mikevlz Опубликовано 14 октября, 2013 · Жалоба Полка на каком графике? Если полка по полосе - то полоса упрется, а число PPS попробует вырасти. У него даже получится, но толку не будет. Если полка по PPS, то трафик на графике гулять будет слегка, а вот PPS гулять не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dextor Опубликовано 14 октября, 2013 · Жалоба Полка на каком графике? Если полка по полосе - то полоса упрется, а число PPS попробует вырасти. У него даже получится, но толку не будет. Если полка по PPS, то трафик на графике гулять будет слегка, а вот PPS гулять не будет. Полка на скорости, по PPS полки нет. Полоса свободная есть 100%. Проблема точно не в железе, у нас несколько таких брасов в каждом по 2 плате, и на всех такая проблема... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scout Опубликовано 14 октября, 2013 · Жалоба NTP можно зарезервировать при помощи принципа anycast. Т.е. на серверах на loopback интерфейсе вешаете один и тот же адрес и по протоколу динамической маршрутизации анонсируете в ядро сети. К сожалению, сами NTP сервера такой возможности не имеют (в них можно настроить IP адрес, DGW и маску - все). Разве что задать им одинаковые адреса, и разрулить на SE... Но проблема в том, что NTP сервера уже используются другими узлами и провести замену адресов на них очень проблематично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PowerPack Опубликовано 17 октября, 2013 (изменено) · Жалоба У нас похоже проблема в другом. Используем карты 10ge-oc192-1-port, при 6.75 Гбит входящего трафика на графиках вырисовывается отчётливая полка. Пакетная нагрузка при этом около 600к в одну сторону. На сколько я помню, когда мы тестировали вот такую плату http://shop.nag.ru/catalog/00002.Marshrutizatory/05249.Ericsson/05585.ROA12834091 , то упирались в полку в 2 000 000 pps half duplex . Т.е. режешь исходящий трафик, входящий прибавляется, а pps суммарно проходящие через плату как были в полке, так и остаются на месте. Изменено 17 октября, 2013 пользователем PowerPack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 17 октября, 2013 · Жалоба NTP можно зарезервировать при помощи принципа anycast. Т.е. на серверах на loopback интерфейсе вешаете один и тот же адрес и по протоколу динамической маршрутизации анонсируете в ядро сети. К сожалению, сами NTP сервера такой возможности не имеют (в них можно настроить IP адрес, DGW и маску - все). Разве что задать им одинаковые адреса, и разрулить на SE... Но проблема в том, что NTP сервера уже используются другими узлами и провести замену адресов на них очень проблематично. Какая ОС и ПО на ntp серверах? Я не предлагал на сетевом интерфейсе что-то менять. Только добавить на виртуальный интерфейс, на котором ntp-демон будет слушать запросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 23 октября, 2013 · Жалоба Можно подсказать OID (SE-100) чтоб мониторить PPS ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 2 ноября, 2013 · Жалоба стандартный счетчик интерфейса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 7 ноября, 2013 · Жалоба обладатели SE100/600/1200 можно ли на данных устройствах создать тарифы по quota(ограничить по объему) для каждого абонента? типа 10ГБ, 50ГБ и тд. сейчас этим занимается у нас SCE1000, а купить SCE8000 пока бюджет не позволяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 7 ноября, 2013 · Жалоба да. в радиус аттрибутах есть quote Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 ноября, 2013 · Жалоба На сколько помню там как то так: отправляете некий лимит трафика (вх. или исх. или общий) по исчерпании которого SE шлет alive пакет как бы спрашивая у радиуса что делать, ну а он уже коммандует. Извините но названий атрибутов и цитат доки дать не могу, т.к. пишу с телефона. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RialCom.ru Опубликовано 9 ноября, 2013 · Жалоба Позволю себе немного пошалить ;) в теме может быть кому то интересны карты для 600/1200 на 20 гигабитных SFP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 11 ноября, 2013 · Жалоба На сколько помню там как то так: отправляете некий лимит трафика (вх. или исх. или общий) по исчерпании которого SE шлет alive пакет как бы спрашивая у радиуса что делать, ну а он уже коммандует. Извините но названий атрибутов и цитат доки дать не могу, т.к. пишу с телефона. Главное что на базе SE это возможно и функционал работоспособный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maximcanna Опубликовано 10 января, 2014 · Жалоба Столкнулся с проблемой: Есть необходимость настроить на SE1200 NON-DHCP-CLIPS, потому и решили обновиться до 12.1.1.2/12.1.1.4p3. Оказалось что версии >12 не правельно понимают атрибут: Ascend-Data-Filter, а точнее srcip x.x.x.x/32 ему понятна, но она не работает, x.x.x.x/31 работает как положенно. в 11.1.2.9 все работает как надо, вот только нет в ней NON-DHCP-CLIPS... Может комуто удалось побороть такое поведение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 14 января, 2014 · Жалоба Может комуто удалось побороть такое поведение? покажите что вы пытаетесь возвратить в ADF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maximcanna Опубликовано 14 января, 2014 · Жалоба Может комуто удалось побороть такое поведение? покажите что вы пытаетесь возвратить в ADF? X-Ascend-Data-Filter += "ip in forward srcip x.x.x.x/32", X-Ascend-Data-Filter += "ip in drop", Причем он это понимает: Session state Up Circuit 1/2 vlan-id 3309:2136 clips 263105 Internal Circuit 1/2:511:63:31/13/2/961 Interface bound IF_TEST Current port-limit unlimited Protocol Stack IPV4 context-name CLIENTS (applied) ip interface IF_TEST (applied) dhcp max-addrs 1 (not applied) ip address x.x.x.x (applied) ascend data filter (applied in) TLV size is: 64 ip in forward srcip x.x.x.x/32 ip in drop Но режет пакеты. в 11 версии работает нормально. Также в 12 версии работает если поставить маску /31 а не /32 , но в таком случае мы разрешаем пользователю доступ и с соседнего адреса... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 15 января, 2014 · Жалоба т.е. цель предотвратить подделку IP заголовков? это можно решить без ACL, включив uRPF в профиле абонента: ! subscriber default ip source-validation ! и демультиплексацию CLIPS сессий на основе src MAC: ! port ethernet 1/1 service clips dhcp source-mac ! ADF попробую проверить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maximcanna Опубликовано 15 января, 2014 · Жалоба Начну так: есть необходимость на SE терминировать пользователей которые в разных влан-ах (Vlan per User QinQ) и пользователей которые находятся в общем ВЛАН-е. Для первых мы настроили auto-subscriber и определяем их по INNER и OUTER влан-ам, в таком случае, даже если у клиента больше чем 1 адрес, всё спокойно резалось по ADF (в версии 11). Для последних последних понадобилась 12-я версия и её NON-DHCP-CLIPS, так как есть и пользователи у которых статически вбиты адреса. Если можно както по другому обойти ограничения буду только рад протестировать :). может тотже NON-DHCP-CLIPS на блоке 1qtunnel? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redds537 Опубликовано 23 января, 2014 (изменено) · Жалоба Схема IPoE VLAN per Customer - QinQ - L2 Connected to BRAS (SE600) BRAS as DHCP Proxy <- RADIUS - > Billing (DHCP) Dynamic Real IP 1. Что лучше? а) на доступе добаdлять DHCP Opt82 (свич+порт+влан) - и по ней определять юзера в биллинге и выдавать адрес? (тут все понятно как работает - напрягает зависимость от вендорозависимости на доступе) либо б) раз юзера можно однозначно определить по QinQ - то может его только и юзать для "авторизации" и выдачи адреса? Правда тут совершенно не ясна цепочка действий (BRAS/RADIUS/BILLING/DHCP) Кто -нить юзает так? Если в общих чертах опишите - будет прекрасно. Плюс - что от доступа нужно только влан - это просто и стандартно и дешево и вендоронезависимо. 2) В случае L2 connected на брасе - для защиты от подмены мака и ипа юзером - что нужно? На доступе не нужны всякие косячные штуки опять же вендорозависимые и иногда глючно работающие? Достаточно на брасе ? ip source-validation и service clips dhcp source-mac ? 3. От петель защита на брасе или раньше? (ядро/агрегация/доступ?) 4. Есть инет/пиринг/локалка(через брас) (брас - он же бордер - на нем влан аплинка и влан пиринга) Вопрос а) Можно ли заюзать раздельные скорости и аккаунтинг на три этих сервиса? (если да - то как в общих чертах траф "раскрасить"/определить в нужный "сервис" ?) На ум приходит Инет - дефолт (все что явно не попало в другие правила) локалка - пулы известны - можно легко определить в нужное правило -пиринг - сети приходят по бгп - но редко обновляются - раз в день с помощью внешнего костыля грепать по какому-нить признаку и загонять в правила (но вроде тут писали - что это плохо, почему?) Еще вроде можно по пиринговому влану входящий траф покрасить - но тогда исходящий без контроля (вернее он попадет в дефолтную скорость тарифа - которая для Инета ?) Тоже не айс 5. По поводу квот - есть безлимиты со 100 М скоростью, но есть страховка - после например объема 1T - скорость юзера падает до 1M до конца месяца Это рулить с помощью биллинга - он по аккаунтигу (кстати - квоты тоже посервисно работают?) считает траф юзера и после лимита с помощью CoA меняет юзеру скорость? 6. Нетфлоу без проблем работает по стандарту? (вроде v5) ? NFDUMP понимает? Или лучше где то еще заюзать? 7. Зеркалирование для СОРМ без проблем? 8. Что по поводу резервирования SE600 ? - хранить отдельные "запчасти" (какие?) - хранить еще один агрегат с полной набивокй? - какой-то другой вариант? Спасибо. Изменено 23 января, 2014 пользователем redds537 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redds537 Опубликовано 29 января, 2014 · Жалоба это прискорбно ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 29 января, 2014 · Жалоба То что не хотите искать/читать - да, более чем прискорбно. Например вопрос №4 уже рассмотрен ранее в этой самой теме, но вам же лень искать/читать. Если хочется точных и развернутых ответов на ваши вопросы - оглашайте сумму, за которую кто нибудь, может быть возмется вам все разжевывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redds537 Опубликовано 30 января, 2014 · Жалоба Спасибо. Я читал. Слишком много читал и запутался) (не могу зерна от плевел отделить) Я просто хотел получить в одном месте простые ответы типа "да/нет", "возможно/возможно с костылями/невозможно". Без конфигов и подробных объяснений. Чтобы просто выбрать. А дальше ясно, что нужно платить интегратору за интеграцию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 30 января, 2014 · Жалоба хотел получить в одном месте простые ответы Оке, поехали :) 1. Что лучше? а) на доступе добаdлять DHCP Opt82 (свич+порт+влан) - и по ней определять юзера в биллинге и выдавать адрес? ... б) раз юзера можно однозначно определить по QinQ - то может его только и юзать для "авторизации" и выдачи адреса? Тут можете делать совершенно как вам угодно с учетом того, что именно умеет ваш биллинг, т.е. если он умеет только Option 82 и знать не знает про VLAN-ы - выбор, сами понимаете, не велик. 2) В случае L2 connected на брасе - для защиты от подмены мака и ипа юзером - что нужно? На доступе не нужны всякие косячные штуки опять же вендорозависимые и иногда глючно работающие? Достаточно на брасе ? ip source-validation и service clips dhcp source-mac ? В начале этой страницы вроде уже есть ответ: т.е. цель предотвратить подделку IP заголовков? это можно решить без ACL, включив uRPF в профиле абонента: ! subscriber default ip source-validation ! и демультиплексацию CLIPS сессий на основе src MAC: ! port ethernet 1/1 service clips dhcp source-mac ! 3. От петель защита на брасе или раньше? (ядро/агрегация/доступ?) От петель защищаются там, где эти петли могут возникнуть. Исключая вариант, что умеючи можно йух в 3-х местах сломать, то каким образом вы себе представлете петлю на BRAS-е и/или в ядре? 4. Есть инет/пиринг/локалка(через брас) ... а) Можно ли заюзать раздельные скорости и аккаунтинг на три этих сервиса? Ссылку дал постом выше ;) 5. По поводу квот - есть безлимиты со 100 М скоростью, но есть страховка - после например объема 1T - скорость юзера падает до 1M до конца месяца Это рулить с помощью биллинга - он по аккаунтигу (кстати - квоты тоже посервисно работают?) считает траф юзера и после лимита с помощью CoA меняет юзеру скорость? SE != SCE, так что да, рулить из биллинга. 6. Нетфлоу без проблем работает по стандарту? (вроде v5) ? NFDUMP понимает? Или лучше где то еще заюзать? Сам netflow на SE не юзаю, т.к. снимаю в другом месте, но по отзывам все нормально работает. 7. Зеркалирование для СОРМ без проблем? Зеркалирую в другом месте (свичом тупо быстрее), так что тут не подскажу, извините. 8. Что по поводу резервирования SE600 ? - хранить отдельные "запчасти" (какие?) - хранить еще один агрегат с полной набивокй? - какой-то другой вариант? Все зависит от того КАК вы хотите резервироваться. Если хотите холодного резерва, то набираете запчастей и складываете их на полку, если хотите горячего резерва, то либо втыкать запасной XCRP (SE600 вроде умеет), либо ставить рядом еще одну коробку. В общем - все на ваш вкус и кошелек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redds537 Опубликовано 30 января, 2014 · Жалоба спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eldar.n Опубликовано 30 января, 2014 · Жалоба Толку от второго xcrp мало если например карта сгорит или крэшнится. Лучше делать горячий резерв, чтобы в случае чего не бегать держась за голову. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 24 февраля, 2014 · Жалоба SE-600 Redback Networks SmartEdge OS Version SEOS-11.1.2.9-Release Feb 23 23:47:23: %CSM-6-CARD: PPA crash detected on card 10ge-4-port 1Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/1 link state DOWN service state DOWN, overall admin is UP Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/1 link state down, trigger source: Configuration changed or hardware removed Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/2 link state DOWN service state DOWN, overall admin is UP Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/2 link state down, trigger source: Configuration changed or hardware removed Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/3 link state DOWN service state DOWN, overall admin is UP Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/3 link state down, trigger source: Configuration changed or hardware removed Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/4 link state DOWN service state DOWN, overall admin is UP Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/4 link state down, trigger source: Configuration changed or hardware removed Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Full neighbor 195.2.238.1 event: Kill Neighbor Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Neighbor 195.2.238.1 fell from Full state to Down state Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Full neighbor 195.2.238.7 event: Kill Neighbor Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Neighbor 195.2.238.7 fell from Full state to Down state Feb 23 23:47:23: %LG-3-GRP_LOG: link-group uplink state: DOWN Feb 23 23:47:25: %PM-1-ALERT: Process EPPA IPC SLOT 1, pid 0x81010001, is not responding. Feb 23 23:47:31: %PPAINFRA-3-LOG_ERR: crashSrvr(): Slot/ppa 1/1 Crash server data collection started Feb 23 23:49:00: %AAA-6-INFO: aaa_prov_sendto_rcm: Throttle bit is set. Throttle hit count: 1, current queue count: 501 Feb 23 23:49:25: %AAA-6-INFO: aaa_rcm_attr_ipc_in_mgr: Throttle bit is cleared. Current queue count: 384 Feb 23 23:55:30: %PPAINFRA-3-LOG_ERR: crashSrvr(): Slot/ppa 1/1 Crash server data collection done Feb 23 23:55:34: %SYSMON-5-GEN_FTP: Core file /ata0/p02/ppa/crashSlot01Eppa.gz FTPed to /md/ successfully Feb 23 23:55:48: %SYSMON-5-GEN_FTP: Core file /ata0/p02/ppa/crashSlot01EppaCore.gz FTPed to /md/ successfully Feb 23 23:55:49: %CSM-6-CARD: card 10ge-4-port REMOVED from slot 1 Feb 23 23:55:50: %PM-1-ALERT: Process IPPA IPC SLOT 1, pid 0x80010001, is not responding. Feb 23 23:55:59: %CSM-6-CARD: card 10ge-4-port INSERTED in slot 1 Feb 23 23:56:05: %QOS-6-INFO: qos info: PPA just reborn 0 Feb 23 23:56:05: %QOS-6-INFO: qos info: iPPA reg on slot 1 Feb 23 23:56:05: %CSM-6-CARD: card 10ge-4-port INSERTED in slot 1 READY Feb 23 23:56:06: %QOS-6-INFO: qos info: PPA just reborn 0 Feb 23 23:56:06: %QOS-6-INFO: qos info: ePPA reg on slot 1 Feb 23 23:56:06: %PPAINFRA-6-ISTART_INFO: 32302f67/0000000001/775600000:01/IPPA/EU00:Ready to receive packets Feb 23 23:56:06: %PPAINFRA-6-ISTART_INFO: 36c4523e/0000000001/947000000:01/EPPA/EU00:Ready to receive packets Feb 23 23:56:06: %CSM-6-CARD: Card in slot 1 entering In Service state. Feb 23 23:56:07: %PPAINFRA-6-IFACE_INFO: 586aad16/0000000003/200800000:01/IPPA/EU00:ROUTING_READY sent to CSM Feb 23 23:56:07: %CSM-6-PORT: ethernet 1/1 link state UP service state UP, overall admin is UP Feb 23 23:56:08: %CSM-6-PORT: ethernet 1/2 link state UP service state UP, overall admin is UP Feb 23 23:56:10: %CSM-6-PORT: ethernet 1/3 link state UP service state UP, overall admin is UP Feb 23 23:56:11: %CSM-6-PORT: ethernet 1/4 link state UP service state UP, overall admin is UP Feb 23 23:57:11: %LG-3-GRP_LOG: link-group uplink state: UP Есть кто встречался с подобным ? Че делать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...