[Tau]

Какая-то нездоровая ситуация с количеством использованных IP в пуле:

[subscribers]SE100#show ip pool

Interface "unnumbered1":
 195.хх.уу.0      /24             pool1      -476 in use, 171 free, 561 reserved

Interface "unnumberedz":
 169.254.0.0     /16              poolz        0 in use, 65535 free,   1 reserved
[subscribers]SE100#

 

Баланс, конечно, сходится: -476 + 171 + 561 = 256 адресов (/24-маска на интерфейсе), но что-то явно не так с освобождением адресов.

Реальных сессий 82, 3 адреса в резерве (0,255, адрес на multibind-интерфейсе), так что реальное значение использованных (in use) адресов - 85.

Количество свободных (free) указано верно - 171.

 

Схема у нас "NON-DHCP CLIPS L2 CONNECTED", адреса у клиентов статические, и учет адресов в ip pool-е вестись не должен.

 

Меня бы это не беспокоило, если бы не ошибки вида:

%AAA-3-ERR: aaa_reserve_ip, cannot reserve ip 195.хх.уу.zz since ip is already used

из-за которых абоненты не могут воспользоваться своим статическим IP-адресом.

 

Может, кто подскажет что можно сделать с IP-пулом, чтобы реальное значение использованных и зарезервированных адресов соответствовало действительности, и не возникало конфликтов IP-адресов внутри SE100?

Изменено 9 февраля, 2017 пользователем Tau

[PROConnect]

zstas Спасибо заработало! Не мог отписаться ранее из за ограничений количества сообщения на форуме.

 

Подскажите пожалуйста что еще ему не хватает что бы интернет появился? Шас авторизация проходит, ip адреса выдаются.

Для примера когда подключаюсь получаю:

 

Описание: Высокоскоростное подключение (PPPoE)

Физический адрес: ‎

DHCP включен: Нет

Адрес IPv4: 10.172.0.252

Маска подсети IPv4: 255.255.255.255

Шлюз по умолчанию IPv4:

DNS-серверы IPv4: 8.8.8.8, 8.8.4.4

WINS-сервер IPv4 :

Служба NetBIOS через TCP/IP включена: Нет

Основной шлюз

 

При пинге:

Обмен пакетами с 8.8.4.4 по с 32 байтами данных:

Ответ от 10.172.0.254: Заданная сеть недоступна.

Ответ от 10.172.0.254: Заданная сеть недоступна.

 

Конфиг SE100:

 

context local

domain Internet advertise

domain telecom24.local

!

no ip domain-lookup

!

interface Internet

ip address 10.172.1.2/24

!

interface lpbk loopback

ip address 10.172.0.254/32

!

interface mgmt

ip address 192.168.180.17/24

ip source-address radius

!

interface ppp multibind lastresort

ip unnumbered lpbk

!

interface pppoe multibind

ip unnumbered lpbk

logging console

!

aaa authentication administrator local

aaa authentication subscriber radius

aaa accounting subscriber radius

radius accounting server 192.168.180.9 encrypted-key ---

radius coa server 192.168.180.9 encrypted-key --- port 3799

!

radius server 192.168.180.9 encrypted-key ---

!

subscriber default

ppp mtu 1492

dns primary 8.8.8.8

dns secondary 8.8.4.4

!

ip route 0.0.0.0/0 192.168.180.1

!

!

! ** End Context **

logging tdm console

logging active

logging standby short

!

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

bind interface mgmt local

!

card carrier 2

!

port ethernet 2/1

no shutdown

medium-type copper

bind interface Internet local

!

port ethernet 2/2

no shutdown

medium-type copper

encapsulation pppoe

bind authentication chap pap context local maximum 8000

!

!

!

pppoe services marked-domains

pppoe service-name accept-all

!

end

[local]Redback#

Изменено 10 февраля, 2017 пользователем pronet

[zstas]

а nat где? снаружи?

[PROConnect]

192.168.180.1 - NAT.

На сам SE100 тоже есть лицензия NAT.

[zstas]

подождите. у вас через mgmt интерфейс выход во внешку чтоли? подключите через обычный порт.

на se100 у вас нат не настроен.

 

192.168.180.1 откуда знает про сеть 10.172.0.0/24? на нём статика прописана?

[Tau]

SE100, софт 12.1.1.11.

Схема включения Non-dhcp CLIPS L2.

SE100 игнорирует широковещательные ARP who-has запросы и не запускает процедуру авторизации.

При явном указании MAC-адреса BRAS на абонентском ус-ве процедура авторизации успешно запускается от первого же IP-пакета.

Куда копать?

[zstas]

Tau, покажите конфиг порта

[Tau]

Tau, покажите конфиг порта

Тестовый:

port ethernet 2/4
no shutdown
encapsulation dot1q
dot1q pvc 2600
 service clips auto-detect direct context subscribers service-policy clips_address_policy
!

Рабочий:

link-group linkgroup1 access
encapsulation dot1q
lacp active
service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2000
 service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2001
 service clips auto-detect direct context subscribers service-policy clips_address_policy

 

То есть проблема воспроизводится вне зависимости от порта - что на порту, что на LACP.

[zstas]

прибиндите на этих dot1q pvc ваш multibind интерфейс

[Tau]

прибиндите на этих dot1q pvc ваш multibind интерфейс

Имеете ввиду bind interface unnumbered1 subscribers внутри каждого dot1q pvc ХХХ?

Смущает, что, согласно документации, bind используется для Static CLIPS, а у нас совсем не статик.

[zstas]

Имеете ввиду bind interface unnumbered1 subscribers внутри каждого dot1q pvc ХХХ?

Да. Можно пачкой сделать для кучи dot1q pvc, если указывать их range-м.

 

Смущает, что, согласно документации, bind используется для Static CLIPS, а у нас совсем не статик.

Для non-dhcp clips толком документацию не сделали. Static clips немного другое.

[Alex_P89]

Прошу помощи со следующей проблемой на SE100, SEOS-12.1.1.10-Release.

Не получается добавить новый класс в политику NAT. В ACL NAT-acl класс NAT2 добавлен, пул nat-pool-2 добавлен, делаем следующую последобательность команд:

nat policy nat-policy enhanced
access-group NAT-acl
class NAT2
pool nat-pool-2 NATctx

в ответ получаем:

% not supported combination of commands in a NAT policy/class

То есть для class NAT2 пул назначить нельзя почему-то, только drop или ignor разрешены.

Что происходит? Почему так? Что я делаю не так?

[zstas]

судя по всему для enhanced nat policy можно указать только 1 nat pool. если вам по каким-то причинам нужно использовать другой nat pool - то тогда используте другую nat policy (и не забыть отдать её через radius например).

а вам для какой цели нужен второй nat pool?

[Alex_P89]

судя по всему для enhanced nat policy можно указать только 1 nat pool. если вам по каким-то причинам нужно использовать другой nat pool - то тогда используте другую nat policy (и не забыть отдать её через radius например).

а вам для какой цели нужен второй nat pool?

Нужен чтобы определённому диапазону серых IP отдать отдельный диапазон белых IP.

Печально, если у enhanced nat policy действительно такое ограничение.

UPD. Нашёл в мануале строчку:

If the paired mode pool is already assigned to a class, then other pools cannot be assigned to the same policy.

Можно только один пул на политику повесить.

[PROConnect]

Подскажите пожалуйста чего сейчас не хватает?

Сделал доп параметры https://www.lanbilling.ru/block-access

 

И появилась ошибка вида:

 

[local]Redback#debug aaa exception

[local]Redback#Feb 14 00:09:11: [0001]: [2/2:511:63:31/6/2/3]: %AAA-7-EXCEPT: aa a_idx 10000004: aaa_mark_attr_status_from_rcm: failed to apply attribute acl on session test

Feb 14 00:09:11: [0001]: [2/2:511:63:31/6/2/3]: %AAA-7-EXCEPT: aaa_idx 10000004: aaa_update_attr_apply_status: Failed to apply (RCM) attribute ip access-group o ut for session test bring session DOWN

 

[local]Redback#

[local]Redback#

[local]Redback#debug aaa exception

[local]Redback#Feb 14 00:09:39: [0001]: [2/2:511:63:31/6/2/4]: %AAA-7-EXCEPT: aaa_idx 10000005: aaa_mark_attr_status_from_rcm: failed to apply attribute acl on session test

Feb 14 00:09:39: [0001]: [2/2:511:63:31/6/2/4]: %AAA-7-EXCEPT: aaa_idx 10000005: aaa_update_attr_apply_status: Failed to apply (RCM) attribute ip access-group out for session test bring session DOWN

[zstas]

11

Filter-Id

String.

Specifies that inbound or outbound traffic be filtered. Use the in:<acl name> format for v4 in acl and out:<acl name> format for v4 out acl. ipv6:in:<acl name> format for v6 in acl and ipv6:out:<acl name> format for v6 out acl.

вы какое значение атрибута высылаете?

[PROConnect]

При авторизации, включенные пользователи получают Access-Accept, им выдается Filter-Id = "SUCCESS-ATTR-EXAMPLE"

При авторизации, блокированные пользователи получают Access-Accept, им выдаются ip из гостевой сети и Filter-Id = "FAILED-ATTR-EXAMPLE"

Вот эти атрибуты и отсылаю.

[zstas]

вам нужно добавить in:

я выше приложил цитату из документации

[Davion]

Коллеги подскажите начали небольшое раследование... Связанное с потерями и ретрансмишенами

Проводили следующий тест, если на субскрайбере есть QoS то присутствуют потери.

Если QoS снимаем с субскрайбера то все нормально.

Как выяснили.. Iperf3 + подавали udp поток с тв каналом(битрейт 3 мбит) и принимали рассыпушки.

Тип подключения PPPoE на BRAS от 3000-4000 клиентов.

Есть подозрения что уперлись в апаратнные ограничения

 

p.s. netflow нет

[aks13]

Всем привет!

Подскажите, кто сталкивался - есть задача настроить аутентификацию пользователей через TACACS+ с авторизацией и аккаунтингом введенных команд.

С аутентификацией и аккаунтингом проблем нет, а вот команда:

[local](config-ctx)#aaa authorization commands 10 tacacs+ none

в конфиге не сохраняется, т.е. после ввода команды ошибок нет, но в конфиге записи этой не остается, пользовательские команды соответственно не авторизуются.

Версия SEOS-11.1.2.9-Release

Это глюк ОС или же неправильно настраиваю? По мануалу вроде бы все верно.

[PROConnect]

Подскажите пожалуйста интернет так и не получается сделать.

 

!

interface Internet

ip address 192.168.2.254/24

!

interface mgmt

ip address 192.168.128.56/24

ip source-address radius

!

interface pppoe multibind

ip address 192.168.1.254/24

!

 

192.168.2.1 указан как route по умолчанию, на нем развернул для теста NAT.

т.е 192.168.2.1 это микротик с натом.

 

Сессия поднимается, клиент получает адрес вида 192.168.1.250 и 256 как GW.

 

 

tracert 8.8.8.8

 

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]

с максимальным числом прыжков 30:

 

1 <1 мс <1 мс <1 мс 192.168.1.254

2 * * * Превышен интервал ожидания для запроса.

Изменено 16 апреля, 2017 пользователем pronet

[DoNetSK]

Сессия поднимается, клиент получает адрес вида 192.168.1.250 и 256 как GW.

А как в ип адресе 256 может быть?

[Giga-Byte]

Коллеги, хочу собрать LAG из 6 портов. Требуется терминация PPPoE с полисингом и маршрутизацией в бэкбон.

На счет NAT - вкурсе, нельзя LAG, а как дела обстоят с LAG без NAT?

 

SEOS-11.1.2.8-Release

[xcme]

а как дела обстоят с LAG без NAT?

Как то непонятно они обстоят. Балансировка кривая, может один линк нагрузить, а остальные простаивают. Еще при падении порта по какой-либо причине он может потом не подняться - надо ручками выкл/вкл делать.

Хотя может я просто не умею их (смартэджи) готовить. Сейчас с ними по принципу "работает - не трожь". Попозже хочу их вывести из эксплуатации совсем.

[nwur]

Как то непонятно они обстоят. Балансировка кривая, может один линк нагрузить, а остальные простаивают.

 

Она не то что бы кривая, она странная, как и вся идеология LAG на SE. На access-lag входящий трафик принимается по любому порту, а исходящий отправляется туда, куда приколочен circuit subscriber'а. А он в свою очередь биндится на тот порт, куда прилетел пакет-инициатор сессии. Вроде агрегация и есть, но она такая странная что ее почти нет. Проще руками по отдельным портам вланы раскидать.

 

На ether/dot1q lag таких приколов нет, там свои приколы, вроде невозможности использовать netflow или xc.

Изменено 1 мая, 2017 пользователем nwur