bike Опубликовано 7 апреля, 2016 · Жалоба ЧТо за раздел? Закрытый форум для счастливых обладателей оборудования Ericsson SmartEdge. Напишите в Наг для получения доступа. Ответил Вам в ЛС. П.С. Удалённое ковыряние в FireWall к дальней дороге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 апреля, 2016 · Жалоба сели ничего не путаю, то acl описывается тоже не ip access, а что-то типа Ip admin access Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 8 апреля, 2016 · Жалоба loschikatilos, выносите сервисы в другие контекты, а управление оставляйте в контексте local. в остальных контекстах отключайте ssh,telnet,ftp и тд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 8 апреля, 2016 · Жалоба loschikatilos, выносите сервисы в другие контекты, а управление оставляйте в контексте local. в остальных контекстах отключайте ssh,telnet,ftp и тд. Да так и придется сделать. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 8 апреля, 2016 · Жалоба Закрытый форум для счастливых обладателей оборудования Ericsson SmartEdge. Напишите в Наг для получения доступа. Не дает НАГ доступ даже при условии покупки поддержки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SNR Опубликовано 8 апреля, 2016 · Жалоба Не дает НАГ доступ даже при условии покупки поддержки. Мсье уверен? Ни одного запроса от tau [at] golos.info на smartedge [at] nag.ru не было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 8 апреля, 2016 · Жалоба Мсье уверен? Ни одного запроса от tau [at] golos.info на smartedge [at] nag.ru не было Вопрос с предоставлением доступа решался с менеджерами НАГ. К вопросу был подключен сам "технический директор", но результат был неутешителен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avn34 Опубликовано 2 мая, 2016 · Жалоба Господа требуется помощь se100, не могу побороть NAT Делал по "Ericsson (RedBack) SE100 в качестве пограничного маршрутизатора и NAT сервера" Причем при первом включении нат заработал, но потом как то тихо умер(конфиг не трогали). Подумали, что не сохранили конфигурацию и она сама откатилась назад... Больше нат так и не заработал. Я дошел до примитивной конфигурации из документации - не работают примеры. от провайдера получаем сеть/24 ip, маршрутизация статическая. Подскажите как проверить работоспособность нат или помогите с конфигурацией. Текущий конфиг: context BRAS ! no ip domain-lookup ! ip nat pool pool1 napt multibind address x.x.x.2/32 ! nat policy nat-policy ! Default class drop icmp-notification ! Named classes access-group NAT-ACL class NAT pool pool1 BRAS inbound-refresh udp icmp-notification ! interface LAN multibind description BRAS LAN GW ip address 192.168.8.1/24 dhcp server interface ip arp proxy-arp ip nat nat-policy ! interface WAN ip address x.x.x.1/24 no logging console ! policy access-list NAT-ACL seq 10 permit ip 192.168.8.0 0.0.0.255 class NAT ! ip route 0.0.0.0/0 x.x.x.254 no service ssh server ! dhcp server policy nak-on-subnet-deletion option subnet-mask 255.255.255.0 offer-lease-time 300 default-lease-time 43200 maximum-lease-time 43200 subnet 192.168.8.0/24 range 192.168.8.16 192.168.8.224 option subnet-mask 255.255.255.0 option router 192.168.8.1 ! ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 мая, 2016 · Жалоба Сеть на внешнем интерфейсе не должна пересекаться с нат пулом. У вас там в конфиге иксы, но подозреваю, что в /24 входит ip для nat-а, так нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avn34 Опубликовано 3 мая, 2016 · Жалоба Спасибо за реакцию. Сеть на внешнем интерфейсе не должна пересекаться с нат пулом. У вас там в конфиге иксы, но подозреваю, что в /24 входит ip для nat-а, так нельзя. Хорошо, у меня сеть от провайдера 185.78.130.0/24, gw 185.78.130.254. Подскажите, что мне написать в конфиге. Я уже 3-й день экспериментирую и отупел и очумел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avn34 Опубликовано 3 мая, 2016 · Жалоба Основная неприятность заключается в том, что нат работал. Он легко сконфигурировался, согласно примеров. Пока мы все оравой запускали speedtest на клиентской машине, он потихоньку умер... на момент смерти конфиги не трогали минут 15-20. Основной вопрос, который все чаще звучит в офисе, это - "Как проверить работоспособность ната?". Можете ли предложить 100% рабочий конфиг с натом? Мне нужно показать/понять работоспособность или неработоспособнось железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 3 мая, 2016 · Жалоба Вам нужно сделать адрес маршрутизируемым, если нет другого девайса выше, то делайте два контекста, в одном аплинк, в другом нат. Суть такая, вы должны иметь стыковочный адрес из одной подсети и маршрутизировать на него сеть для нат-а. По поводу 100% конфига с обычным натом - легко, бросаю праздновать, еду в офис, делаю тестовый контекст; сколько платите?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avn34 Опубликовано 6 мая, 2016 · Жалоба Добрый день. Мне разрешили отправить 3 сообщения! to vurd: Я создал ticket в nage. Уже пошел 3-й день без каких-либо действий. Я беспокоюсь о работоспособности железки в целом. Вдруг, она сломалась, а я, в силу нехватки опыта, не могу неисправность выявить и стучусь в "закрытую дверь". Настораживает то, что тестовые примеры из документации тоже не работают. Опять же, я своими глазами видел, что железка натила минут 15-20, а потом просто перестала, и ВСЁ ( Может есть какой-нибудь тестовый конфиг, исключительно для проверки работоспособности ната? Я не прошу конфигурировать девайс. Я прошу помочь мне понять, рабочая она или нет! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 6 мая, 2016 · Жалоба avn34, вам на WAN интерфейсе нужно адрес из другой подсети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSR Опубликовано 7 мая, 2016 · Жалоба Добрый день. Мне разрешили отправить 3 сообщения! to vurd: Я создал ticket в nage. Уже пошел 3-й день без каких-либо действий. Я беспокоюсь о работоспособности железки в целом. Вдруг, она сломалась, а я, в силу нехватки опыта, не могу неисправность выявить и стучусь в "закрытую дверь". Настораживает то, что тестовые примеры из документации тоже не работают. Опять же, я своими глазами видел, что железка натила минут 15-20, а потом просто перестала, и ВСЁ ( Может есть какой-нибудь тестовый конфиг, исключительно для проверки работоспособности ната? Я не прошу конфигурировать девайс. Я прошу помочь мне понять, рабочая она или нет! Если железка не рабочая, то в консоли должны быть сообщения, например о падении eth интерфейсов. Посмотрите sh log ну или просто в консоль, в тот момент когда "мы все оравой запускали speedtest". Бывало кстати, что железка с падающими eth интерфейсами, оживала после апгрейда софта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 7 мая, 2016 · Жалоба У него просто неправильно настроено, уже 4 раза покпзали в чем причина. /32 на нат входит в /24 на wan, так нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bllack Опубликовано 13 мая, 2016 · Жалоба Здравствуйте, хотела бы обратиться за помощью в настройке зарезания скорости на редбеке SE600. Вторые сутки ломаю голову и уже кончились идеи - как еще это можно сделать. По порядку: Передаю с радиуса атрибут: Sub-Profile-Name = “TEST” RedBack его корректно жрет: ac:3c:0b:74:65:1b Session state Up Circuit 2/1 vlan-id 372 clips 281449 Internal Circuit 2/1:511:63:31/7/2/19305 Interface bound MAIN Current port-limit unlimited Protocol Stack IPV4 context-name CLIPS (applied) dhcp max-addrs 1 (applied) profile TEST (applied) dhcp option client id <AC><^KteESC (applied) dhcp option hostname 0x0c0469506164 (applied) ... config SE: Вариант 1 subscriber profile TEST qos policy policing 2-IN qos policy metering 2-OUT dhcp max-addrs 5 qos policy 2-OUT metering rate 2000 burst 250000 excess-burst 375000 qos policy 2-IN policing rate 2000 burst 250000 excess-burst 375000 ac:3c:0b:74:65:1b Session state Up Circuit 2/1 vlan-id 372 clips 281167 Internal Circuit 2/1:511:63:31/7/2/19023 Interface bound MAIN Current port-limit unlimited Protocol Stack IPV4 context-name CLIPS (applied) dhcp max-addrs 1 (applied) profile TEST (applied) dhcp option client id <AC><^KteESC (applied) dhcp option hostname 0x0c0469506164 (applied) qos-policing-policy 2-IN (applied from sub_profile) qos-metering-policy 2-OUT (applied from sub_profile) IP host entries installed by DHCP: (max_addr 1 cur_entries 1) 192.168.8.108 ac:3c:0b:74:65:1b При этом скорость Высылания режется четко до 2мб, а скорость Получение - НЕ режется =) (40-45мб) Вариант 2 subscriber profile TEST qos policy policing 2-IN qos policy metering OOUUTT dhcp max-addrs 5 qos policy 2-IN policing rate 2000 burst 250000 excess-burst 375000 qos policy OOUUTT metering ip access-group ABON-OUT CLIPS class INET rate 64 burst 12000 policy access-list ABON-OUT seq 10 permit ip any any class INET ac:3c:0b:74:65:1b Session state Up Circuit 2/1 vlan-id 372 clips 281167 Internal Circuit 2/1:511:63:31/7/2/19023 Interface bound MAIN Current port-limit unlimited Protocol Stack IPV4 context-name CLIPS (applied) dhcp max-addrs 1 (applied) profile TEST (applied) dhcp option client id <AC><^KteESC (applied) dhcp option hostname 0x0c0469506164 (applied) qos-policing-policy 2-IN (applied from sub_profile) qos-metering-policy OOUUTT (applied from sub_profile) IP host entries installed by DHCP: (max_addr 1 cur_entries 1) 192.168.8.109 ac:3c:0b:74:65:1b скорость Высылания режется до 2мб, а скорость Получение снова НЕ режется.. (40-45мб) Вариант 3 subscriber profile TEST qos policy queuing example5 dhcp max-addrs 5 qos policy example5 mdrr rate 2000 burst 250000 num-queues 4 queue 0 weight 50 queue 1 weight 30 queue 2 weight 10 queue 3 weight 10 qos queue-map default num-queues 4 queue 0 priority 0 queue 1 priority 1 2 queue 2 priority 3 4 5 6 queue 3 priority 7 ac:3c:0b:74:65:1b Session state Up Circuit 2/1 vlan-id 372 clips 281449 Internal Circuit 2/1:511:63:31/7/2/19305 Interface bound MAIN Current port-limit unlimited Protocol Stack IPV4 context-name CLIPS (applied) dhcp max-addrs 1 (applied) profile TEST (applied) dhcp option client id <AC><^KteESC (applied) dhcp option hostname 0x0c0469506164 (applied) qos-queuing-policy example5 (applied from sub_profile) IP host entries installed by DHCP: (max_addr 1 cur_entries 1) 192.168.8.120 ac:3c:0b:74:65:1b скорость не режется вооообще 0_о Либо лыжи не едут, либо я, как известно =) Подскажите, что я делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 мая, 2016 · Жалоба qos-policing-policy shaper-out-30Mbit (applied from sub_profile) qos-metering-policy shaper-in-30Mbit (applied from sub_profile) Полисинг - аут, метеринг - ин (судя по моему выводу) У вас точно нет маршрута на абонента мимо брас-а? Запустите трассировку в мир и из мира, мало ли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bllack Опубликовано 16 мая, 2016 · Жалоба qos-policing-policy shaper-out-30Mbit (applied from sub_profile) qos-metering-policy shaper-in-30Mbit (applied from sub_profile) Полисинг - аут, метеринг - ин (судя по моему выводу) У вас точно нет маршрута на абонента мимо брас-а? Запустите трассировку в мир и из мира, мало ли. Нет, клиент идет только через брас. Когда не получает клипс - не имеет доступа до инета, трейс от клиента: freetrace to 8.8.8.8, 64 hops max, 52 byte packets 1 - 192.168.8.1 <- Router redback (CLIPS default gateway ) 2 - 192.168.8.70 <- Клиент CLIPS 3 - 10.3.37.1 <- Офисный свитч 4 - host-80-238-114-209.jmdi.pl (80.238.114.209) <- Аггрегация 5 - host-80-238-114-181.jmdi.pl (80.238.114.181) <- Router BGP 6 - google.thinx.pl (212.91.0.250) 7 - 66.249.95.13 8 - 216.239.57.240 9 - 66.249.95.39 10 - 74.125.37.103 11 - 209.85.248.101 12 ******************** Request timeout 13 - 8.8.8.8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 мая, 2016 · Жалоба Ну что значит "не имеет доступа до инета". Понятно нет, если вы ему исходящий блокируете. Я вас просил трассировку в оба направления, от клиента и к клиенту. Или он за нат-ом и на брасе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bllack Опубликовано 16 мая, 2016 · Жалоба Ну что значит "не имеет доступа до инета". Понятно нет, если вы ему исходящий блокируете. Я вас просил трассировку в оба направления, от клиента и к клиенту. Или он за нат-ом и на брасе? К сожалению, клиенты 2 раза натованы..) сначала до офисной сети 10.х.х.х, а потом уже в клипс 192.168.х, потому что иначе NAT на BRASе не работал) Трассировка от клиента до клиента - выглядит как один хоп. А самое неприятное, что зарезание скорости на брасе не работало еще до конфигурации ната и клипса... скорее всего наткнулись на какой-то баг ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 29 июня, 2016 · Жалоба iValera, можно конеш поднять фрирадиус, который бы всем давал добро. но это как костыльный вариант. Ну посмотрим, он ругается что "Cannot populate dynamic attribute for subscriber 10.5.0.5". Ему не хватает ипа в subscriber default. Не уверен взлетит или нет, но можно так попробовать. На multibind интерфейсе пропишите: ip pool 10.5.0.0/16 name pool1 На subscriber default ip address pool name pool1 И аутентификацию none. Если не взлетит сразу дебаг приложите. Данный конфиг взлетел. Но теперь вопрос, а что если у меня два пула, а в subscriber default мы можем прописать только один пул, как тут правильнее поступить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 29 июня, 2016 · Жалоба iValera, они равнозначны? можно так попробовать ip pool 10.5.0.0/16 name pool1 ip pool 10.6.0.0/16 name pool1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 29 июня, 2016 (изменено) · Жалоба iValera, они равнозначны? можно так попробовать ip pool 10.5.0.0/16 name pool1 ip pool 10.6.0.0/16 name pool1 interface CLIPS multibind ip address 10.5.0.2/16 ip pool 10.5.0.0/16 name pool-clips-1 [local]R3-NAT(config-if)#ip address 10.6.0.2/16 secondary [local]R3-NAT(config-if)#ip pool 10.6.0.0/16 name pool-clips-1 % AAAMGR: IP pool is not within the range of primary IP address prefix. Создать интерфейс с 14,15 масками redback не даёт. Но даже без /16 не дает: [local]R3-NAT(config-if)#ip pool 10.12.0.0/24 name pool1 [local]R3-NAT(config-if)#ip pool 10.12.1.0/24 name pool1 % AAAMGR: Ip pool overlap with other pool in this interface. Получается остается радиус? Изменено 29 июня, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 29 июня, 2016 · Жалоба а оба пула у вас в одной влан живут? может просто размазать по разным интерфейсам и вланам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...