loschikatilos Опубликовано 16 февраля, 2016 · Жалоба Клиентский L2 сегмент (кольцо на STP) подключен двумя коммутаторами в порты 2/3 и 2/4. Коммутаторы были установлены для резервирования разных веток кольца. Хотелось бы зарезервировать клиентские pppoe вланы примерно след образом: port ethernet 2/3 no shutdown encapsulation dot1q dot1q pvc 1100 encapsulation pppoe bind authentication chap pap context local maximum 1000 port ethernet 2/4 no shutdown encapsulation dot1q dot1q pvc 1100 encapsulation pppoe bind authentication chap pap context local maximum 1000 Не запетлит ли меня при таком раскладе? Сейчас в 2/3 и 2/4 разные vlan. Или спрошу проще не станет ли Se100 коммутировать пакеты между своими портами и если не станет существует ли возможность это включить? (Дабы потом случайно не нарваться на грабли) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 февраля, 2016 · Жалоба не запетлит, эриксон это же не свитч Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 февраля, 2016 · Жалоба вы хотите замкнуть l2 кольцо через se100? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 16 февраля, 2016 · Жалоба ну не только у них. В классическом ip unnumbered от cisco ровно также, пока не появится dhcp-сессия, либо не пропишешь статично ip-адрес в vlan-интерфейс. то, что нужно вам называется private vlan / super vlan (генерируется только arp, сколько vlan). есть у dlink и extreme. Все верно вы пишите, это у меня каша в голове от разных реализаций смежных технологий у разных вендоров. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 16 февраля, 2016 · Жалоба вы хотите замкнуть l2 кольцо через se100? нет кольцо замыкать не хочу. Пусть своей жизнью живет. Интересуюсь в том разрезе, что если есть такая возможность, как это реализовать дабы в будущем случайно не нарваться на грабли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 16 февраля, 2016 · Жалоба loschikatilos, замкнуть L2 в эриксоне можно только через bridge или xconnect, так что вряд ли вы нарвётесь на эти грабли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 17 февраля, 2016 · Жалоба admin-access-group acl in ограничивает доступ к control plane для каждого контекста отдельно откройте уже документацию ip access-list trusted.hosts ssh-and-telnet-acl seq 10 permit ip host 192.168.156.65 seq 11 deny tcp any any seq 100 permit ip any any ! admin-access-group ssh-and-telnet-acl in ! Этого будет достаточно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 17 февраля, 2016 · Жалоба Этого будет достаточно? да, если нужно запретить именно telnet, также неплохо было бы прикрыть snmp и остальное (ssh, ftp и проч), что запущено из средств доступа, чтобы не видеть лишних записей в логах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaval1976 Опубликовано 19 февраля, 2016 · Жалоба Здравствуйте, прошу объяснить тупому. Пытаюсь настроить VPLS на SE600: делаю по инструкции: bridge profile test description Test_VPLS trunk broadcast rate-limit 100 burst 19200 multicast rate-limit 100 burst 19200 vpls profile test_vpls neighbor xxx.xxx.xxx.xxx pw-encap vlan bridge-profile test bridge local_vpls_1 description Test_VPLS_940 vpls pw-name vpls profile test_vpls pw-id 9400940 Собственно вопрос, как это все "прикрутить" к интерфейсу да и еще с поддержкой dot1q? P.S. Пытался делать так: port ethernet 3/2 encapsulation dot1q dot1q pvc 990 bridge profile test Потом нашел в документе, что вроде как необходимо делать через port pseudowire, но в настройках порта нет возможности ввести имя профиля VPLS? Вобщем не работает. Прошу помощи. Используемая версия ПО SEOS-12.1.1.10p2-Release. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 20 февраля, 2016 · Жалоба В одном L2 сегменте есть 3 cisco 7301 и 1 SE100. pppoe vlan-ы одинаковые на всех коробках. нагрузка распределяется по принципу кто первый того и сессия. В итоге нагрузка очень не равномерна. На цисках по 500 сессий на se 120. Процессоры цисок загружены под 60-70. Se отдыхает. ЧЯДНТ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 20 февраля, 2016 · Жалоба loschikatilos, на цисках можно задержку на pado пакеты поставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 10 марта, 2016 · Жалоба Cacti не рисует трафик на саб интерфейсах. конф SNMP: snmp server traps ifmib encaps snmp view monitor internet included snmp view monitor system included snmp view monitor interfaces included snmp view monitor snmp included snmp view monitor bgp included snmp view monitor ifMIB included snmp view monitor redBackNetworks included snmp view monitor ifEntry included snmp view monitor snmpEngine included snmp view monitor ifXEntry included snmp view Inet-View internet included snmp view Inet-View ifMIB included snmp community тратата view Inet-View snmp target NM-Station1 192.168.156.232 security-name тратата version 2c view Inet-View В кактусе все стандартно. Физические интерфейсы рисует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 10 марта, 2016 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=692130 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 11 марта, 2016 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=692130 Благодарю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 11 марта, 2016 (изменено) · Жалоба Задача увеличить скорость до пиринговых стыков в два раза от основного тарифа. С этим все понятно есть мануал: ! policy access-list acl-directions-in seq 10 permit ip any 10.193.0.0 0.0.255.255 class cls-LOCAL seq 20 permit ip any 155.53.0.0 0.0.255.255 class cls-LOCAL seq 30 permit ip any any class cls-INET ! policy access-list acl-directions-out seq 10 permit ip 10.193.0.0 0.0.255.255 any class cls-LOCAL seq 20 permit ip 155.53.0.0 0.0.255.255 any class cls-LOCAL seq 30 permit ip any any class cls-INET ! qos policy 2M-50M-in policing access-group acl-directions-in local class cls-LOCAL rate 50000 burst 6250000 class cls-INET rate 2000 burst 250000 ! qos policy 2M-50M-out metering access-group acl-directions-out local class cls-LOCAL rate 50000 burst 6250000 class cls-INET rate 2000 burst 250000 ! ------------------------------ В примере 2х префикса. мне в стыки приходит 18617+18511+581 префиксов. Я не прадставляю как уместить это все в policy access-list acl-directions-in. Возможности указать Neighbor в access-list нет. Только сети. Как выйти из ситуации? Изменено 11 марта, 2016 пользователем loschikatilos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 марта, 2016 · Жалоба Проматчить по dscp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 13 марта, 2016 · Жалоба Честно не вижу связки qos и моей задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 марта, 2016 · Жалоба Красите пиринговый трафик определённым дсцп. А потом в аксес листе матч по нему. Выйдет конечно только входящий так покрасить. Но все лучше чем ничего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakucca Опубликовано 14 марта, 2016 · Жалоба На se600 возникла проблема, в логах сыпется следующее: Mar 14 15:42:37: %PPAFWD-3-PAKIO_ERR: e6344ccf/0022045264/901600000:04/EPPA/EU00:Failed to allocate counter for adjcency 0x991b24 circuit 4/1:511:63:31/6/2/259916 - 0008918c 000f849e 000f429c 000f426c 00000000 Mar 14 15:44:23: %PPAIP-3-ARP_ERR: b655c11a/0009611819/945900000:06/EPPA/EU00:Unable to create link-local interface adjacency for circuit 6/1:511:63:31/6/2/207784 - 0008918c 000f8568 00088ce0 0013b238 000519e8 000a606a 000a42ae 000f6d8 000a021c 000a3b50 000f429c 000f426c! На портах настроено: dot1q pvc 511 encapsulation 1qtunnel dot1q pvc explicit 511:3000 through 3384 profile DOT1Q encapsulation multi bind interface INT-NAME CONTEXT-NAME circuit protocol pppoe bind authentication chap pap context pppoe maximum 8000 Версия SEOS 12.1.1.9 Подскажите, куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 16 марта, 2016 · Жалоба Я правильно все сделал? ! dot1q pvc 234 bind interface vlan234 local qos policy policing inbound-rtk-peering ! ! qos policy inbound-rtk-peering policing mark dscp cs4 ! ! qos policy rate-10Mbps-in policing ip access-group dscp-rtk local class cls-PEERING rate 40960 burst 5120000 class cls-INET rate 10240 burst 1280000 excess-burst 1920000 rate-calculation exclude layer-2-overhead ! qos policy rate-10Mbps-out metering ip access-group dscp-rtk local class cls-PEERING rate 40960 burst 5120000 class cls-INET rate 10240 burst 1280000 excess-burst 1920000 rate-calculation exclude layer-2-overhead ! ! policy access-list dscp-rtk seq 10 permit ip any any dscp eq cs4 class cls-PEERING seq 20 permit ip any any class cls-INET ! Особого прироста трафика пока не заметил. Поглядим что в ЧНН будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 16 марта, 2016 · Жалоба А вы его шибко и не увидите. Лучше попробуйте дать народу побольше скорости - будете приятно удивлены на сколько увеличится трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 17 марта, 2016 · Жалоба В логах вижу: Mar 17 01:02:09: %QOS-4-WARN: Config event (0x10010001) ckt binding requeued 900 times reason: [rate-256Kbps-in] Policy-Map to be removed, don't use Mar 17 01:02:10: %QOS-4-WARN: Config event (0x10010001) ckt binding requeued 950 times reason: [rate-256Kbps-in] Policy-Map to be removed, don't use Mar 17 01:02:11: %QOS-3-ERR: Requeue count exceeded 1000 for config event (0x10010001) ckt binding, event dropped reason: [rate-256Kbps-in] Policy-Map to be removed, don't use в профиле: ! qos policy rate-256Kbps-in policing rate 256 burst 32000 ! [local]bsr5.prm1#sh qos policy Policy-Name Type Grid Qs Slots Ports Bound DnLd Status rate-256Kbps-in police 20 0 1 1 in y del Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 31 марта, 2016 · Жалоба Вопрос по NAT. Тестируем сейчас Redback как чисто натилку, но столкнулись со следующим: Paired-mode недоступен для статических интерфейсов: ip nat pool NAT-2 napt paired-mode logging logging-profile NAT-LOG-PROFILE1 address 1.1.1.1/24 exclude well-known policy access-list NAT-ACL seq 10 permit ip 10.5.0.0 0.0.0.255 class NAT nat policy NAT-2 enhanced connections tcp maximum 2000 connections udp maximum 1000 connections icmp maximum 10 ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAT-ACL class NAT-2 pool NAT-2 local timeout tcp 1800 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 timeout abandoned 3600 inbound-refresh udp icmp-notification ! Добавляем на интерфейс NAT: interface vlan3026 ! bound to 2/1 vlan-id 3026 circuit ip address 10.4.3.1/24 [local]NAT-R1(config-if)#ip nat NAT-2 % static interfaces not supported for paired policies Это действительно так? Насколько критично использовать multibind? Возможности выдавать каждому пользователю полиси с нужным пулом нет, т.к. это не брас, а строго натилка. Смущает что на одного пользователя могут быть трансляции в два IP адреса, с последующими проблемами. Version SEOS-12.1.1.7p3-Release System Bootstrap version is Mips,rev2.0.2.69 Installed minikernel version is 11.7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 1 апреля, 2016 · Жалоба все фишки cgnat поддерживаются только на сабскрайберах. на интерфейсах только классические napt полиси можно вешать. у вас брас где? можно сделать в теории л3 коннектед сабскрайберов, если брас ниже стоит. тогда это решит ваш вопрос. но там есть свои нюансы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 1 апреля, 2016 · Жалоба все фишки cgnat поддерживаются только на сабскрайберах. на интерфейсах только классические napt полиси можно вешать. у вас брас где? можно сделать в теории л3 коннектед сабскрайберов, если брас ниже стоит. тогда это решит ваш вопрос. но там есть свои нюансы. Предполагается что абонентов, которых необходимо натить, с помощью PBR отправляются на NAT. В итоге получаем обычный интерфейс, на котором необходимо запустить трансляцию. Что даёт нам плавающий внешний ip адрес для абонента. На сколько это критично для абонентов, вынужден ли был кто-то отказаться от данной схемы? Как решение вопроса вижу это выделение пула из 1 внешнего ip на /27 маску для серых. Можно поподробнее про л3 коннектед? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...