Перейти к содержимому
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно ли на одном интерфейсе сделать как Dynamic Clips, так и Statis Clips?

 

Попробовал скрестить, но абонент с жестко прибитым адресом (не DCHP) в инет не выходит. Вот и вопрос, то ли я не так настроил что-то, то ли оно в принципе так не умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрал пока dynamic Clips, все-равно не работает...

 

context local
interface INET
 ip address 31.40.112.30/27
!
interface UCISCO
 ip address 31.40.112.33/30
 ip access-group cisco-L3-allow-only in
!
interface USERS multibind lastresort
 ip unnumbered loop
 dhcp proxy 65535
!
interface loop loopback
 ip address 31.40.114.126/32
logging console
!
ip access-list cisco-L3-allow-only
 seq 10 permit ip host 31.40.112.34
 seq 20 permit ip host 10.0.0.1
 seq 30 permit ip host 31.40.114.2
 seq 40 permit ip host 31.40.114.1
 seq 50 permit ip host 31.40.112.3
!
subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT
! ** End Context **

link-group USERS access
bind interface UCISCO local
service clips
  clips pvc 10
   bind subscriber test-sub@local
lacp active

 

При этом, если переписать так:

link-group USERS access
bind interface UCISCO local
service clips dhcp
lacp active

 

То Dynamic Clips работает нормально.

 

Redback#sh subscr
TYPE    CIRCUIT                    SUBSCRIBER         CONTEXT   START TIME
--------------------------------------------------------------------------------
clips   lg id 25 clips 10          test-sub@local     local     Jan 19 03:59:04
--------------------------------------------------------------------------------
Total=1

Type            Authenticating          Active          Disconnecting
PPP                          0               0                      0
PPPoE                        0               0                      0
DOT1Q                        0               0                      0
CLIPs                        0               1                      0
ATM-B1483                    0               0                      0
ATM-R1483                    0               0                      0
Mobile-IP                    0               0                      0

Но

Redback#sh subscribers address username test-sub@local
Host             Interface                        Nhop cct

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по-всему, брас игнорирует кусок конфига

subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT

 

т.к.

Redback#sh subscribers active
test-sub@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/168
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)

 

Видно, что даже полиси не соответствуют тем, что настроены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по-всему, брас игнорирует кусок конфига

subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT

 

т.к.

Redback#sh subscribers active
test-sub@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/168
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)

 

Видно, что даже полиси не соответствуют тем, что настроены.

 

судя по выводу стоит команда

aaa authentication subscriber none

 

это означает что аутентификация выключена (т.е. всегда положительная) и применяется только то что прописано в subscriber default.

еще и ip адрес не назначен на сессию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоит aaa authentication subscriber radius для работы dynamic clips

(Радиус-заглушка, всегда отвечает access-accept, нужен для адекватной работы биллинга)

когда делаю

bind subscriber test-sub@local

commit

проходит авторизация по радиусу.

ответ радиуса:

DHCP-Max-Leases = 1

IP-Interface-Name = "USERS"

Context-Name = "local"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

 

 

Можно ли по подробнее ?

Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель".

Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy".

В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license".

 

Что я неправильно понимаю ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по-всему в пределах одного контекста невозможно скрестить и Dynamic Clips и Static Clips...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможно, просто вы будете ограничены одним aaa методом. Т.е. заглушку не получится использовать, все должно будет через радиус идти, например.

и еще не увидел, где собственно dynamic клипс в pvc в вашем конфиге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все. проблему решил -)

 

Нарисовал

aaa authentication subscriber local radius

Теперь сначала проверяется по локальной БД, а потом уже идет в радиус

 

link-group USERS access
bind interface UCISCO local
service clips dhcp
  clips pvc 10
   bind subscriber t1@local
lacp active

 

sh sub act
t1@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/175
       Interface bound  USERS
       Current port-limit unlimited
       ip address 31.40.114.10 (applied)
       profile BRAS-20482048 (applied)
       qos-policing-policy BRAS-2048-IN (applied from sub_profile)
       qos-metering-policy BRAS-2048-OUT (applied from sub_profile)
00:22:15:77:51:28
       Session state Up
       Circuit   lg id 25 clips 131236
       Internal Circuit   255/22:1:26/7/2/176
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       dhcp vendor class id MSFT 5.0 (applied)
       dhcp option client id 0x3d0701002215775128 (applied)
       dhcp option hostname 0x0c07746573742d8f8a (applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)
         IP host entries installed by DHCP: (max_addr 1 cur_entries 1)
               31.40.114.3    00:22:15:77:51:28

 

И статические юзеры ходят в инет и по DHCP через радиус авторизуются динамические юзеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла не очень важная проблема, даже 2.

1. Часовой пояс.

Указываю:

system clock timezone YEKST 6 0
ntp server 31.40.112.3 version 3  context local

Получаю:

Redback#sh clock
Thu Jan 19 10:53:04 2012 GMT

 

Все замечательно, но почему время по GMT показывает? Или это особенность железки и надо просто смириться с этим?

Отсюда выплывает проблема номер 1.5:

policy access-list ACL-1-8-INOUT
 condition 1 time-range
  periodic weekend weekdays 01:00 to 08:00 class INET-NIGHT
 seq 10 permit ip any any class INET-DAY condition 1

Время срабатывания по GMT! А надо по локальному времени.

Можно конечно переписать в полиси время на гринвича, но это не кошерно.

 

И вопрос номер 2:

qos policy BRAS-2048-IN policing
rate 2048 burst 262144 excess-burst 393216
rate-calculation exclude layer-2-overhead
!
qos policy BRAS-2048-OUT metering
rate 2048 burst 262144 excess-burst 393216
rate-calculation exclude layer-2-overhead

Входящий режет четко 2 мегабита, а исходящий 2.5 мегабита.

Не принципиально, но все-таки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

system clock timezone YEKST 6 0 local

 

Спасибо! Сам не додумался! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

 

 

Можно ли по подробнее ?

Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель".

Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy".

В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license".

 

Что я неправильно понимаю ?

все верно вы понимаете, есть готовые LI админы и LI операторы, есть так же специальный тип инкапсуляции для туннелирования перехваченного трафика в соответствии с CALEA T1.678 - и для этого нужна лицензия.

 

однако повторюсь - все это можно сделать и без LI-обертки. Для администраторов использовать TACACS+ с ограничением команд, forward policy с mirror, и туннелинг в виде GRE как вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемые коллеги, а можно ли на SE100 как-нибудь поставить IP-адрес на bridge?

 

Типа как в Cisco:

bridge irb
!
interface Ethernet0
no ip address
bridge-group 1
!
Interface Ethernet1
no ip address
bridge-group 1
!
interface BVI1
ip address 10.10.10.1 255.255.255.0
!
bridge 1 protocol ieee
bridge 1 route ip
!

 

Что-то в документации не обнаружил подобной вещи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Manual:

 

[local]Redback(config)#context bvi-context
[local]Redback(config-ctx)#bridge bvi-bridge
[local]Redback(config-bridge)#description Bridge for BVI to support routed and bridged traffic

[local]Redback(config-ctx)#interface i1
[local]Redback(config-if)#ip address 192.168.110.1 255.255.255.0

[local]Redback(config-ctx)#interface br1 bridge
[local]Redback(config-if)#bridge name bvi-bridge

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

[local]Redback(config)#port eth 1/1
[local]Redback(config-port)#bind interface br1 bvi-context

[local]Redback(config)#port eth 2/1
[local]Redback(config-port)#bind interface br1 bvi-context

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Manual:

 

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

[local]Redback(config)#port eth 1/1
[local]Redback(config-port)#bind interface br1 bvi-context

[local]Redback(config)#port eth 2/1
[local]Redback(config-port)#bind interface br1 bvi-context

 

 

Вот этого как раз в мануале и не заметил.

Как бридж создать видел, а вот port bvi пропустил.

 

Спасибо за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

 

С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить?

Почему-то команду

bridge name bvi-bridge bvi-context

принимает, но в конфиге данная запись не появляется.

 

Спасибо!

 

PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release

 

софт старый, документация тем более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почему полиси ограничивает скорость рывками? Неравномерно, возможны скачки почти в два раза превышающие установленную скорость.

Страницы в интернете у клиентов открываются медленно, а скорость скачивания соответствует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации?

Реализовали уже persistent NAT?

 

P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет.

Изменено пользователем Vofffka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

 

С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить?

 

Вопрос более не актуален - ответ найден в документации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации?

6.5.1.4

6.4.1.5

6.2.1.9

Реализовали уже persistent NAT?

Если имеется в виду CG-NAT, то он готов в 11.1 релизе.

P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет.

Необходимо написать письмо на smartedge@nag.ru

На все письма поступающие туда от пользователей SE дается доступ без ограничений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Если имеется в виду CG-NAT, то он готов в 11.1 релизе.

Как и где можно получить этот релиз?

 

Необходимо написать письмо на smartedge@nag.ru

На все письма поступающие туда от пользователей SE дается доступ без ограничений.

Письмо писал, ответа нет, как и доступа к разделу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас