Ivan Rostovikov Опубликовано 18 января, 2012 · Жалоба К стати насчет лицензий. LI-функционал будет работать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 18 января, 2012 · Жалоба LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Возможно ли на одном интерфейсе сделать как Dynamic Clips, так и Statis Clips? Попробовал скрестить, но абонент с жестко прибитым адресом (не DCHP) в инет не выходит. Вот и вопрос, то ли я не так настроил что-то, то ли оно в принципе так не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Убрал пока dynamic Clips, все-равно не работает... context local interface INET ip address 31.40.112.30/27 ! interface UCISCO ip address 31.40.112.33/30 ip access-group cisco-L3-allow-only in ! interface USERS multibind lastresort ip unnumbered loop dhcp proxy 65535 ! interface loop loopback ip address 31.40.114.126/32 logging console ! ip access-list cisco-L3-allow-only seq 10 permit ip host 31.40.112.34 seq 20 permit ip host 10.0.0.1 seq 30 permit ip host 31.40.114.2 seq 40 permit ip host 31.40.114.1 seq 50 permit ip host 31.40.112.3 ! subscriber name test-sub ip address 31.40.114.10 qos policy policing BRAS-2048-IN qos policy metering BRAS-2048-OUT ! ** End Context ** link-group USERS access bind interface UCISCO local service clips clips pvc 10 bind subscriber test-sub@local lacp active При этом, если переписать так: link-group USERS access bind interface UCISCO local service clips dhcp lacp active То Dynamic Clips работает нормально. Redback#sh subscr TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- clips lg id 25 clips 10 test-sub@local local Jan 19 03:59:04 -------------------------------------------------------------------------------- Total=1 Type Authenticating Active Disconnecting PPP 0 0 0 PPPoE 0 0 0 DOT1Q 0 0 0 CLIPs 0 1 0 ATM-B1483 0 0 0 ATM-R1483 0 0 0 Mobile-IP 0 0 0 Но Redback#sh subscribers address username test-sub@local Host Interface Nhop cct Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Судя по-всему, брас игнорирует кусок конфига subscriber name test-sub ip address 31.40.114.10 qos policy policing BRAS-2048-IN qos policy metering BRAS-2048-OUT т.к. Redback#sh subscribers active test-sub@local Session state Up Circuit lg id 25 clips 10 Internal Circuit 255/22:1:26/4/2/168 Interface bound USERS Current port-limit unlimited dhcp max-addrs 1 (applied) ip interface USERS (applied) context-name local (not applied) qos-policing-policy BRAS-256-IN (applied from sub_default) qos-metering-policy BRAS-256-OUT (applied from sub_default) Видно, что даже полиси не соответствуют тем, что настроены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 19 января, 2012 · Жалоба Судя по-всему, брас игнорирует кусок конфига subscriber name test-sub ip address 31.40.114.10 qos policy policing BRAS-2048-IN qos policy metering BRAS-2048-OUT т.к. Redback#sh subscribers active test-sub@local Session state Up Circuit lg id 25 clips 10 Internal Circuit 255/22:1:26/4/2/168 Interface bound USERS Current port-limit unlimited dhcp max-addrs 1 (applied) ip interface USERS (applied) context-name local (not applied) qos-policing-policy BRAS-256-IN (applied from sub_default) qos-metering-policy BRAS-256-OUT (applied from sub_default) Видно, что даже полиси не соответствуют тем, что настроены. судя по выводу стоит команда aaa authentication subscriber none это означает что аутентификация выключена (т.е. всегда положительная) и применяется только то что прописано в subscriber default. еще и ip адрес не назначен на сессию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Стоит aaa authentication subscriber radius для работы dynamic clips (Радиус-заглушка, всегда отвечает access-accept, нужен для адекватной работы биллинга) когда делаю bind subscriber test-sub@local commit проходит авторизация по радиусу. ответ радиуса: DHCP-Max-Leases = 1 IP-Interface-Name = "USERS" Context-Name = "local" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 19 января, 2012 · Жалоба LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения. Можно ли по подробнее ? Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель". Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy". В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license". Что я неправильно понимаю ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Судя по-всему в пределах одного контекста невозможно скрестить и Dynamic Clips и Static Clips... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 19 января, 2012 · Жалоба возможно, просто вы будете ограничены одним aaa методом. Т.е. заглушку не получится использовать, все должно будет через радиус идти, например. и еще не увидел, где собственно dynamic клипс в pvc в вашем конфиге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Все. проблему решил -) Нарисовал aaa authentication subscriber local radius Теперь сначала проверяется по локальной БД, а потом уже идет в радиус link-group USERS access bind interface UCISCO local service clips dhcp clips pvc 10 bind subscriber t1@local lacp active sh sub act t1@local Session state Up Circuit lg id 25 clips 10 Internal Circuit 255/22:1:26/4/2/175 Interface bound USERS Current port-limit unlimited ip address 31.40.114.10 (applied) profile BRAS-20482048 (applied) qos-policing-policy BRAS-2048-IN (applied from sub_profile) qos-metering-policy BRAS-2048-OUT (applied from sub_profile) 00:22:15:77:51:28 Session state Up Circuit lg id 25 clips 131236 Internal Circuit 255/22:1:26/7/2/176 Interface bound USERS Current port-limit unlimited dhcp max-addrs 1 (applied) ip interface USERS (applied) context-name local (not applied) dhcp vendor class id MSFT 5.0 (applied) dhcp option client id 0x3d0701002215775128 (applied) dhcp option hostname 0x0c07746573742d8f8a (applied) qos-policing-policy BRAS-256-IN (applied from sub_default) qos-metering-policy BRAS-256-OUT (applied from sub_default) IP host entries installed by DHCP: (max_addr 1 cur_entries 1) 31.40.114.3 00:22:15:77:51:28 И статические юзеры ходят в инет и по DHCP через радиус авторизуются динамические юзеры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба Возникла не очень важная проблема, даже 2. 1. Часовой пояс. Указываю: system clock timezone YEKST 6 0 ntp server 31.40.112.3 version 3 context local Получаю: Redback#sh clock Thu Jan 19 10:53:04 2012 GMT Все замечательно, но почему время по GMT показывает? Или это особенность железки и надо просто смириться с этим? Отсюда выплывает проблема номер 1.5: policy access-list ACL-1-8-INOUT condition 1 time-range periodic weekend weekdays 01:00 to 08:00 class INET-NIGHT seq 10 permit ip any any class INET-DAY condition 1 Время срабатывания по GMT! А надо по локальному времени. Можно конечно переписать в полиси время на гринвича, но это не кошерно. И вопрос номер 2: qos policy BRAS-2048-IN policing rate 2048 burst 262144 excess-burst 393216 rate-calculation exclude layer-2-overhead ! qos policy BRAS-2048-OUT metering rate 2048 burst 262144 excess-burst 393216 rate-calculation exclude layer-2-overhead Входящий режет четко 2 мегабита, а исходящий 2.5 мегабита. Не принципиально, но все-таки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 19 января, 2012 · Жалоба system clock timezone YEKST 6 0 local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 19 января, 2012 · Жалоба system clock timezone YEKST 6 0 local Спасибо! Сам не додумался! :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 20 января, 2012 · Жалоба LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения. Можно ли по подробнее ? Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель". Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy". В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license". Что я неправильно понимаю ? все верно вы понимаете, есть готовые LI админы и LI операторы, есть так же специальный тип инкапсуляции для туннелирования перехваченного трафика в соответствии с CALEA T1.678 - и для этого нужна лицензия. однако повторюсь - все это можно сделать и без LI-обертки. Для администраторов использовать TACACS+ с ограничением команд, forward policy с mirror, и туннелинг в виде GRE как вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elshad Опубликовано 20 января, 2012 · Жалоба Уважаемые коллеги, а можно ли на SE100 как-нибудь поставить IP-адрес на bridge? Типа как в Cisco: bridge irb ! interface Ethernet0 no ip address bridge-group 1 ! Interface Ethernet1 no ip address bridge-group 1 ! interface BVI1 ip address 10.10.10.1 255.255.255.0 ! bridge 1 protocol ieee bridge 1 route ip ! Что-то в документации не обнаружил подобной вещи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 20 января, 2012 · Жалоба Manual: [local]Redback(config)#context bvi-context [local]Redback(config-ctx)#bridge bvi-bridge [local]Redback(config-bridge)#description Bridge for BVI to support routed and bridged traffic [local]Redback(config-ctx)#interface i1 [local]Redback(config-if)#ip address 192.168.110.1 255.255.255.0 [local]Redback(config-ctx)#interface br1 bridge [local]Redback(config-if)#bridge name bvi-bridge [local]Redback(config)#port bvi port-bvi [local]Redback(config-port)#no shutdown [local]Redback(config-port)#bind interface i1 bvi-context [local]Redback(config-port)#bridge name bvi-bridge bvi-context [local]Redback(config)#port eth 1/1 [local]Redback(config-port)#bind interface br1 bvi-context [local]Redback(config)#port eth 2/1 [local]Redback(config-port)#bind interface br1 bvi-context Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elshad Опубликовано 20 января, 2012 · Жалоба Manual: [local]Redback(config)#port bvi port-bvi [local]Redback(config-port)#no shutdown [local]Redback(config-port)#bind interface i1 bvi-context [local]Redback(config-port)#bridge name bvi-bridge bvi-context [local]Redback(config)#port eth 1/1 [local]Redback(config-port)#bind interface br1 bvi-context [local]Redback(config)#port eth 2/1 [local]Redback(config-port)#bind interface br1 bvi-context Вот этого как раз в мануале и не заметил. Как бридж создать видел, а вот port bvi пропустил. Спасибо за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elshad Опубликовано 21 января, 2012 · Жалоба [local]Redback(config)#port bvi port-bvi [local]Redback(config-port)#no shutdown [local]Redback(config-port)#bind interface i1 bvi-context [local]Redback(config-port)#bridge name bvi-bridge bvi-context С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить? Почему-то команду bridge name bvi-bridge bvi-context принимает, но в конфиге данная запись не появляется. Спасибо! PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 21 января, 2012 · Жалоба PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release софт старый, документация тем более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lexa2011 Опубликовано 21 января, 2012 · Жалоба почему полиси ограничивает скорость рывками? Неравномерно, возможны скачки почти в два раза превышающие установленную скорость. Страницы в интернете у клиентов открываются медленно, а скорость скачивания соответствует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vofffka Опубликовано 23 января, 2012 (изменено) · Жалоба Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации? Реализовали уже persistent NAT? P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет. Изменено 23 января, 2012 пользователем Vofffka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elshad Опубликовано 24 января, 2012 · Жалоба [local]Redback(config)#port bvi port-bvi [local]Redback(config-port)#no shutdown [local]Redback(config-port)#bind interface i1 bvi-context [local]Redback(config-port)#bridge name bvi-bridge bvi-context С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить? Вопрос более не актуален - ответ найден в документации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SNR Опубликовано 25 января, 2012 · Жалоба Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации? 6.5.1.4 6.4.1.5 6.2.1.9 Реализовали уже persistent NAT? Если имеется в виду CG-NAT, то он готов в 11.1 релизе. P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет. Необходимо написать письмо на smartedge@nag.ru На все письма поступающие туда от пользователей SE дается доступ без ограничений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vofffka Опубликовано 25 января, 2012 · Жалоба Если имеется в виду CG-NAT, то он готов в 11.1 релизе. Как и где можно получить этот релиз? Необходимо написать письмо на smartedge@nag.ruНа все письма поступающие туда от пользователей SE дается доступ без ограничений. Письмо писал, ответа нет, как и доступа к разделу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...