 swapper: 0.00 0.00 0.00

 

даже непонятно, какой процесс перезагрузить, пробовал clibe, но безрезультатно.

 

Redback Networks SmartEdge OS Version SEOS-12.1.1.4p3-Release

Изменено пользователем Pavel_trc

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всвязи с отсутствием идей и молчанием Google помогла ночная перезагрузка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, что заначит сия ошибка

Aug 11 05:16:25: [2/2:511:63:31/13/2/46621]: %AAA-3-ERR: aaa_idx 5001b684: Can't find pvd_idx ffffffff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, может кто-то сталкивался. Поднят PPPoE. У пользователей, на которых настроен NAT, всё работает, кроме tracert. Возвращается только последняя строка:

C:\>tracert -d 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

 1     *        *        *     Превышен интервал ожидания для запроса.
 2     *        *        *     Превышен интервал ожидания для запроса.
 3     *        *        *     Превышен интервал ожидания для запроса.
 4     *        *        *     Превышен интервал ожидания для запроса.
 5     *        *        *     Превышен интервал ожидания для запроса.
 6     *        *        *     Превышен интервал ожидания для запроса.
 7     *        *        *     Превышен интервал ожидания для запроса.
 8     *        *        *     Превышен интервал ожидания для запроса.
 9     *        *        *     Превышен интервал ожидания для запроса.
10    58 ms    58 ms    58 ms  8.8.8.8

 

Выдержки из конфигурации:

 subscriber default
  qos policy policing default-in
  qos policy metering default-out
  nat policy-name NAT_POLICY
  ip interface name pppoe
  ppp mtu 1492

policy access-list NAT-ACL
 seq 10 permit ip 192.168.0.0 0.0.255.255 class NAT-CL-1

ip nat pool NAT_POOL napt paired-mode
 paired-mode subscriber over-subscription 256 port-limit 4096
 address xxx.xxx.xxx.176 to xxx.xxx.xxx.191
  exclude well-known

nat policy NAT_POLICY enhanced
! Default class
 ignore
 inbound-refresh udp
 icmp-notification
! Named classes
 access-group NAT-ACL
  class NAT-CL-1
   pool NAT_POOL pppoe
   timeout tcp 1800
   timeout udp 60
   timeout fin-reset 60
   timeout icmp 10
   timeout syn 60
   inbound-refresh udp
   icmp-notification

 

Если из "subscriber default" убрать "nat policy-name NAT_POLICY", то для белых адресов всё начинает работать как надо. Для серых отдельно передаю параметр с радиуса, но у них проблема осталась. Кто-то подскажет?

Изменено пользователем Ptica79

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разберите LAG в абонентов - будет работать трассировка. Хз почему так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разберите LAG в абонентов - будет работать трассировка. Хз почему так.

Правильно ли я понимаю, что виною всему то, что абонентские линки я собрал в LAG?

 

link-group InsideTrunk access economical
encapsulation dot1q
qos pwfq scheduling physical-port
maximum-links 3
lacp active
dot1q pvc on-demand 1 encapsulation pppoe replicate
 bind authentication chap context pppoe maximum 8000
dot1q pvc on-demand 102 encapsulation pppoe replicate
 bind authentication chap context pppoe maximum 1000

port ethernet 2/1
description InsideLAN
no flow-control
no auto-negotiate
no shutdown
medium-type copper
encapsulation dot1q
link-group InsideTrunk
!
port ethernet 2/2
description InsideLAN
no flow-control
no auto-negotiate
no shutdown
medium-type copper
encapsulation dot1q
link-group InsideTrunk
!
port ethernet 2/3
description InsideLAN
no flow-control
no auto-negotiate
no shutdown
encapsulation dot1q
link-group InsideTrunk

 

Мне LAG необходим по одной простой причине - дальше я должен собрать DHCP CLIPS на втором context. А там, в отличии от PPPoE, без LAG не обойтись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит у вас не будет трассировок от клиентов за NAT-ом.

Либо собирать в три отдельных контекста, каждый на свой физический порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, как настроить "route leaking" между не-vpn контекстами? Статические маршруты не подойдут, нужна динамика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверил DHCP Clips + LAG + NAT. Проблема та же - traceroute не работает. А какие ещё проблемы у LAG + NAT кроме traceroute известны? Кто может подсказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, как настроить "route leaking" между не-vpn контекстами? Статические маршруты не подойдут, нужна динамика.

В доке рекомендуется использовать IS-IS как самый простой в настройке. Но также можно использовать и BGP и другие протоколы. единственное, что может вызвать вопрос: не пингуются intercontext интерфейсы. Используйте loopback для BGP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно поможет использование "service-policy" в директиве "service clips ..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Столкнулся с ситуацией - "залипла" сессия.

 

Была абонентская "non dhcp clips" сессия, сбросил ее через clear subscriber username 1.1.1.5, но новая сессия не создалась. Перенес абонента в другой pvid, сменил абоненту IP-адрес - без результата. debug clips, aaa молчит.

Сессия создалась только с другим MAC-ом абонента. Что-то подобное у меня было на Juniper E120, но там со временем научились решать проблему. От Ericsson такого не ожидал, и самое главное - не ясно как это диагностировать.

 

ПО - 12.1.1.9

 

Куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Задача часть абонентов заворачивать на отличающийся от таблицы маршрутизации next-hope, с которого в свою очередь заворачивать на другой next-hope, после которого уже работает обычная маршрутизация. Говоря иначе петлей подключается другое оборудование.

С cisco VRF все понятно, но вот с context работать не приходилось.

 

Прошу рассудить ход мыслей

 

1. Сначала помечаем класс с необходимыми пользователями, которых отправляем на нужный next-hope:

context local 
! 
policy access-list acl-classess-PBR1-in 
seq 10 permit ip 10.1.0.0 0.0.255.255 any class cls-NNN
! 
forward policy fwd-PBR1  
access-group acl-classess-PBR1-in local 
 class cls-NNN 
  redirect destination next-hope 1.1.1.1 

Затем создаем первый контекст, на который должны попадать 10.1.0.0 и редиректим их на второй контекст:

context to-NNN
interface to-NNN
 ip address 1.1.1.1/24
 forward policy RedirectPolicy out
! 
forward policy RedirectPolicy
 redirect destination next-hop 1.1.1.2

На втором контексте создаём редирект для обратного маршрута

context from-NNN
interface from-NNN
 ip address 1.1.1.2/24
 forward policy RedirectPolicy out
! 
forward policy RedirectPolicy
 redirect destination next-hop 1.1.1.1 

 

Если раньше абонент ходил просто через redback, то теперь должен пройти еще через сервер, который подключен петлей к redback (между двумя context).

 

Или к черту forward policy и сделать через ip route?

 

context local 
! 
policy access-list acl-classess-PBR1-in 
seq 10 permit ip 10.7.0.0 0.0.255.255 any class cls-NNN 
! 
forward policy fwd-PBR1  
access-group acl-classess-PBR1-in local 
 class cls-NNN
  redirect destination next-hope 1.1.1.1 
!
context to-NNN
interface to-NNN
 ip address 1.1.1.1/24
ip route 0.0.0.0/0 context from-NNN
!
context from-NNN
interface from-NNN
 ip address 1.1.1.2/24
ip route 0.0.0.0/0 context to-NNN
! 

Изменено пользователем iValera

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Столкнулся с ситуацией - "залипла" сессия.

 

Была абонентская "non dhcp clips" сессия, сбросил ее через clear subscriber username 1.1.1.5, но новая сессия не создалась. Перенес абонента в другой pvid, сменил абоненту IP-адрес - без результата. debug clips, aaa молчит.

Сессия создалась только с другим MAC-ом абонента. Что-то подобное у меня было на Juniper E120, но там со временем научились решать проблему. От Ericsson такого не ожидал, и самое главное - не ясно как это диагностировать.

 

ПО - 12.1.1.9

 

Куда копать?

 

 

Обновиться до 12.1.1.11 (вроде починили), в 12.1.1.9 у нас тоже временами это бывало.

либо релоад модуля с сабом поможет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

 

Приобретали SE100 у Qtech. В связи с тем, что они прекратили продажи Ericsson и истекли сроки гарантийных обязательств- они прекратили поддержку. Прошу при наличии поделиться SEOSами старше v12.1.1.9. gwinogradow[at]гмайл.ком. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как выдать клиенту белый адрес?

 

с радиуса приходит:

 

(26) Subscriber-Profile-Name = "rate-4Mbps"

(26) Service-Type = Framed-User

(26) Framed-IP-Netmask = 255.255.255.255

(26) Framed-IP-Address = xxx.xxx.xxx.133

(27) Sent Access-Accept Id 43 from yyy.yyy.16.19:1812 to xxx.xxx.242.1:1812 length 0

(27) Subscriber-Profile-Name = "rate-4Mbps"

(27) Service-Type = Framed-User

(27) Framed-IP-Netmask = 255.255.255.255

(27) Framed-IP-Address = xxx.xxx.242.133

(27) Finished request

 

 

а нас:

Dec 17 12:41:41: [0001]: %AAA-7-EXCEPT: aaa_get_prefix_match_if: No matching interface found for sub ip xxx.xxx.242.133/32.

Dec 17 12:41:41: [0001]: [2/3:511:63:31/6/2/49]: %AAA-7-EXCEPT: aaa_idx 10000032: aaa_bind_subscriber: Failed to get matching interface for remote IP xxx.xxx.242.133 for subscriber 00006880

Dec 17 12:41:41: [0001]: [2/3:511:63:31/6/2/49]: %AAA-7-EXCEPT: aaa_idx 10000032: aaa_process_db_response: Cannot populate dynamic attribute for subscriber 00006880. send FAIL to client

 

!

interface loop0 loopback

ip address xxx.xxx.242.1/32

ip address xxx.xxx.242.129/26 secondary

ip source-address radius

!

interface mgt

ip address 192.168.156.245/24

!

interface pppoe multibind

ip unnumbered loop0

!

 

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте multibind интерфейс из подсети реальников. Или к текущему довесьте last-resort.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо! Заработало.

interface pppoe multibind lastresort

ip unnumbered loop0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

теперь трабла с редиректом:

 

policy access-list acl-for-http-redirect

seq 10 permit ip any host 8.8.8.8 class CLS-NORMAL

seq 20 permit ip any host 8.8.4.4 class CLS-NORMAL

seq 35 permit tcp any host xxx.xxx.52.77 eq www class CLS-NORMAL

seq 40 permit tcp any any eq www class CLS-REDIRECT

seq 50 permit ip any any class CLS-DROP

!

 

 

http-redirect profile CABINET

url "https://урл"

message "Please wait while you are redirected to the customer portal server. Thank you."

timeout 30

 

 

subscriber profile nomoney

http-redirect profile CABINET

ppp mtu 1492

dns primary 8.8.8.8

dns secondary 8.8.4.4

forward policy CABINET in

!

 

forward policy CABINET

redirect destination local

ip access-group acl-for-http-redirect local

class cls-NORMAL

class cls-REDIRECT

redirect destination local

class cls-DROP

drop

!

 

 

В итоге пинг куда угодно по ip адресу. DNS не резолвит.

Изменено пользователем loschikatilos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

policy access-list acl-for-http-redirect

seq 10 permit ip any host 8.8.8.8 class CLS-NORMAL

seq 20 permit ip any host 8.8.4.4 class CLS-NORMAL

 

Пакеты до ДНС разрешил, а пакеты обратно от ДНС ?

8.8.8.8 any

8.8.8.4 any

 

Ну и про www также ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пакеты обратно неважны т.к. полиси на входе коробки, т.е. обрабатывается трафик от абона

 

Работающий конфиг

 

context test

policy access-list acl-classess-LK-in
 seq 10 permit udp any any eq domain class cls-PASS
 seq 20 permit tcp any host x.x.x.x eq www class cls-PASS
 seq 30 permit tcp any host x.x.x.x eq 443 class cls-PASS
 seq 40 permit tcp any any eq www class cls-REDIRECT
 seq 100 permit ip any any class cls-DEFAULT
!



forward policy fwd-LOCAL_test 
ip access-group acl-classess-LK-in test
 class cls-DEFAULT
  drop
 class cls-PASS
 class cls-REDIRECT
  redirect destination local
!

 

Но у нас редиректы накладываются на работающую сессию при помощи COA, либо при старте RADIUS-сервер передает их через VSA

 

Используем CLIPS, поэтому главный принцип "все политики ограничения доступа, скорости и т.п. не должны обрывать текущее подключение абона"

Либо сам абон обрывает её, либо в крайнем случае менеджер.

Поверьте, это сильно облегчило жизнь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо:

 

Косяк был в:

 

forward policy CABINET

redirect destination local

ip access-group acl-for-http-redirect local

class cls-NORMAL

class cls-REDIRECT

redirect destination local

class cls-DROP

drop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существует ли возможность проверки pppoe сессии на ее наличие по SNMP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

 

Приобретали SE100 у Qtech. В связи с тем, что они прекратили продажи Ericsson и истекли сроки гарантийных обязательств- они прекратили поддержку. Прошу при наличии поделиться SEOSами старше v12.1.1.9. gwinogradow[at]гмайл.ком. Спасибо!

Вопрос крайне актуальный, присоединяюсь!

Мы тоже купили у QTECH, причем забрали их "лабораторный" экземпляр)))

 

Народ, поделитесь софтом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.