dmvy Опубликовано 24 октября, 2012 · Жалоба Есть такой интересный момент: как быть с резервированием например на se100 при vlan per user и dhcp clips. Настроили мы, скажем каким-то образом резервирование, не суть как. Умер один SE, у нас заработал второй, абонентские вланы там тоже допустим есть. Как быть с сессиями, ведь второй SE ничего не знает про сессии, которые были на первом и пока абонент заново не отошлет dhcp запрос ничего не будет, правильно понимаю? Кто как решает такую штуку? Маленькое время лизы не вариант же. включить nondhcp clips и авторизуются абоненты по следующему пакету, прилетевшему от абонента. главное, чтобы радиус и dhcp-сервер предполагали такое развитие сюжета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 24 октября, 2012 · Жалоба nondhcp clips еще не доступен для паблика, и к тому же он очень сырой еще для продакшина. как вы протащите vlan per user через non dhcp clips? а если надо еще и ipv6 абоненту дать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 24 октября, 2012 · Жалоба Есть такой интересный момент: как быть с резервированием например на se100 при vlan per user и dhcp clips. Настроили мы, скажем каким-то образом резервирование, не суть как. Умер один SE, у нас заработал второй, абонентские вланы там тоже допустим есть. Как быть с сессиями, ведь второй SE ничего не знает про сессии, которые были на первом и пока абонент заново не отошлет dhcp запрос ничего не будет, правильно понимаю? Кто как решает такую штуку? Маленькое время лизы не вариант же. включить nondhcp clips и авторизуются абоненты по следующему пакету, прилетевшему от абонента. главное, чтобы радиус и dhcp-сервер предполагали такое развитие сюжета. nondhcp clips - я так понимаю аналог initiator unclassified ip-address в ISG. Я думал, что у SE такого нет, а тут оказывается как бы есть, но все еще нет. То бишь на данный момент никак, правильно понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 24 октября, 2012 · Жалоба Появиться к концу года Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dreamer_fkn Опубликовано 29 октября, 2012 · Жалоба Подскажите пожалуйста почему может не назначаться HTTP-Redirect-profile? может лицензия нужна? имеем:static clips радиусом на субскрайбера назначается профиль: ! http-redirect profile CABINET url "http://redirect.ru" ! subscriber profile base-unlimited qos policy policing qos-default-in qos policy metering qos-default-out http-redirect profile CABINET ! но редирект профиль не вешается, sub1@clients Session state Up Circuit 2/4 vlan-id 1322 Internal Circuit 2/4:511:63:31/1/2/5114 Interface bound vlan1322 Current port-limit unlimited Protocol Stack IPV4 ip interface vlan1322 (applied) profile base-unlimited (applied) dhcp max-addrs 1 (applied) qos-dynamic-param (applied) police-class-rate cls-INET rate-absolute 2000 (applied) police-class-burst cls-INET 250000 (applied) meter-class-rate cls-INET rate-absolute 2000 (applied) meter-class-burst cls-INET 250000 (applied) qos-policing-policy qos-default-in (applied from sub_profile) qos-metering-policy qos-default-out (applied from sub_profile) http-redirect-profile CABINET (not applied from sub_profile) форвард полиси напротив вешается прекрасно. при попытке навесить редирект профиль через СОА - прилетает ответ - Unsupported Attribute Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 октября, 2012 · Жалоба ! http-redirect server port 80 ! есть в конфиге? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dreamer_fkn Опубликовано 29 октября, 2012 · Жалоба ! http-redirect server port 80 ! есть в конфиге? да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 29 октября, 2012 · Жалоба Воткнулись в проблему на следующей схеме: [абоненты] -[RX-8] -10ge- [sCE8000] -10ge- [sE600] -[интернет] На SE600 используется BGP, Dynamic NAT 1:1 Под вечер упираемся 1М pps по исходящему трафику. Запас по полосе есть. Входящего трафика чуть больше 1M pps, но не больше 1.1Mpps. Судя по отзывам народа узким местом является именно SE600. Что с этим можно сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AntonS Опубликовано 29 октября, 2012 · Жалоба Плата DPI и новый закон со списком url как будет справляться с этой задачей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 30 октября, 2012 · Жалоба Добрый вечер, в который раз :) А можно ли на SE делать, как на жунипере - динамические вланы в схеме vlan per customer. Привожу пример из документации : ge-1/2/4 { description “Dynamic C-VLAN”; traceoptions { flag all; } hierarchical-scheduler; flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile CVLAN { accept inet; ranges { any,any; } } } } } CVLAN { interfaces { “$junos-interface-ifd-name” { unit “$junos-interface-unit” { proxy-arp; vlan-tags outer “$junos-stacked-vlan-id” inner “$junos-vlanid”; family inet { mac-validate strict; unnumbered-address lo0.0 preferred-source-address 11.3.3.3; } } } } } Чтобы не конфигурить эти пачки s-vlan/c-vlan руками. Если да это будет работать с dhcp clips ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 31 октября, 2012 · Жалоба Если да это будет работать с dhcp clips ? S-VLAN сконфигурировать надо, C-VLAN не надо, в документации: CCOD + CLIPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 2 ноября, 2012 · Жалоба Взял на тест. Пока все нравится, только стоит задача отдельного полисинга как на In, так и на OUT по двум направлениями. Второе направление - 10000 префиксов(приходит в отдельном влане). Добавлять их все в acess-list - сверхпечально, я читал про то, что можно посадить метку на VLAN, но говорилось, что это будет работать только в одну сторону. Что делать? Появилось какое-то решение этой задачи? SEOS-se100-11.1.2.5p2. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 2 ноября, 2012 · Жалоба а на отдачу принципиально разные скорости. реч как раз шла что входящий трафик можно раскрасить и разными полисерами нарезать. для исходящего ничего подобного нет и вряд ли придумают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PowerPack Опубликовано 3 ноября, 2012 · Жалоба Подскажите, а кто-нибудь наблюдает загрузку на 10GE портах у SE600 более 1 000 000 pps ? Мы уперлись в полку на этой цифре и не поймем, какая из железок в цепочке является узким местом. Пока все указывает на SE 600, но уверенности нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 ноября, 2012 · Жалоба Подскажите, а кто-нибудь наблюдает загрузку на 10GE портах у SE600 более 1 000 000 pps ? Мы уперлись в полку на этой цифре и не поймем, какая из железок в цепочке является узким местом. Пока все указывает на SE 600, но уверенности нет. пост про сце ваш? сервис лосы на ней есть? сколько в нее трафика входит и выходит? сколько scm-e модулей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PowerPack Опубликовано 4 ноября, 2012 (изменено) · Жалоба пост про сце ваш? сервис лосы на ней есть? сколько в нее трафика входит и выходит? сколько модулей? ДА, пост выше наш. НА SCE 8000 и на SE600 трафика в час пик 12 гигабит (7 входящего и 5 исходящего). Полка наступает не по трафику, а при достижении значений около 1 000 000 pps. По исходящему полка наступает скорее т.к. торрент большую часть исходящего трафика дает. Scm-e модуль один. Трафик процессоры в час пик грузятся около 80%. График PPS на линке SE600 - SCE8000 привожу в атаче. Изменено 4 ноября, 2012 пользователем PowerPack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 5 ноября, 2012 · Жалоба а на отдачу принципиально разные скорости. реч как раз шла что входящий трафик можно раскрасить и разными полисерами нарезать. для исходящего ничего подобного нет и вряд ли придумают. Да, отдачу надо принципиально. Попробовал через acl, не осиливает, что ожидаемо: ACL (service = 1; rule count 9906; context 0x40080002) Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_bo_image_build@1044: build failed fo r 2/3:511:63:31/7/2/96 image 0x10 with rc=0x808b001f Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_build_image@276: too many rules in ACL (service = 1; rule count 9906; context 0x40080002) Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_bo_image_build@1044: build failed fo r 2/3:511:63:31/7/2/96 image 0x11 with rc=0x808b001f Nov 5 19:38:58: %CLS-3-ERR: (WORK) cls_work_build_image@276: too many rules in Придется возвращать, жаль. В общем понравилась железка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vicus Опубликовано 7 ноября, 2012 · Жалоба Плата DPI и новый закон со списком url как будет справляться с этой задачей? вот странно что обошли вниманием этот вопрос... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AntonS Опубликовано 11 ноября, 2012 · Жалоба Плата DPI и новый закон со списком url как будет справляться с этой задачей? вот странно что обошли вниманием этот вопрос... кто вообще пользуется DPI от эриксона? какая ее производительность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dreamer_fkn Опубликовано 18 ноября, 2012 (изменено) · Жалоба Здравствуйте! подскажите пожалуйста, у кого нибудь были проблемы с dot1q subscribers + dhcp proxy + radius authorization ? периодически подвисают субскрайберы. ни трафик не проходит - даж если статикой айпи прописаны, ни дхцп запросы не пролетают. подскажите чего можно сделать с этим? абонент при этом по радиусу аутентифицирован. Изменено 18 ноября, 2012 пользователем dreamer_fkn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gorbushka Опубликовано 19 ноября, 2012 · Жалоба В тред снова врывается вопрос про 1Mpps на порт. Кто-то видел пакетов больше чем 1Mpps на порту в модуле 4x10G? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ms_root Опубликовано 26 ноября, 2012 · Жалоба Добрый день! Исходные данные. PPPoE сервер на SE100 + Биллинг NetupUTM В конфиге радиуса UTM установлен параметр interim_update_interval=65 Возник следующий вопрос. Если разорвать сессию жёстко (например выдернуть шнур из сетевой карты) то сессия продолжает висеть на SE100 ещё 10 минут. Из документации Базовая настройка AAA,RADIUS,CoA,PPPoE,L2TP - Ограничения Минимальный интервал, с которым SmartEdge отсылает сообщения Accounting Update(Acct-Interim-Interval) в RADIUS: для сессии составляет 600 секунд(10 минут). Возможно ли сократить данное время? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 26 ноября, 2012 · Жалоба Возник следующий вопрос. Если разорвать сессию жёстко (например выдернуть шнур из сетевой карты) то сессия продолжает висеть на SE100 ещё 10 минут. ! context local ! ppp keepalive check-interval seconds 10 response-timeout 3 data-check ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 29 ноября, 2012 · Жалоба Делаю кросс-пост из закрытого форума. Проблема - ограничение в 1Mpps на SE600 в составе XCRP4/10ge-4-port(slot 5). Что попробовали сделать: 1. обновили bootrom до 2.0.2.66 2. Попробовали загрузиться в 11.1.2.3(которая лежит у НАГа под именем 11.1.2.6, по крайней мере так утверждает тот, кто ее заливал в шассик). FPGA обновили, хотя это для работы не требовалось. Наткнулись на проблему с БГП(прошивка старая же) - рвалась сессия из-за Aggregate AS 0 Отказался работать OSPF(состояние loading). Проблема с 1mpps никуда не делась. Параллельно воткнули взятую в тест у НАГа плату 10ge-oc192-1-port(ту, которая 1x10ge-1port ppa2). 3. Сегодня утром откатили на 6.2, попробовали перенести линк с 1mpps полкой в плату с 1 портом. SE600 нам тут же нахамил "cannot bind this circuit to the interface. It has an incompatible NAT policy." 4. Чтоб не делать вид, что мы проснулись зря, влили прошивку 11.1.2.6р1, загрузились в нее, обновили FPGA, никуда ничего не переткнули. Плату 1x10ge выдернули из шасси, как бесполезную. Посмотрим сегодня вечером, но надежды особой нет. Про апгрейды и ребуты: При апгрейде шасси стабильно не может опознать само себя, софт сильно удивляется, ставит дефолт - SE800. Ребут по питанию после окончания загрузки в этом случае решает проблему. После такого ребута команда reload грузит шасси нормально. Хотя были случаи, что и не грузила нормально. Лотерея, вобщем. Ну и для ясности - мы с Gorbushka говорим об одном и том же коробке. Про НАТ: судя по документации и ответам в открытом форуме для Dynamic NAT нет понятия "трансляция", соответственно, максимальное количество соответствий у нас вечером - в unassigned у нас болтается 1920 адресов из 22 тысяч адресов в пуле. То есть в пике 20 тыс соответствий в таблице NAT. А вот насчет "сумма трафика на каждой паре портов не больше 10G FD" - мысль интересная. Вобщем-то получается. Порт 5/1 4.08/3.09 (вход/исход) Порт 5/2 5.76/7.76 порт 5/4 4.12/2.76 Порт 5/3 - пусто. Значения старался брать для одного диапазона времени, но это неточные данные с усредненного графика кактуса. Возможно, на портах 5/2 и 5/1 суммарный исходящий вечером упирается в 10Г, но сказать точно не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilachok Опубликовано 29 ноября, 2012 · Жалоба Всем здравствуйте. Никто не пробовал организовать nat и pppoe в разных контекстах? понадобилось это для того, чтобы снимать netflow до ната. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...