[loschikatilos]

Клиентский L2 сегмент (кольцо на STP) подключен двумя коммутаторами в порты 2/3 и 2/4.

 

Коммутаторы были установлены для резервирования разных веток кольца.

 

Хотелось бы зарезервировать клиентские pppoe вланы примерно след образом:

 

 

port ethernet 2/3

no shutdown

encapsulation dot1q

dot1q pvc 1100 encapsulation pppoe

bind authentication chap pap context local maximum 1000

 

 

port ethernet 2/4

no shutdown

encapsulation dot1q

dot1q pvc 1100 encapsulation pppoe

bind authentication chap pap context local maximum 1000

 

Не запетлит ли меня при таком раскладе?

 

Сейчас в 2/3 и 2/4 разные vlan.

 

Или спрошу проще не станет ли Se100 коммутировать пакеты между своими портами и если не станет существует ли возможность это включить? (Дабы потом случайно не нарваться на грабли)

[zstas]

не запетлит, эриксон это же не свитч

[zstas]

вы хотите замкнуть l2 кольцо через se100?

[Tau]

ну не только у них. В классическом ip unnumbered от cisco ровно также, пока не появится dhcp-сессия, либо не пропишешь статично ip-адрес в vlan-интерфейс. то, что нужно вам называется private vlan / super vlan (генерируется только arp, сколько vlan). есть у dlink и extreme.

Все верно вы пишите, это у меня каша в голове от разных реализаций смежных технологий у разных вендоров. Спасибо!

[loschikatilos]

вы хотите замкнуть l2 кольцо через se100?

 

нет кольцо замыкать не хочу. Пусть своей жизнью живет.

 

Интересуюсь в том разрезе, что если есть такая возможность, как это реализовать дабы в будущем случайно не нарваться на грабли.

[zstas]

loschikatilos, замкнуть L2 в эриксоне можно только через bridge или xconnect, так что вряд ли вы нарвётесь на эти грабли.

[loschikatilos]

admin-access-group acl in

ограничивает доступ к control plane

для каждого контекста отдельно

откройте уже документацию

 

ip access-list trusted.hosts ssh-and-telnet-acl

seq 10 permit ip host 192.168.156.65

seq 11 deny tcp any any

seq 100 permit ip any any

 

!

admin-access-group ssh-and-telnet-acl in

 

!

 

 

Этого будет достаточно?

[nwur]

Этого будет достаточно?

 

да, если нужно запретить именно telnet, также неплохо было бы прикрыть snmp и остальное (ssh, ftp и проч), что запущено из средств доступа, чтобы не видеть лишних записей в логах.

[Zaval1976]

Здравствуйте,

 

прошу объяснить тупому.

Пытаюсь настроить VPLS на SE600:

 

делаю по инструкции:

 

bridge profile test

description Test_VPLS

trunk

broadcast rate-limit 100 burst 19200

multicast rate-limit 100 burst 19200

 

vpls profile test_vpls

neighbor xxx.xxx.xxx.xxx

pw-encap vlan

bridge-profile test

 

bridge local_vpls_1

description Test_VPLS_940

vpls

pw-name vpls

profile test_vpls pw-id 9400940

 

Собственно вопрос, как это все "прикрутить" к интерфейсу да и еще с поддержкой dot1q?

 

P.S. Пытался делать так:

 

port ethernet 3/2

encapsulation dot1q

dot1q pvc 990

bridge profile test

 

Потом нашел в документе, что вроде как необходимо делать через port pseudowire, но в настройках порта нет возможности ввести имя профиля VPLS?

 

Вобщем не работает.

 

Прошу помощи.

 

Используемая версия ПО SEOS-12.1.1.10p2-Release.

[loschikatilos]

В одном L2 сегменте есть 3 cisco 7301 и 1 SE100.

 

pppoe vlan-ы одинаковые на всех коробках.

 

нагрузка распределяется по принципу кто первый того и сессия. В итоге нагрузка очень не равномерна. На цисках по 500 сессий на se 120.

 

Процессоры цисок загружены под 60-70. Se отдыхает.

 

ЧЯДНТ?

[zstas]

loschikatilos, на цисках можно задержку на pado пакеты поставить?

[loschikatilos]

Cacti не рисует трафик на саб интерфейсах.

 

конф SNMP:

 

snmp server

traps ifmib encaps

snmp view monitor internet included

snmp view monitor system included

snmp view monitor interfaces included

snmp view monitor snmp included

snmp view monitor bgp included

snmp view monitor ifMIB included

snmp view monitor redBackNetworks included

snmp view monitor ifEntry included

snmp view monitor snmpEngine included

snmp view monitor ifXEntry included

snmp view Inet-View internet included

snmp view Inet-View ifMIB included

snmp community тратата view Inet-View

snmp target NM-Station1 192.168.156.232 security-name тратата version 2c view Inet-View

 

В кактусе все стандартно. Физические интерфейсы рисует.

[nwur]

http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=692130

[loschikatilos]

http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=692130

 

Благодарю.

[loschikatilos]

Задача увеличить скорость до пиринговых стыков в два раза от основного тарифа. С этим все понятно есть мануал:

 

!

policy access-list acl-directions-in

seq 10 permit ip any 10.193.0.0 0.0.255.255 class cls-LOCAL

seq 20 permit ip any 155.53.0.0 0.0.255.255 class cls-LOCAL

seq 30 permit ip any any class cls-INET

!

policy access-list acl-directions-out

seq 10 permit ip 10.193.0.0 0.0.255.255 any class cls-LOCAL

seq 20 permit ip 155.53.0.0 0.0.255.255 any class cls-LOCAL

seq 30 permit ip any any class cls-INET

 

!

qos policy 2M-50M-in policing

access-group acl-directions-in local

class cls-LOCAL

rate 50000 burst 6250000

class cls-INET

rate 2000 burst 250000

!

qos policy 2M-50M-out metering

access-group acl-directions-out local

class cls-LOCAL

rate 50000 burst 6250000

class cls-INET

rate 2000 burst 250000

!

------------------------------

 

В примере 2х префикса.

 

мне в стыки приходит 18617+18511+581 префиксов. Я не прадставляю как уместить это все в policy access-list acl-directions-in.

 

Возможности указать Neighbor в access-list нет. Только сети. Как выйти из ситуации?

Изменено 11 марта, 2016 пользователем loschikatilos

[zhenya`]

Проматчить по dscp?

[loschikatilos]

Честно не вижу связки qos и моей задачи.

[zhenya`]

Красите пиринговый трафик определённым дсцп. А потом в аксес листе матч по нему. Выйдет конечно только входящий так покрасить. Но все лучше чем ничего.

[yakucca]

На se600 возникла проблема, в логах сыпется следующее:

Mar 14 15:42:37: %PPAFWD-3-PAKIO_ERR: e6344ccf/0022045264/901600000:04/EPPA/EU00:Failed to allocate counter for adjcency 0x991b24 circuit 4/1:511:63:31/6/2/259916 - 0008918c 000f849e 000f429c 000f426c 00000000

Mar 14 15:44:23: %PPAIP-3-ARP_ERR: b655c11a/0009611819/945900000:06/EPPA/EU00:Unable to create link-local interface adjacency for circuit 6/1:511:63:31/6/2/207784 - 0008918c 000f8568 00088ce0 0013b238 000519e8 000a606a 000a42ae 000f6d8 000a021c 000a3b50 000f429c 000f426c! 

 

На портах настроено:

 dot1q pvc 511 encapsulation 1qtunnel
 dot1q pvc explicit 511:3000 through 3384 profile DOT1Q encapsulation multi
  bind interface INT-NAME CONTEXT-NAME
  circuit protocol pppoe
   bind authentication chap pap context pppoe maximum 8000

 

Версия SEOS 12.1.1.9

 

Подскажите, куда копать?

[loschikatilos]

Я правильно все сделал?

 

 

!

dot1q pvc 234

bind interface vlan234 local

qos policy policing inbound-rtk-peering

!

 

!

qos policy inbound-rtk-peering policing

mark dscp cs4

!

!

qos policy rate-10Mbps-in policing

ip access-group dscp-rtk local

class cls-PEERING

rate 40960 burst 5120000

class cls-INET

rate 10240 burst 1280000 excess-burst 1920000

rate-calculation exclude layer-2-overhead

!

qos policy rate-10Mbps-out metering

ip access-group dscp-rtk local

class cls-PEERING

rate 40960 burst 5120000

class cls-INET

rate 10240 burst 1280000 excess-burst 1920000

rate-calculation exclude layer-2-overhead

!

 

!

policy access-list dscp-rtk

seq 10 permit ip any any dscp eq cs4 class cls-PEERING

seq 20 permit ip any any class cls-INET

!

 

Особого прироста трафика пока не заметил. Поглядим что в ЧНН будет.

[Butch3r]

А вы его шибко и не увидите.

Лучше попробуйте дать народу побольше скорости - будете приятно удивлены на сколько увеличится трафик.

[loschikatilos]

В логах вижу:

 

Mar 17 01:02:09: %QOS-4-WARN: Config event (0x10010001) ckt binding requeued 900 times reason: [rate-256Kbps-in] Policy-Map to be removed, don't use

Mar 17 01:02:10: %QOS-4-WARN: Config event (0x10010001) ckt binding requeued 950 times reason: [rate-256Kbps-in] Policy-Map to be removed, don't use

Mar 17 01:02:11: %QOS-3-ERR: Requeue count exceeded 1000 for config event (0x10010001) ckt binding, event dropped reason: [rate-256Kbps-in] Policy-Map to be removed, don't use

 

в профиле:

 

!

qos policy rate-256Kbps-in policing

rate 256 burst 32000

!

 

[local]bsr5.prm1#sh qos policy

Policy-Name Type Grid Qs Slots Ports Bound DnLd Status

 

rate-256Kbps-in police 20 0 1 1 in y del

[iValera]

Вопрос по NAT.

Тестируем сейчас Redback как чисто натилку, но столкнулись со следующим:

Paired-mode недоступен для статических интерфейсов:

 

ip nat pool NAT-2 napt paired-mode logging
 logging-profile NAT-LOG-PROFILE1
 address 1.1.1.1/24
  exclude well-known

policy access-list NAT-ACL
 seq 10 permit ip 10.5.0.0 0.0.0.255 class NAT

nat policy NAT-2 enhanced
 connections tcp maximum 2000
 connections udp maximum 1000
 connections icmp maximum 10
! Default class
 ignore
 inbound-refresh udp
 icmp-notification
! Named classes
 access-group NAT-ACL
  class NAT-2
   pool NAT-2 local
   timeout tcp 1800
   timeout udp 60
   timeout fin-reset 60
   timeout icmp 30
   timeout syn 60
   timeout abandoned 3600
   inbound-refresh udp
   icmp-notification
!

Добавляем на интерфейс NAT:

 interface vlan3026
 ! bound to 2/1 vlan-id 3026 circuit
 ip address 10.4.3.1/24

[local]NAT-R1(config-if)#ip nat NAT-2
% static interfaces not supported for paired policies

 

Это действительно так? Насколько критично использовать multibind? Возможности выдавать каждому пользователю полиси с нужным пулом нет, т.к. это не брас, а строго натилка. Смущает что на одного пользователя могут быть трансляции в два IP адреса, с последующими проблемами.

Version SEOS-12.1.1.7p3-Release System Bootstrap version is Mips,rev2.0.2.69 Installed minikernel version is 11.7

[zstas]

все фишки cgnat поддерживаются только на сабскрайберах. на интерфейсах только классические napt полиси можно вешать.

у вас брас где? можно сделать в теории л3 коннектед сабскрайберов, если брас ниже стоит. тогда это решит ваш вопрос. но там есть свои нюансы.

[iValera]

все фишки cgnat поддерживаются только на сабскрайберах. на интерфейсах только классические napt полиси можно вешать.

у вас брас где? можно сделать в теории л3 коннектед сабскрайберов, если брас ниже стоит. тогда это решит ваш вопрос. но там есть свои нюансы.

Предполагается что абонентов, которых необходимо натить, с помощью PBR отправляются на NAT. В итоге получаем обычный интерфейс, на котором необходимо запустить трансляцию.

Что даёт нам плавающий внешний ip адрес для абонента. На сколько это критично для абонентов, вынужден ли был кто-то отказаться от данной схемы?

 

Как решение вопроса вижу это выделение пула из 1 внешнего ip на /27 маску для серых.

 

Можно поподробнее про л3 коннектед?