Tau Опубликовано 9 февраля, 2017 (изменено) · Жалоба Какая-то нездоровая ситуация с количеством использованных IP в пуле: [subscribers]SE100#show ip pool Interface "unnumbered1": 195.хх.уу.0 /24 pool1 -476 in use, 171 free, 561 reserved Interface "unnumberedz": 169.254.0.0 /16 poolz 0 in use, 65535 free, 1 reserved [subscribers]SE100# Баланс, конечно, сходится: -476 + 171 + 561 = 256 адресов (/24-маска на интерфейсе), но что-то явно не так с освобождением адресов. Реальных сессий 82, 3 адреса в резерве (0,255, адрес на multibind-интерфейсе), так что реальное значение использованных (in use) адресов - 85. Количество свободных (free) указано верно - 171. Схема у нас "NON-DHCP CLIPS L2 CONNECTED", адреса у клиентов статические, и учет адресов в ip pool-е вестись не должен. Меня бы это не беспокоило, если бы не ошибки вида: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip 195.хх.уу.zz since ip is already used из-за которых абоненты не могут воспользоваться своим статическим IP-адресом. Может, кто подскажет что можно сделать с IP-пулом, чтобы реальное значение использованных и зарезервированных адресов соответствовало действительности, и не возникало конфликтов IP-адресов внутри SE100? Изменено 9 февраля, 2017 пользователем Tau Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROConnect Опубликовано 10 февраля, 2017 (изменено) · Жалоба zstas Спасибо заработало! Не мог отписаться ранее из за ограничений количества сообщения на форуме. Подскажите пожалуйста что еще ему не хватает что бы интернет появился? Шас авторизация проходит, ip адреса выдаются. Для примера когда подключаюсь получаю: Описание: Высокоскоростное подключение (PPPoE) Физический адрес: DHCP включен: Нет Адрес IPv4: 10.172.0.252 Маска подсети IPv4: 255.255.255.255 Шлюз по умолчанию IPv4: DNS-серверы IPv4: 8.8.8.8, 8.8.4.4 WINS-сервер IPv4 : Служба NetBIOS через TCP/IP включена: Нет Основной шлюз При пинге: Обмен пакетами с 8.8.4.4 по с 32 байтами данных: Ответ от 10.172.0.254: Заданная сеть недоступна. Ответ от 10.172.0.254: Заданная сеть недоступна. Конфиг SE100: context local domain Internet advertise domain telecom24.local ! no ip domain-lookup ! interface Internet ip address 10.172.1.2/24 ! interface lpbk loopback ip address 10.172.0.254/32 ! interface mgmt ip address 192.168.180.17/24 ip source-address radius ! interface ppp multibind lastresort ip unnumbered lpbk ! interface pppoe multibind ip unnumbered lpbk logging console ! aaa authentication administrator local aaa authentication subscriber radius aaa accounting subscriber radius radius accounting server 192.168.180.9 encrypted-key --- radius coa server 192.168.180.9 encrypted-key --- port 3799 ! radius server 192.168.180.9 encrypted-key --- ! subscriber default ppp mtu 1492 dns primary 8.8.8.8 dns secondary 8.8.4.4 ! ip route 0.0.0.0/0 192.168.180.1 ! ! ! ** End Context ** logging tdm console logging active logging standby short ! port ethernet 1/1 ! XCRP management port on slot 1 no shutdown bind interface mgmt local ! card carrier 2 ! port ethernet 2/1 no shutdown medium-type copper bind interface Internet local ! port ethernet 2/2 no shutdown medium-type copper encapsulation pppoe bind authentication chap pap context local maximum 8000 ! ! ! pppoe services marked-domains pppoe service-name accept-all ! end [local]Redback# Изменено 10 февраля, 2017 пользователем pronet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 февраля, 2017 · Жалоба а nat где? снаружи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROConnect Опубликовано 10 февраля, 2017 · Жалоба 192.168.180.1 - NAT. На сам SE100 тоже есть лицензия NAT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 февраля, 2017 · Жалоба подождите. у вас через mgmt интерфейс выход во внешку чтоли? подключите через обычный порт. на se100 у вас нат не настроен. 192.168.180.1 откуда знает про сеть 10.172.0.0/24? на нём статика прописана? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 10 февраля, 2017 · Жалоба SE100, софт 12.1.1.11. Схема включения Non-dhcp CLIPS L2. SE100 игнорирует широковещательные ARP who-has запросы и не запускает процедуру авторизации. При явном указании MAC-адреса BRAS на абонентском ус-ве процедура авторизации успешно запускается от первого же IP-пакета. Куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 февраля, 2017 · Жалоба Tau, покажите конфиг порта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 10 февраля, 2017 · Жалоба Tau, покажите конфиг порта Тестовый: port ethernet 2/4 no shutdown encapsulation dot1q dot1q pvc 2600 service clips auto-detect direct context subscribers service-policy clips_address_policy ! Рабочий: link-group linkgroup1 access encapsulation dot1q lacp active service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2000 service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2001 service clips auto-detect direct context subscribers service-policy clips_address_policy То есть проблема воспроизводится вне зависимости от порта - что на порту, что на LACP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 февраля, 2017 · Жалоба прибиндите на этих dot1q pvc ваш multibind интерфейс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 10 февраля, 2017 · Жалоба прибиндите на этих dot1q pvc ваш multibind интерфейс Имеете ввиду bind interface unnumbered1 subscribers внутри каждого dot1q pvc ХХХ? Смущает, что, согласно документации, bind используется для Static CLIPS, а у нас совсем не статик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 февраля, 2017 · Жалоба Имеете ввиду bind interface unnumbered1 subscribers внутри каждого dot1q pvc ХХХ? Да. Можно пачкой сделать для кучи dot1q pvc, если указывать их range-м. Смущает, что, согласно документации, bind используется для Static CLIPS, а у нас совсем не статик. Для non-dhcp clips толком документацию не сделали. Static clips немного другое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 13 февраля, 2017 · Жалоба Прошу помощи со следующей проблемой на SE100, SEOS-12.1.1.10-Release. Не получается добавить новый класс в политику NAT. В ACL NAT-acl класс NAT2 добавлен, пул nat-pool-2 добавлен, делаем следующую последобательность команд: nat policy nat-policy enhanced access-group NAT-acl class NAT2 pool nat-pool-2 NATctx в ответ получаем: % not supported combination of commands in a NAT policy/class То есть для class NAT2 пул назначить нельзя почему-то, только drop или ignor разрешены. Что происходит? Почему так? Что я делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 февраля, 2017 · Жалоба судя по всему для enhanced nat policy можно указать только 1 nat pool. если вам по каким-то причинам нужно использовать другой nat pool - то тогда используте другую nat policy (и не забыть отдать её через radius например). а вам для какой цели нужен второй nat pool? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 13 февраля, 2017 · Жалоба судя по всему для enhanced nat policy можно указать только 1 nat pool. если вам по каким-то причинам нужно использовать другой nat pool - то тогда используте другую nat policy (и не забыть отдать её через radius например). а вам для какой цели нужен второй nat pool? Нужен чтобы определённому диапазону серых IP отдать отдельный диапазон белых IP. Печально, если у enhanced nat policy действительно такое ограничение. UPD. Нашёл в мануале строчку: If the paired mode pool is already assigned to a class, then other pools cannot be assigned to the same policy. Можно только один пул на политику повесить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROConnect Опубликовано 13 февраля, 2017 · Жалоба Подскажите пожалуйста чего сейчас не хватает? Сделал доп параметры https://www.lanbilling.ru/block-access И появилась ошибка вида: [local]Redback#debug aaa exception [local]Redback#Feb 14 00:09:11: [0001]: [2/2:511:63:31/6/2/3]: %AAA-7-EXCEPT: aa a_idx 10000004: aaa_mark_attr_status_from_rcm: failed to apply attribute acl on session test Feb 14 00:09:11: [0001]: [2/2:511:63:31/6/2/3]: %AAA-7-EXCEPT: aaa_idx 10000004: aaa_update_attr_apply_status: Failed to apply (RCM) attribute ip access-group o ut for session test bring session DOWN [local]Redback# [local]Redback# [local]Redback#debug aaa exception [local]Redback#Feb 14 00:09:39: [0001]: [2/2:511:63:31/6/2/4]: %AAA-7-EXCEPT: aaa_idx 10000005: aaa_mark_attr_status_from_rcm: failed to apply attribute acl on session test Feb 14 00:09:39: [0001]: [2/2:511:63:31/6/2/4]: %AAA-7-EXCEPT: aaa_idx 10000005: aaa_update_attr_apply_status: Failed to apply (RCM) attribute ip access-group out for session test bring session DOWN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 февраля, 2017 · Жалоба 11 Filter-Id String. Specifies that inbound or outbound traffic be filtered. Use the in:<acl name> format for v4 in acl and out:<acl name> format for v4 out acl. ipv6:in:<acl name> format for v6 in acl and ipv6:out:<acl name> format for v6 out acl. вы какое значение атрибута высылаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROConnect Опубликовано 13 февраля, 2017 · Жалоба При авторизации, включенные пользователи получают Access-Accept, им выдается Filter-Id = "SUCCESS-ATTR-EXAMPLE" При авторизации, блокированные пользователи получают Access-Accept, им выдаются ip из гостевой сети и Filter-Id = "FAILED-ATTR-EXAMPLE" Вот эти атрибуты и отсылаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 февраля, 2017 · Жалоба вам нужно добавить in: я выше приложил цитату из документации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 2 марта, 2017 · Жалоба Коллеги подскажите начали небольшое раследование... Связанное с потерями и ретрансмишенами Проводили следующий тест, если на субскрайбере есть QoS то присутствуют потери. Если QoS снимаем с субскрайбера то все нормально. Как выяснили.. Iperf3 + подавали udp поток с тв каналом(битрейт 3 мбит) и принимали рассыпушки. Тип подключения PPPoE на BRAS от 3000-4000 клиентов. Есть подозрения что уперлись в апаратнные ограничения p.s. netflow нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aks13 Опубликовано 6 марта, 2017 · Жалоба Всем привет! Подскажите, кто сталкивался - есть задача настроить аутентификацию пользователей через TACACS+ с авторизацией и аккаунтингом введенных команд. С аутентификацией и аккаунтингом проблем нет, а вот команда: [local](config-ctx)#aaa authorization commands 10 tacacs+ none в конфиге не сохраняется, т.е. после ввода команды ошибок нет, но в конфиге записи этой не остается, пользовательские команды соответственно не авторизуются. Версия SEOS-11.1.2.9-Release Это глюк ОС или же неправильно настраиваю? По мануалу вроде бы все верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROConnect Опубликовано 15 апреля, 2017 (изменено) · Жалоба Подскажите пожалуйста интернет так и не получается сделать. ! interface Internet ip address 192.168.2.254/24 ! interface mgmt ip address 192.168.128.56/24 ip source-address radius ! interface pppoe multibind ip address 192.168.1.254/24 ! 192.168.2.1 указан как route по умолчанию, на нем развернул для теста NAT. т.е 192.168.2.1 это микротик с натом. Сессия поднимается, клиент получает адрес вида 192.168.1.250 и 256 как GW. tracert 8.8.8.8 Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.1.254 2 * * * Превышен интервал ожидания для запроса. Изменено 16 апреля, 2017 пользователем pronet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DoNetSK Опубликовано 19 апреля, 2017 · Жалоба Сессия поднимается, клиент получает адрес вида 192.168.1.250 и 256 как GW. А как в ип адресе 256 может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 29 апреля, 2017 · Жалоба Коллеги, хочу собрать LAG из 6 портов. Требуется терминация PPPoE с полисингом и маршрутизацией в бэкбон. На счет NAT - вкурсе, нельзя LAG, а как дела обстоят с LAG без NAT? SEOS-11.1.2.8-Release Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 30 апреля, 2017 · Жалоба а как дела обстоят с LAG без NAT? Как то непонятно они обстоят. Балансировка кривая, может один линк нагрузить, а остальные простаивают. Еще при падении порта по какой-либо причине он может потом не подняться - надо ручками выкл/вкл делать. Хотя может я просто не умею их (смартэджи) готовить. Сейчас с ними по принципу "работает - не трожь". Попозже хочу их вывести из эксплуатации совсем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 1 мая, 2017 (изменено) · Жалоба Как то непонятно они обстоят. Балансировка кривая, может один линк нагрузить, а остальные простаивают. Она не то что бы кривая, она странная, как и вся идеология LAG на SE. На access-lag входящий трафик принимается по любому порту, а исходящий отправляется туда, куда приколочен circuit subscriber'а. А он в свою очередь биндится на тот порт, куда прилетел пакет-инициатор сессии. Вроде агрегация и есть, но она такая странная что ее почти нет. Проще руками по отдельным портам вланы раскидать. На ether/dot1q lag таких приколов нет, там свои приколы, вроде невозможности использовать netflow или xc. Изменено 1 мая, 2017 пользователем nwur Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...