snark Опубликовано 16 января, 2013 · Жалоба Господа, владельцы SE100, подскажите, пожалуйста - на нем можно рулить мультикастом на предмет кому чего можно можно смотреть, а кому нельзя? В идеале - из RADIUS-а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ms_root Опубликовано 16 января, 2013 · Жалоба Добрый день. Вот какой вопрос появился. При просмотре в UTM5, Dialup отчёта по пользователю в поле IP появились записи 0.0.0.0. т.е. после подключения абонента появляется запись с выданным ему адресом, а затем записи (с интервалом примерно 10 минуты) с нулевыми адресами. Время начала Время окончания IP Tue Jan 15 13:47:34 2013 Tue Jan 15 13:51:26 2013 100.100.200.200 Tue Jan 15 13:57:34 2013 Tue Jan 15 14:00:57 2013 0.0.0.0 Tue Jan 15 14:07:34 2013 Tue Jan 15 14:10:57 2013 0.0.0.0 Tue Jan 15 14:17:34 2013 Tue Jan 15 14:20:58 2013 0.0.0.0 Tue Jan 15 14:27:34 2013 Tue Jan 15 14:30:58 2013 0.0.0.0 Tue Jan 15 14:37:34 2013 Tue Jan 15 14:40:59 2013 0.0.0.0 Tue Jan 15 14:47:34 2013 Tue Jan 15 14:50:59 2013 0.0.0.0 Tue Jan 15 14:57:34 2013 Tue Jan 15 15:01:00 2013 0.0.0.0 Настройки на SE100 radius accounting server 10.10.5.100 encrypted-key radius server 10.10.5.100 encrypted-key radius max-retries 3 radius timeout 8 В чём может быть проблема, в SE или UTM_Radius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 16 января, 2013 · Жалоба Господа, владельцы SE100, подскажите, пожалуйста - на нем можно рулить мультикастом на предмет кому чего можно можно смотреть, а кому нельзя? В идеале - из RADIUS-а. Радиус-аттрибут Igmp_Svc_Prof_Id можно создать несколько igmp профилей в которых указываем какие группы можно "смотреть". в документации достаточно неплохо описано о мультикасте для субскрайберов - читайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 16 января, 2013 · Жалоба Радиус-аттрибут Igmp_Svc_Prof_Id можно создать несколько igmp профилей в которых указываем какие группы можно "смотреть". ОГРОМНОЕ спасибо! в документации достаточно неплохо описано о мультикасте для субскрайберов - читайте В доку лезть пока рано, сейчас было важно простое "да, можно" или "нет, нельзя". Еще раз спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reload Опубликовано 21 января, 2013 · Жалоба Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов. Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered. ! context local ! interface dot1q-subs multibind ip address 155.53.1.254/24 ip arp proxy-arp ! aaa authentication subscriber local ! subscriber name client-1 ip address 155.53.1.4 ip address 155.53.1.5 ip address 155.53.1.6 ip address 155.53.1.7 subscriber name client-2 ip address 155.53.1.64 ip address 155.53.1.65 ! ! ! ** End Context ** ! port ethernet 2/2 no shutdown encapsulation dot1q dot1q pvc 100 bind subscriber client-1@local dot1q pvc 200 bind subscriber client-2@local ! И таких клиентов я могу наплодить сколько душе угодно. У них у всех маска короткая, я так понимаю ip unnumbered делает тоже самое? Едиснтвенное отличие в том, что каждый клиент (юр.лицо) сидит в своем влане. Адресация работает правильно и SE делает прокси arp, чтобы они могли взаимодейтсвовать внутри своей короткой маски (/24 как в данном примере и шлюз у них .254). [local]ceramix#show subscribers active client-1@local Session state Up Circuit 2/2 vlan-id 100 Internal Circuit 2/2:1023:63/1/2/10 Interface bound dot1q-subs Current port-limit unlimited Protocol Stack IPV4 ip address 155.53.1.4 (applied) ip address 155.53.1.5 (applied) ip address 155.53.1.6 (applied) ip address 155.53.1.7 (applied) client-2@local Session state Up Circuit 2/2 vlan-id 200 Internal Circuit 2/2:1023:63/1/2/11 Interface bound dot1q-subs Current port-limit unlimited Protocol Stack IPV4 ip address 155.53.1.64 (applied) ip address 155.53.1.65 (applied) [local]ceramix# Поскольку каждый такой dot1q pvc - это абонент - то для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА. Более того это позволяет переместить арпы на SE, который может проглатывать их до 5тыс в секунду (SE100). Едиснтвенный момент - L2 до SE, но имхо в этом нет ничего криминального. Если у меня "aaa authentication subscriber global" такое должно работать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angel_of_Sorrow Опубликовано 23 января, 2013 · Жалоба Господа прошу помощи - возможно ли на данном брасе накрутить какой то аналог ISG, то есть чтобы абонентская сессия взлетала по пришедешему новому IP.То есть пришел на интерфейс IP адрес, брас сходил в радиус взял там парметры и что то навешал на поднятую сессию? Просто хотелось бы заменить 2x 7204VXR оставив тот же функционал не переделывая структуру сети в корне. Ну или ткните куда почитать а то что то документация не блещет откровениями на данную тему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blaar Опубликовано 23 января, 2013 · Жалоба Посмотрите тут, раздел про эриксоны http://shop.nag.ru/article/baza-znanij ключевое слово CLIPS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 января, 2013 · Жалоба Господа прошу помощи - возможно ли на данном брасе накрутить какой то аналог ISG, то есть чтобы абонентская сессия взлетала по пришедешему новому IP.То есть пришел на интерфейс IP адрес, брас сходил в радиус взял там парметры и что то навешал на поднятую сессию? Просто хотелось бы заменить 2x 7204VXR оставив тот же функционал не переделывая структуру сети в корне. Ну или ткните куда почитать а то что то документация не блещет откровениями на данную тему. Описаный функционал в ключе эриксона называется non-dhcp clips. Он существует, но в бете. Релизная прошивка будет в марте. Берите у нага железку на тест, ставьте ПО с этой функцией и спокойно разворачивайте на стенде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angel_of_Sorrow Опубликовано 25 января, 2013 · Жалоба Появился закрытый раздел на форуме для обладателей Ericsson Smartedge. Заявки на добавление в группу можете отправлять на адрес smartedge@nag.ru Вопрос почему соотвественно в закрытые форумы пускают только обладателей железки купленной у нага ? а не всех обладателей ? Просто как то непонятно - если надо подтвердить обладание - я могу сделать это документально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 25 января, 2013 · Жалоба купленной у нага ? может потому что это forum.NAG.ru? :) а по факту на сколько я знаю пускают всех. там и зарубежные коллеги с Украины и Казасхстана встречаются =) врядли они у НАГа покупали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angel_of_Sorrow Опубликовано 25 января, 2013 · Жалоба купленной у нага ? может потому что это forum.NAG.ru? :) а по факту на сколько я знаю пускают всех. там и зарубежные коллеги с Украины и Казасхстана встречаются =) врядли они у НАГа покупали Уже неделю бъюсь с этим допуском - никак :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 28 января, 2013 · Жалоба как то странно вы бьетесь ;) Я вот с Украины, свои SE-100 покупал не у нага. Прислал в свое время sh version с одной из железок - и пустили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reload Опубликовано 29 января, 2013 · Жалоба Есть специалисты которые бы смогли мне подсказать по dot1q subscribers? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 29 января, 2013 · Жалоба reload, ты спрашивай, а тут уж подскажут. или проси доступ в закрытый раздел, если стесняешься. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reload Опубликовано 29 января, 2013 · Жалоба reload, ты спрашивай, а тут уж подскажут. или проси доступ в закрытый раздел, если стесняешься. Я спросил. Мой вопрос на предыдущей странице. Только на него никто не ответил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angel_of_Sorrow Опубликовано 31 января, 2013 · Жалоба Господа - может кто нить обладает бета релизом прошивки в которой уже имеется сервис non dhcp-clips ? если да то как-нибудь поделился бы кто нить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SNR Опубликовано 31 января, 2013 · Жалоба Уже неделю бъюсь с этим допуском - никак :( от вас не было писем на указанный адрес. были только письма от ваших поставщиков. в этом случае естественно был отказ. Господа - может кто нить обладает бета релизом прошивки в которой уже имеется сервис non dhcp-clips ? если да то как-нибудь поделился бы кто нить :) пишите своему поставщику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ms_root Опубликовано 4 февраля, 2013 · Жалоба LAG между SE100 и D-Link DGS-3627G Настроил Link Aggregation между SE100 и D-Link DGS-3627G. На данных двух линках собираются все pppoe сессии + отдельные вланы с линковочными адресами. Настройки 3627G Link Aggregation Algorithm = MAC-source-dest Group ID : 1 Type : LACP Master Port : 22 Member Port : 22-23 Active Port : 22-23 Status : Enabled LACP - Active Настройки SE100 link-group pppoe access description # 802.1Q + PPPOE # encapsulation dot1q mac-address auto dot1q pvc explicit 13 through 130 encapsulation pppoe bind authentication chap pap context local maximum 3000 dot1q pvc 10 bind interface vlandns local qos policy policing proxy-in qos policy metering proxy-out dot1q pvc 12 bind interface proxy local qos policy policing proxy-in qos policy metering proxy-out maximum-links 2 lacp passive Имеем вот такой результат Ccct count : 2 Grouping : LoadShare Card Type : carrier Type : access Bindings : Unbound Minimum-links : 1 Maximum-links : 2 Prot-Group-Type : round-robin Internal Handle : 255/22:1:26/1/1/17 Description : # 802.1Q + PPPOE # Constituent Circuits: 1. 2/1 (Up )| 10.75% 2. 2/2 (Up )| 13.94% По графикам загрузки портов делится примерно 60\40. Поправьте, если что-то не правильно, буду признателен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 6 февраля, 2013 · Жалоба Приветствую всех! Железо на тест приедет не скоро, но не подскажет ли кто-нибудь, не появился ли в новых версиях ОС для SmartEdge100 NAT 1-to-1 для multibind-интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angel_of_Sorrow Опубликовано 7 февраля, 2013 · Жалоба Возможно кто то принастройке dhcp-clips сталкивался с проблемой которая в логах радиуса на устройстве отображаеется как Feb 4 08:41:08: [0002]: [2/1:511:63:31/13/2/409]: %AAA-7-EXCEPT: aaa_idx 5000019a: aaa_process_db_response: Cannot populate dynamic attribute for subscriber 10.10.10.130. send FAIL to client. Проблема собственно в том что никакие динамические атрибуты не передаются и потому не могу понять что не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
soldercom Опубликовано 20 февраля, 2013 · Жалоба Добрый день. Взяли потестить SE100. Есть действующая сеть с абонентами которые часть подключены по static ip а часть по dhcp (option82). Возможно ли настроить SE100 в таком режиме, с возможностью плавного перевода всех на dhcp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 25 февраля, 2013 · Жалоба Ребят помогите разобраться: Не могу понять в чем дело, при подключении Юзера через PPPoE( радиус пораметры никакие не отдаются при этом, все должно браться с дефаулт субскрайбер) Юзер видит все кроме Мира, т.е видит оба интерфейса как смотрящего на Юзера так и в сторону Аплинка, в чем может быть проблема в Ip route? если да то подскажите пожалуйста как поправить. Redback Networks SmartEdge OS Version SEOS-11.1.2.7-Release Built by sysbuild@eussjlx7060.sj.us.am.ericsson.se Mon Feb 11 21:00:20 PST 2013 (null)System Bootstrap version is PowerPC,rev2.0.1.4 Installed minikernel version is 2.7 Router Up Time - 3 hours 29 minutes 37 secs Вот конфиг роутера: ! ! Configuration last changed by user 'nxbit' at Mon Feb 25 11:12:41 2013 ! ! ! aaa global authentication subscriber radius context local ! ! no service multiple-contexts ! ! ! software license subscriber active 8000 encrypted 1 subscriber bandwidth 60 encrypted 1 subscriber active ipv6 16000 encrypted 1 ! ! ! ! ! ! flow ip profile sorm active-timeout 1000 inactive-timeout 10 aggregation-cache-size 8192 ! ! ! dpi traffic-management protocol http escape-conversion ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! context local domain XNet advertise ! no ip domain-lookup ! ip nat pool NAT-0 napt multibind address 192.168.0.3/32 port-block 1 to 15 ! nat policy NAT connections icmp maximum 50 ! Default class ignore admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp icmp-notification ! Named classes access-group Users class NAT-0 pool NAT-0 local timeout tcp 18000 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 admission-control icmp endpoint-independent filtering udp icmp-notification ! interface internet p2p ip address 192.168.0.2/24 ip arp proxy-arp ! interface mgt ip address 10.99.0.99/24 ip source-address radius ! interface users multibind (Интерфейс смотрящий в сторону Юзеров) ip address 10.100.0.254/24 ip mtu 1500 ip icmp suppress packet-too-big ip arp timeout 900 ip pool 10.100.0.0/24 ip nat NAT logging console ! policy access-list Users seq 10 permit ip 10.100.0.0 0.0.0.255 class NAT-0 (сеть для которой будет выполнятся НАТ) ! router bgp Наша АС router-id Наш Ip multi-paths external 2 fast-reset 10000 milliseconds address-family ipv4 unicast flap-statistics network Анонсируемая сеть/24 ! neighbor Ип Аплинка external remote-as Их АС send community send ext-community address-family ipv4 unicast route-map FullView in prefix-list ourAS out ! ip arp 192.168.0.55 00:30:88:1c:хх:хх alias (Нужно ЛИ?) ! ppp keepalive check-interval seconds 10 response-timeout 35 data-check ! enable encrypted 1 $1$........ enable authentication local ! aaa authentication administrator local aaa authentication subscriber radius aaa accounting subscriber radius radius accounting server 10.99.0.101 encrypted-key 8 radius coa server 10.99.0.101 encrypted-key 8 port 3799 ! administrator nxbit encrypted 1 $1$........ ! radius server 10.99.0.101 encrypted-key 88 radius max-retries 5 radius timeout 30 ! subscriber default qos policy policing TARIF-DEFAULT-512K-IN qos policy metering TARIF-DEFAULT-512K-OUT nat policy-name NAT ip interface name users ppp mtu 1492 dns primary днс dns secondary 8.8.4.4 ! ip route 0.0.0.0/0 192.168.0.1 ip route 10.100.0.0/24 192.168.0.1 ? ! ! flow collector sorm ip-address 10.99.0.123 context local port 9996 export-version v5 transport-protocol udp ip profile sorm ! ! ! ! ** End Context ** logging tdm console logging active logging standby short ! ! ! ! qos policy TARIF-DEFAULT-512K-IN policing rate 512 burst 64 rate-calculation exclude layer-2-overhead ! qos policy TARIF-DEFAULT-512K-OUT metering rate 512 burst 64 rate-calculation exclude layer-2-overhead ! ! ! ! ! ! port ethernet 1/1 ! XCRP management port on slot 1 no shutdown bind interface mgt local ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port ! port ethernet 2/1 no auto-negotiate speed 100 no shutdown medium-type copper bind interface internet local ! port ethernet 2/2 no auto-negotiate speed 100 no shutdown medium-type copper encapsulation pppoe bind authentication chap pap context local maximum 8000 ! ! no service console-break ! service crash-dump-dram ! no service auto-system-recovery ! ! ! pppoe services marked-domains pppoe service-name accept-all pppoe circuit padr per-mac count 5 allow-time 60 drop-time 60 pppoe circuit padi per-mac count 5 allow-time 60 drop-time 60 ! end Вывод show sub act nxbit Session state Up Circuit 2/2 pppoe 11 Internal Circuit 2/2:511:63:31/6/2/11 Interface bound users Current port-limit unlimited Session time left 293891 Protocol Stack IPV4 ip address 10.100.0.104 (applied) ip interface users (applied from sub_default) ppp mtu 1492 (applied from sub_default) dns primary хх.хх.22.14 (applied from sub_default) dns secondary 8.8.4.4 (applied from sub_default) timeout absolute 297737 (applied) qos-policing-policy TARIF-DEFAULT-512K-IN (applied from sub_default) qos-metering-policy TARIF-DEFAULT-512K-OUT (applied from sub_default) nat policy-name NAT (applied from sub_default) show ip route Gateway of last resort is 192.168.0.1 to network 0.0.0.0 Type------Network--------------Next Hop--------Dist-----Metric----UpTime---Interface > S------0.0.0.0/0-----------192.168.0.1---------1---------0-------03:23:27--internet > C------10.99.0.0/24-------------0---------------0------------------03:23:27---mgt > S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet > SUB A-10.100.0.104/32------------------------15--------0-------01:07:18--users #show arp-cache Total number of arp entries in cache: 3 Resolved entry : 3 Incomplete entry : 0 Host----------------Hardware address----------Ttl----------Type----------Circuit 192.168.0.1 ---------- f0:7d:68:50:4f:36 ----------1319----------ARPA 2/1 192.168.0.2 ---------- 00:30:88:1c:81:fa ---------- - ---------- ARPA 2/1 192.168.0.55 ---------- 00:30:88:1c:81:fa ---------- - ---------- None - Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 25 февраля, 2013 · Жалоба наверно надо сделать NAT в публичный адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 25 февраля, 2013 · Жалоба ingress Дело в том что это тестовый стэнд, и в роли аплинка сейчас участвует обычный Дир-300, поэтому 192,168,0,х это в данном случае публичный адрес) Сейчас цель: воссоздать рабочий конфиг, а затем немного поравить и внедрить в работу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба Проблема похоже из ряда "не решайка" Посмотрел все конфиги мультиконтетекстовые и роутинг настроен уже между контекстов. Попробую зделать тоже самое.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...