RuffiAn Опубликовано 2 июля, 2011 · Жалоба D^2 спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minya Опубликовано 2 июля, 2011 · Жалоба mikevlz вы должно быть имели в виду nat (сеть на сеть) 1:1? в смысле только одну серую сеть натить на одну белую сеть. меня интересует возможность натить несколько серых на одну белую. пока делаем через создание 8ми нат пулов, по 4 белых адреса в каждом и по 4 порт блока на каждый адрес. потом делим все серые сети между этими 8ю пулами, но всё это немного не то(( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 июля, 2011 · Жалоба На редбеке установлена лицензия 8000 сессий, сколько он может держать сессий L2TP и PPPoE(равных количествах или нет)? Если интернет канал превысить в 1 гигабит можно ли на редбек его расширить используя дополнительные модули с джибиками? Эта лицензия на общее количество активных абонентов в системе, они могут быть разных типов (L2TP/PPPoE/CLIPS) и в разных комбинациях но суммарно их не более 8000. Находясь в exec режиме котекста local, и давая команду show subscribers summary all можно увидеть сколько в данный момент абонентов в системе суммарно и каких типов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 июля, 2011 · Жалоба Minya у вас se100 как нат-девайс без браса? в смысле абонентов на нем не создается (рррое/clips) и есть только нат-политика на L3 интерфейсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 4 июля, 2011 · Жалоба Current configuration:! context local ! ip nat pool pool_dyn address белая-Сеть1/22 address белая-сеть2/23 ! context local ! policy access-list NAT-ACL seq 10 permit ip серая-сеть1 0.0.0.255 class CLASS3 seq 20 permit ip серая-сеть2 0.0.0.127 class CLASS3 seq 30 permit ip серая-сеть3 0.0.1.255 class CLASS3 ! nat policy pol1 ! Default class ignore ! Named classes access-group NAT-ACL class CLASS3 pool pool_dyn local timeout tcp 60 timeout udp 60 timeout syn 60 timeout basic 60 ! interface if-private ! bound to 2/1 circuit ip address локальныйIP ip nat pol1 acl-counters ! end Примерно так конфигурируется нат. В принципе, качайте доку, ставьте, читайте смысл команд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minya Опубликовано 5 июля, 2011 · Жалоба macharius именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую? не могли бы подробнее рассказать про CG-NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 5 июля, 2011 · Жалоба Натить так же как у меня, только использовать не Dynamic NAT, а NAPT. Настройка вроде касается только пула. Возможно, полиси надо будет подрихтовать еще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 6 июля, 2011 · Жалоба macharius именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую? не могли бы подробнее рассказать про CG-NAT? Да все верно, NAT в SE и особенно готовящийся к выходу CG-NAT заточен под брас, т.е. когда вы нат подымаете на абонентских сессиях, а не на L3 интерфейсах. Основная проблема вашего текущего подхода заключается в том, что нат полиси ограничена 8-мю классами. Каждый класс - это нат пул. Т.к. отсутсвует address-pairing, то в идеале, в пуле нужно иметь 1 адрес. В howto про полиси очень подробно все это описано. То как делает mikevlz - это именно 1:1, подсеть в подсеть. Такой способ очень специфичен, и встречается по опыту очень редко, а точнее впервые :) Про CG-NAT. По своей сути это NAPT, точно такой же как есть сейчас за исключением того, что в него добавлены следующие основные функциональности: 1. Полная поддержка следующих BEHAVE RFC: 4787 (UDP), 5382 (TCP) 5508 (ICMP), draft-nishitani-cgn-04. На практике это улучшит traversability, в частности можно будет включить endpoint-independent filtering также для tcp. 2. Поддержка функции IP Address Pairing. Что даст возможность задавать NAPT пулы так, как я описал парой постов выше - фиксировать желаемое кол-во серых на один белый (уровень перепеодписки), определять расчетное кол-во портов/трансляций на адрес и т.п. 3. Logging/tracing всех делаемых трансляции На счет последнего, подробности следующие: › Для организации функций logging/tracing используется транспортный контейнер NetFlow v9 › Поддержка двух log-коллекторов одновременно для отказоустойчивости › SmartEdge логирует следующую информацию: – Internal IP address: – NATed IP address – NATed port (allocated port range) – Session start time (allocated port block assignment time) – Session end time (allocated port block unassignment time) – Context Id и еще забыл добавить, что CG-NAT будет работать поверх LACP, а также для LNS (сейчас это не поддерживается) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 9 июля, 2011 (изменено) · Жалоба Добрый день! Есть у кого-нибудь опыт применения SE100 с биллингом UTM5 ? Только прикупили железку, еще не разобрался что как. У нас используется PPPoE, главной трудностью пока вижу то, что у нас разные скорости - в интернет по тарифному плану, а в пиринг, (маршруты приходят по BGP) на 100 мбит. Как разделить направления? Сейчас на приходящие маршруты с помощью quagga ставится realm, далее с помощью iproute2 по этому realm выдаётся скорость. Изменено 9 июля, 2011 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 9 июля, 2011 (изменено) · Жалоба Как разделить направления? прочтите первую главу policy how to http://www.nag.ru/projects/setup/67855/ policy acl - определяет классы (направления). qos policy - привязывается к классам и определяет для каждого класса скорость. в зависимости от того, на сколько гибок радиус в вашем билинге: 1. если билинг умеет посылать в радиус пакете несколько раз один и тотже атрибут с разными значениями, то лучше делать через Dynamic-QoS-Param (при этом общая на всех qos policy) 2. если билинг не умеет, то тогда под каждый тарифный план свои qos policy, в которых прописаны скорости. Изменено 9 июля, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 10 июля, 2011 (изменено) · Жалоба Это я прочитал. Вопрос в другом - можно ли здесь ! policy access-list acl-directions-in seq 10 permit ip any 10.193.0.0 0.0.255.255 class cls-LOCAL seq 20 permit ip any 155.53.0.0 0.0.255.255 class cls-LOCAL seq 30 permit ip any any class cls-INET ! Указывать не подсети, а realm ? Изменено 10 июля, 2011 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 10 июля, 2011 · Жалоба вы имеете в виду QPPB? SE его поддерживает, только он все равно не поможет, т.к. qos policy срабатывает до того как происходит fib lookup. много локальных префиксов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 10 июля, 2011 (изменено) · Жалоба Нет не это. Тут я ставлю на входящие маршруты метку REALM. hostname bgpd password !!!!!!! router bgp 65410 bgp router-id 89.222.236.40 network 10.194.0.0/16 network 89.222.134.0/23 network 178.219.144.0/20 ! ROUTE server neighbor 89.222.236.100 remote-as 65100 neighbor 89.222.236.100 activate neighbor 89.222.236.100 next-hop-self neighbor 89.222.236.100 soft-reconfiguration inbound neighbor 89.222.236.100 route-map SETREALM in neighbor 89.222.236.100 filter-list 1 out ! !no auto-summary !no synchronization log file /var/log/quagga/bgpd.log ! route-map SETREALM permit 10 set realm 10 ! ip as-path access-list 1 permit ^$ ! А тут: /sbin/tc qdisc add dev $device root handle 1: est 1sec 8sec hfsc default 10 /sbin/tc class add dev $device parent 1: classid 1:1 est 1sec 8sec hfsc rt rate 100mbit ls rate 100mbit ul rate 100mbit /sbin/tc class add dev $device parent 1:1 classid 1:10 est 1sec 8sec hfsc sc dmax 10ms rate ${rate}mbit ul rate ${rate}mbit /sbin/tc qdisc add dev $device parent 1:10 handle 10: bfifo limit 5120000 /sbin/tc class add dev $device parent 1:1 classid 1:20 est 1sec 8sec hfsc sc dmax 10ms rate 95mbit ul rate 95mbit /sbin/tc qdisc add dev $device parent 1:20 handle 20: bfifo limit 5120000 /sbin/tc filter add dev $device parent 1: protocol ip prio 1 route from 10 flowid 1:20; /sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 10.194.128.0/16 flowid 1:20; /sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 89.222.134.0/23 flowid 1:20; я режу трафик - с приходящих маршрутов на 100 Мегабит. Скрипт выполняется при установке соединения. Можно ли как-нибудь так сделать на SE100 ? Изменено 10 июля, 2011 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 10 июля, 2011 · Жалоба ну это и есть своего рода QPPB. Повторить тоже самое на SE увы не получится. Все что можно сделать - это принять пиринг в отдельном влане на SE и отмаркировать его, а потом на выходе к абонентам сделать полсиер, котрый не будет ограничивать скорость для промаркированного трафика. Но вот с трафиком который приходит от абонентов такая схема бесполезна. Либо статично весь список создать в SE (а не динамично как сейчас), но я так понимаю что там префиксов в пиринге под 1000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 10 июля, 2011 · Жалоба В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 11 июля, 2011 · Жалоба В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!! вот, например, пиринг в влане 299, все что приходит в этот влан маркируется в dscp cs4 ! qos policy inbound-marking policing mark dscp cs4 ! ! port ethernet 2/2 no shutdown medium-type copper encapsulation dot1q dot1q pvc 299 bind interface peering local qos policy policing inbound-marking ! теперь вы добавляете абонентам propagate qos to ip и делаете metering policy, которая все что отмаркировалось на входе в влане 299 не ограничивает это по скорости ! context local ! policy access-list dscp-based-out seq 10 permit ip any any dscp eq cs4 class cls-PEERING seq 20 permit ip any any class cls-INET ! subscriber default qos policy metering dscp-default-out propagate qos to ip ! ! ** End Context ** ! qos policy dscp-default-out metering access-group dscp-based-out local class cls-PEERING class cls-INET rate 128 burst 16000 ! ну и остальное как по howto Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 11 июля, 2011 · Жалоба А кто использует DHCP Subscriber ? Отзовитесь в личку плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 12 июля, 2011 · Жалоба Огромное спасибо, macharius !!! Это то что надо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.anatoly Опубликовано 14 июля, 2011 (изменено) · Жалоба вернемся к примеру с dot1q, появился вопрос: - как абоненту client-1@local с адреса 155.53.1.4 получить доступ на хост 155.53.1.64 абонента client-2@local ? исходя из маски /24 оба эти адреса находятся в плоской сети, и абонентские роутеры не будут слать в этом случае пакеты через шлюз 155.53.1.254 upd. проверил в лабе, пакеты ходят через SE (155.53.1.254). upd2. поигрался еще в лабе: ip arp proxy-arp always лучше не ставить, ip arp secured-arp самое оно. Изменено 16 июля, 2011 пользователем mr.anatoly Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 14 июля, 2011 · Жалоба это называется proxy-arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 23 августа, 2011 · Жалоба АЛАРМММ СРОЧНАЯ БАГА! Не выдаются dns сервера клиентам. SE100 в качестве l2tp сервера. Вот пример субскрайба subscriber profile base-profile-8M qos policy policing 8M-in qos policy metering 8M-out dns primary 31.131.80.6 dns secondary 8.8.8.8 весь мозг уже сломал... Адаптер PPP VPN-подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : VPN-подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 194.84.184.3(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : 0.0.0.0 NetBios через TCP/IP. . . . . . . . : Включен и все... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 23 августа, 2011 · Жалоба А профиль корректно вешается? на se покажите вывод show sub act use <user-name> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 23 августа, 2011 · Жалоба subscriber default dns primary 31.131.80.6 dns secondary 8.8.8.8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rush Опубликовано 29 августа, 2011 · Жалоба Появились несколько вопросов по SE. 1. Не могу настроить мультикаст для абонентов CLIPS. Конфигурация примерно такая: interface CLIENTS multibind ip address 193.xx.xx.1/24 dhcp proxy 65535 ip arp secured-arp pim sparse-mode passive interface STREAM ip address 172.16.15.1/24 pim sparse-mode passive subscriber default ip multicast receive permit ip igmp service-profile IPTV qos policy policing DEF-IPOE-IN qos policy metering DEF-IPOE-OUT igmp service-profile IPTV Соответственно, источник мультикаста находится в вилане, к которому биндится интерфейс STREAM. Клиенты биндятся к интерфейсу CLIENTS. При попытке получить мультикастовый поток на клиенте, ничего не происходит, хотя с PPPOE абонентами в такой же конфигурации все работало. Мультикастовая таблица маршрутизации: IP Multicast Routing Table Flags: AW(L) - Assert Winner(Loser), C(c) - Connected(RPF), D - Dense, F - Register flag, H(h) - Static(RPF), J(j) - Join SPT(RPF), K - State war suppressed, L(l) - Local(RPF), m - MSDP learned, M - MDT group, N - RPF monitor, P - Pruned, r - RMR, R - RP-bit set, S - Sparse, T - SPT-bit set, U - Static Join upstream, V(v) - IGMPv3(RPF), Z(z) - Dual Join(RPF), . - No forwarding activity Timers: Uptime/Expires Interface state: Interface, State, Timers, flags Table version: 182246 (*, 224.2.127.254), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17 Incoming circuit: Cct invalid Outgoing interface list: STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C (172.16.15.3, 224.2.127.254), 5w6d/00:02:07, Flags: PCc Incoming interface: STREAM, RPF neighbor: 0.0.0.0 Incoming circuit: 2/4:511:63:31/1/2/159 Outgoing interface list: NULL (*, 239.0.55.7), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17 Incoming circuit: Cct invalid Outgoing interface list: STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C (172.16.15.3, 239.0.55.7), 5w6d/00:02:07, Flags: PCc Incoming interface: STREAM, RPF neighbor: 0.0.0.0 Incoming circuit: 2/4:511:63:31/1/2/159 Outgoing interface list: NULL Параметры подключения сабскрайбера: f4:6d:04:ba:96:3e Session state Up Agent Remote ID "^A^F" Circuit 2/1 vlan-id 2322 clips 210218 Internal Circuit 2/1:511:63:31/7/2/13513 Interface bound CLIENTS Current port-limit unlimited Protocol Stack IPV4 dhcp max-addrs 1 (applied) ip interface CLIENTS (applied) dhcp vendor class id MSFT 5.0 (applied) dhcp option client id 0x3d0701f46d04ba963e (applied) dhcp option hostname 0x0c09aba0e0a8e1a02d8f8a (applied) acct-interim-interval 900 (applied) ip multicast receive permit (applied from sub_default) qos-policing-policy DEF-IPOE-IN (applied from sub_default) qos-metering-policy DEF-IPOE-OUT (applied from sub_default) ip igmp service-profile IPTV (applied from sub_default) service (applied) [svc id: 0] RSE-SVC-EXT (acct enabled) service-parameter (applied) [svc id: 0] Rate=8000 Burst=1000000 dynamic policy acl [svc mask: 0x0001] (applied in: qos out: qos) [svc id: 0] ip out forward class EXTERNAL qos [svc id: 0] ip in forward class EXTERNAL qos qos-dynamic-param [svc mask: 0x0001] (applied) [svc id: 0] meter-class-rate EXTERNAL rate-absolute 8000 (applied) [svc id: 0] meter-class-burst EXTERNAL 1000000 (applied) [svc id: 0] police-class-rate EXTERNAL rate-absolute 8000 (applied) [svc id: 0] police-class-burst EXTERNAL 1000000 (applied) service-acct (in) [svc mask: 0x0001] (applied) [svc id: 0] qos class-mask 0x02 service-acct (out) [svc mask: 0x0001] (applied) [svc id: 0] qos class-mask 0x02 service-interim-acct-interval [svc mask: 0x0001] (applied) [svc id: 0] 900 2. В случае CLIPS, в качестве DHCP сервера может выступать сам SE. В этом случае, адреса абонентам можно выдавать через атрибут Framed-Ip-Address. Насколько такая нагрузка будет критична для проца/памяти железяки? Стоит так делать? 3. Можно ли DHCP proxy настроить таким образом, чтобы он всегда отвечал сабскрайберам броадкастом? 4. По поводу PPPOE. Как задать интервал echo-запросов? Интересуюсь для борьбы с "зависшими" сессиями, можно как-то сделать, чтобы SE их сбрасывал через определенный интервал времени, отправляя STOP-пакет на биллинг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 29 августа, 2011 · Жалоба rush, 1. У вас в примере абонент не получил адрес (с точки зрения se)? его не видно в выводе show subscriber active username 2. Все равно как делать. Зависит от ваших потребностей. я обычно предпочитаю внешний сервер, т.к. он более гибок чем встроенный. 3. Не совсем понял, зависит от подключения clips клиента, если он по L2, то бродкастом шлется offer если память не изменяет. Все остальное unicast. в случае с L3 доступом - всегда будет unicast. 4. да можно, например так ppp keepalive check-interval seconds 15 data-check Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...