Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

Share this post


Link to post
Share on other sites

Возможно ли на одном интерфейсе сделать как Dynamic Clips, так и Statis Clips?

 

Попробовал скрестить, но абонент с жестко прибитым адресом (не DCHP) в инет не выходит. Вот и вопрос, то ли я не так настроил что-то, то ли оно в принципе так не умеет.

Share this post


Link to post
Share on other sites

Убрал пока dynamic Clips, все-равно не работает...

 

context local
interface INET
 ip address 31.40.112.30/27
!
interface UCISCO
 ip address 31.40.112.33/30
 ip access-group cisco-L3-allow-only in
!
interface USERS multibind lastresort
 ip unnumbered loop
 dhcp proxy 65535
!
interface loop loopback
 ip address 31.40.114.126/32
logging console
!
ip access-list cisco-L3-allow-only
 seq 10 permit ip host 31.40.112.34
 seq 20 permit ip host 10.0.0.1
 seq 30 permit ip host 31.40.114.2
 seq 40 permit ip host 31.40.114.1
 seq 50 permit ip host 31.40.112.3
!
subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT
! ** End Context **

link-group USERS access
bind interface UCISCO local
service clips
  clips pvc 10
   bind subscriber test-sub@local
lacp active

 

При этом, если переписать так:

link-group USERS access
bind interface UCISCO local
service clips dhcp
lacp active

 

То Dynamic Clips работает нормально.

 

Redback#sh subscr
TYPE    CIRCUIT                    SUBSCRIBER         CONTEXT   START TIME
--------------------------------------------------------------------------------
clips   lg id 25 clips 10          test-sub@local     local     Jan 19 03:59:04
--------------------------------------------------------------------------------
Total=1

Type            Authenticating          Active          Disconnecting
PPP                          0               0                      0
PPPoE                        0               0                      0
DOT1Q                        0               0                      0
CLIPs                        0               1                      0
ATM-B1483                    0               0                      0
ATM-R1483                    0               0                      0
Mobile-IP                    0               0                      0

Но

Redback#sh subscribers address username test-sub@local
Host             Interface                        Nhop cct

Share this post


Link to post
Share on other sites

Судя по-всему, брас игнорирует кусок конфига

subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT

 

т.к.

Redback#sh subscribers active
test-sub@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/168
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)

 

Видно, что даже полиси не соответствуют тем, что настроены.

Share this post


Link to post
Share on other sites

Судя по-всему, брас игнорирует кусок конфига

subscriber name test-sub
  ip address 31.40.114.10
  qos policy policing BRAS-2048-IN
  qos policy metering BRAS-2048-OUT

 

т.к.

Redback#sh subscribers active
test-sub@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/168
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)

 

Видно, что даже полиси не соответствуют тем, что настроены.

 

судя по выводу стоит команда

aaa authentication subscriber none

 

это означает что аутентификация выключена (т.е. всегда положительная) и применяется только то что прописано в subscriber default.

еще и ip адрес не назначен на сессию.

Share this post


Link to post
Share on other sites

Стоит aaa authentication subscriber radius для работы dynamic clips

(Радиус-заглушка, всегда отвечает access-accept, нужен для адекватной работы биллинга)

когда делаю

bind subscriber test-sub@local

commit

проходит авторизация по радиусу.

ответ радиуса:

DHCP-Max-Leases = 1

IP-Interface-Name = "USERS"

Context-Name = "local"

Share this post


Link to post
Share on other sites

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

 

 

Можно ли по подробнее ?

Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель".

Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy".

В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license".

 

Что я неправильно понимаю ?

Share this post


Link to post
Share on other sites

Судя по-всему в пределах одного контекста невозможно скрестить и Dynamic Clips и Static Clips...

Share this post


Link to post
Share on other sites

возможно, просто вы будете ограничены одним aaa методом. Т.е. заглушку не получится использовать, все должно будет через радиус идти, например.

и еще не увидел, где собственно dynamic клипс в pvc в вашем конфиге.

Share this post


Link to post
Share on other sites

Все. проблему решил -)

 

Нарисовал

aaa authentication subscriber local radius

Теперь сначала проверяется по локальной БД, а потом уже идет в радиус

 

link-group USERS access
bind interface UCISCO local
service clips dhcp
  clips pvc 10
   bind subscriber t1@local
lacp active

 

sh sub act
t1@local
       Session state Up
       Circuit   lg id 25 clips 10
       Internal Circuit   255/22:1:26/4/2/175
       Interface bound  USERS
       Current port-limit unlimited
       ip address 31.40.114.10 (applied)
       profile BRAS-20482048 (applied)
       qos-policing-policy BRAS-2048-IN (applied from sub_profile)
       qos-metering-policy BRAS-2048-OUT (applied from sub_profile)
00:22:15:77:51:28
       Session state Up
       Circuit   lg id 25 clips 131236
       Internal Circuit   255/22:1:26/7/2/176
       Interface bound  USERS
       Current port-limit unlimited
       dhcp max-addrs 1 (applied)
       ip interface USERS (applied)
       context-name local (not applied)
       dhcp vendor class id MSFT 5.0 (applied)
       dhcp option client id 0x3d0701002215775128 (applied)
       dhcp option hostname 0x0c07746573742d8f8a (applied)
       qos-policing-policy BRAS-256-IN (applied from sub_default)
       qos-metering-policy BRAS-256-OUT (applied from sub_default)
         IP host entries installed by DHCP: (max_addr 1 cur_entries 1)
               31.40.114.3    00:22:15:77:51:28

 

И статические юзеры ходят в инет и по DHCP через радиус авторизуются динамические юзеры.

Share this post


Link to post
Share on other sites

Возникла не очень важная проблема, даже 2.

1. Часовой пояс.

Указываю:

system clock timezone YEKST 6 0
ntp server 31.40.112.3 version 3  context local

Получаю:

Redback#sh clock
Thu Jan 19 10:53:04 2012 GMT

 

Все замечательно, но почему время по GMT показывает? Или это особенность железки и надо просто смириться с этим?

Отсюда выплывает проблема номер 1.5:

policy access-list ACL-1-8-INOUT
 condition 1 time-range
  periodic weekend weekdays 01:00 to 08:00 class INET-NIGHT
 seq 10 permit ip any any class INET-DAY condition 1

Время срабатывания по GMT! А надо по локальному времени.

Можно конечно переписать в полиси время на гринвича, но это не кошерно.

 

И вопрос номер 2:

qos policy BRAS-2048-IN policing
rate 2048 burst 262144 excess-burst 393216
rate-calculation exclude layer-2-overhead
!
qos policy BRAS-2048-OUT metering
rate 2048 burst 262144 excess-burst 393216
rate-calculation exclude layer-2-overhead

Входящий режет четко 2 мегабита, а исходящий 2.5 мегабита.

Не принципиально, но все-таки?

Share this post


Link to post
Share on other sites

system clock timezone YEKST 6 0 local

 

Спасибо! Сам не додумался! :D

Share this post


Link to post
Share on other sites

LI в SE - mirroring трафика абонента в выделенный влан или в gre туннель, это функциональная возможность доступна в обычной forward policy. Для этого не нужна никакая лицензия. В LI лицензии эта функиональность (mirroring управляемый со стороны raidus) обернута в спец обертку в соответсвии с требованиями буржуйского сорм, т.е. в нашем регионе не имеет применения.

 

 

Можно ли по подробнее ?

Мне нужно, что б существовал специальный "LI Account", с которого был доступен функционал, "отзеркалить трафик субскрайбера в тоннель".

Техник, который будет этим пользоваться - не должен иметь возможность менять настройки "forward policy".

В документации "IP Services and Security Configuration Guide-6.1.1.pdf" все начинается с комманды "software license".

 

Что я неправильно понимаю ?

все верно вы понимаете, есть готовые LI админы и LI операторы, есть так же специальный тип инкапсуляции для туннелирования перехваченного трафика в соответствии с CALEA T1.678 - и для этого нужна лицензия.

 

однако повторюсь - все это можно сделать и без LI-обертки. Для администраторов использовать TACACS+ с ограничением команд, forward policy с mirror, и туннелинг в виде GRE как вариант.

Share this post


Link to post
Share on other sites

Уважаемые коллеги, а можно ли на SE100 как-нибудь поставить IP-адрес на bridge?

 

Типа как в Cisco:

bridge irb
!
interface Ethernet0
no ip address
bridge-group 1
!
Interface Ethernet1
no ip address
bridge-group 1
!
interface BVI1
ip address 10.10.10.1 255.255.255.0
!
bridge 1 protocol ieee
bridge 1 route ip
!

 

Что-то в документации не обнаружил подобной вещи.

Share this post


Link to post
Share on other sites

Manual:

 

[local]Redback(config)#context bvi-context
[local]Redback(config-ctx)#bridge bvi-bridge
[local]Redback(config-bridge)#description Bridge for BVI to support routed and bridged traffic

[local]Redback(config-ctx)#interface i1
[local]Redback(config-if)#ip address 192.168.110.1 255.255.255.0

[local]Redback(config-ctx)#interface br1 bridge
[local]Redback(config-if)#bridge name bvi-bridge

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

[local]Redback(config)#port eth 1/1
[local]Redback(config-port)#bind interface br1 bvi-context

[local]Redback(config)#port eth 2/1
[local]Redback(config-port)#bind interface br1 bvi-context

Share this post


Link to post
Share on other sites

Manual:

 

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

[local]Redback(config)#port eth 1/1
[local]Redback(config-port)#bind interface br1 bvi-context

[local]Redback(config)#port eth 2/1
[local]Redback(config-port)#bind interface br1 bvi-context

 

 

Вот этого как раз в мануале и не заметил.

Как бридж создать видел, а вот port bvi пропустил.

 

Спасибо за помощь!

Share this post


Link to post
Share on other sites

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

 

С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить?

Почему-то команду

bridge name bvi-bridge bvi-context

принимает, но в конфиге данная запись не появляется.

 

Спасибо!

 

PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release

Share this post


Link to post
Share on other sites

 

PS: Документация у меня SmartEdge OS, Release 6.1.1. Там таких вещей нет. А на железе софт SEOS-6.2.1.2-Release

 

софт старый, документация тем более.

Share this post


Link to post
Share on other sites

почему полиси ограничивает скорость рывками? Неравномерно, возможны скачки почти в два раза превышающие установленную скорость.

Страницы в интернете у клиентов открываются медленно, а скорость скачивания соответствует?

Share this post


Link to post
Share on other sites

Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации?

Реализовали уже persistent NAT?

 

P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет.

Edited by Vofffka

Share this post


Link to post
Share on other sites

[local]Redback(config)#port bvi port-bvi
[local]Redback(config-port)#no shutdown
[local]Redback(config-port)#bind interface i1 bvi-context
[local]Redback(config-port)#bridge name bvi-bridge bvi-context

 

С bridge такая конструкция работает замечательно,а возможно ли ее к VPLS-enabled bridge применить?

 

Вопрос более не актуален - ответ найден в документации.

Share this post


Link to post
Share on other sites

Коллеги, какой на сегодня последний стабильный релиз софта для PPPoE BRAS + NAT конфигурации?

6.5.1.4

6.4.1.5

6.2.1.9

Реализовали уже persistent NAT?

Если имеется в виду CG-NAT, то он готов в 11.1 релизе.

P.S. Здесь рассказывали про закрытый раздел. Как туда попасть? Письмо писал, ответа нет.

Необходимо написать письмо на smartedge@nag.ru

На все письма поступающие туда от пользователей SE дается доступ без ограничений.

Share this post


Link to post
Share on other sites
Если имеется в виду CG-NAT, то он готов в 11.1 релизе.

Как и где можно получить этот релиз?

 

Необходимо написать письмо на smartedge@nag.ru

На все письма поступающие туда от пользователей SE дается доступ без ограничений.

Письмо писал, ответа нет, как и доступа к разделу :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now