Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

уже обсуждалось, что порты на карте с переподпиской 2:1. 20gbit full-duplex - это предел. я насчитал 37 half. а дропы были в моменты флуктуаций, когда трафик под 40gbit half.

Share this post


Link to post
Share on other sites

Как на SE100 ограничить доступ к ssh/telnet?

 

Пытаюсь сделать следующее:

ip access-list ACCESS

seq 10 permit ip 192.168.0.0 0.0.0.255

seq 20 deny ip any

 

service ssh server access-group ACCESS

access-list name 'ACCESS' is not configured for ssh/telnet acl in this context!

 

При включении admin-access-group перестает работать Dynamic CLIPS.

Share this post


Link to post
Share on other sites

Как на SE100 ограничить доступ к ssh/telnet?

При включении admin-access-group перестает работать Dynamic CLIPS.

 

А вот так:

context local
!
ip access-list trusted.hosts ssh-and-telnet-acl
 seq 10 permit ip host <HOST>
 seq 20 permit ip host <HOST>
 seq 30 permit ip <NET> <WILDCARD>
!
service ssh server access-group trusted.hosts
service telnet server access-group trusted.hosts
!
! ** End Context **

Share this post


Link to post
Share on other sites

Как на SE100 ограничить доступ к ssh/telnet?

При включении admin-access-group перестает работать Dynamic CLIPS.

 

А вот так:

context local
!
ip access-list trusted.hosts ssh-and-telnet-acl
 seq 10 permit ip host <HOST>
 seq 20 permit ip host <HOST>
 seq 30 permit ip <NET> <WILDCARD>
!
service ssh server access-group trusted.hosts
service telnet server access-group trusted.hosts
!
! ** End Context **

 

для того, чтобы работал clips, нужно разрешить коннекты на udp/68 и udp/67, т.к. по ним происходит renew unicast-запросом.

помимо ssh,telnet нужно еще snmp прикрыть

Share this post


Link to post
Share on other sites

Киньте куском конфига как настроить DHCP-сервер на SE400 с раздачей IP адресов через Radius

Курение мануалов к должному результату не приводит.

Share this post


Link to post
Share on other sites

Добрый день

Коробка SE100, работает PPPoE роутером.

 

в логах сыпятся ошибки на QOS. как победить, на что это может влиять?

использую два класса cls-LOCAN и cls-INET

 

Настройки:

policy access-list acl-global-in

seq 5 permit ip any 91.xxx.120.0 0.0.x.255 class cls-LOCAL

seq 6 permit ip any xxx.xxx.184.0 0.0.x.255 class cls-LOCAL

seq 300 permit ip any any class cls-INET

!

policy access-list acl-global-out

seq 5 permit ip 91.xxx.120.0 0.0.x.255 any class cls-LOCAL

seq 6 permit ip xxx.xxx.184.0 0.0.x.255 any class cls-LOCAL

seq 300 permit ip any any class cls-INET

!

subscriber default

qos policy policing qos-default-in

qos policy metering qos-default-out

ppp mtu 1492

##

qos policy qos-default-in policing

ip access-group acl-global-in local

class cls-LOCAL

rate 80000 burst 1000000 excess-burst 15094339

class cls-INET

rate 20480 burst 256000 excess-burst 3864151

!

qos policy qos-default-out metering

ip access-group acl-global-out local

class cls-LOCAL

rate 80000 burst 1000000 excess-burst 15094339

class cls-INET

rate 20480 burst 256000 excess-burst 3864151

!

 

 

 

------

Apr 30 23:07:52: [2/16:511:63:31/6/2/19820]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q

os-default-in]: error code -1: error message: unknown qos error

Apr 30 23:07:52: [2/16:511:63:31/6/2/19835]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn

amic parameters]: error code -1: error message: unknown qos error

Apr 30 23:07:52: [2/16:511:63:31/6/2/19838]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn

amic parameters]: error code -1: error message: unknown qos error

Apr 30 23:07:52: [2/16:511:63:31/6/2/19841]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn

amic parameters]: error code -1: error message: unknown qos error

Apr 30 23:07:53: [2/16:511:63:31/6/2/19834]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q

os-default-in]: error code -1: error message: unknown qos error

Apr 30 23:07:53: [2/4:511:63:31/6/2/19829]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [qo

s-default-in]: error code -1: error message: unknown qos error

Apr 30 23:07:53: [2/16:511:63:31/6/2/19831]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q

os-default-in]: error code -1: error message: unknown qos error

Apr 30 23:07:53: [2/16:511:63:31/6/2/19842]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn

amic parameters]: error code -1: error message: unknown qos error

Apr 30 23:07:53: [2/15:511:63:31/6/2/32774]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q

os-default-in]: error code -1: error message: unknown qos error

Share this post


Link to post
Share on other sites

Добрый день. Хочу задать вопрос по реализации задачки:

Задача:

Закидывать абонентов которые не подняли PPPoE подключения на страницу оператора.

Что делано:

1. Vlan с большой сеткой и раздачей адресов. (Реализовано на Cisco т.к. Влан 100 прослушивается на Se100 для авторизации PPPoE)

2. Сделан дополнительный стык между Cisco 7301 и SE100 по которому идет трафик на интерфейс SE.

3. На интерфейсе SE пытался повесить редиректор который замечательно описан в мануалах, только вот не смог повесить настройку ( http-redirect profile Name) на pvc.

 

Подскажите как реализовать релиректор на статическом интерфейсе.

 

У меня есть пока одна идея для реализации задачаи это:

1 Поднять PPPoE сессию между Cisco 7301 и SE1 повесить профиль через радиус. только вот не подбиру подходящий ios с функцией PPPoE клиента на циске.

subscriber profile redir-lk

http-redirect profile LK

ppp mtu 1492

forward policy HTTP-REDIRECT-LK in

 

2. роутить трафик пришедший от клиентов в поднятый интерфейс .

 

Подкажите как решить задачу при любом варианте

Edited by lxsv

Share this post


Link to post
Share on other sites

HTTP Redirect работает только для абонентов(http-redirect-profile можно применить только к абоненту).

для хостов можно сделать для всего WEB трафика forward policy с nexthop равному вашему WEB серверу(подключенному по L2), на WEB сервере сделать Destination NAT в адрес, допустим, лупбека, на котором слушает httpd.

Share this post


Link to post
Share on other sites

Скажите, как можно вписать SE100 для перехода с PPtP на IPoE?

 

Сейчас:

Ядро L3 - абоненты получают серые IP по DHCP и могут получать локальный трафик

для доступа к ИНТЕРНЕТ подключатся по PPtP тоже получают серый IP и маскарадятся на выделенном NAT сервере.

 

Выше описанное сделать на SE не сложно для перехода на IPoE. Выкидывается только PPtP и все.

 

Но! Есть услуга - присвоить Белый IP. С PPtP белый IP присваивается PPP интерфейсу, а как быть здесь?

Share this post


Link to post
Share on other sites

с се100 вам не понадобится отдельная машина для нат. через радиус даете сразу белый адрес, но нужна четкая авторизация на коммутаторе, т.е. либо dhcp relay opt82, либо dhcp relay + mac привязка. в любом случае надо управляемый порт на юзера.

Share this post


Link to post
Share on other sites

с се100 вам не понадобится отдельная машина для нат. через радиус даете сразу белый адрес, но нужна четкая авторизация на коммутаторе, т.е. либо dhcp relay opt82, либо dhcp relay + mac привязка. в любом случае надо управляемый порт на юзера.

 

То есть всем белый IP? Либо на L3 прописывать на интерфейсе дополнительно сетку белых адресов?

Как через радиус давать, если CLIPS? Адреса же DHCP раздает.

Edited by ILICH

Share this post


Link to post
Share on other sites

на л3 коммутаторе вешаете белую подсеть, настраиваете дхцп релей и опцию 82 на свитчах доступа. релей отправляет дхцп запросы на эрикссон, который руководствуюсь радиусом и настоящим дхцп сервером дает лизу юзеру и назначает все политики и ограничения. если используете статичные белые адреса, то запускаете дхцп сервер на брасе и радиусом говорите какой ип выдать. но повторюсь, что все будет работать только в схеме порт на юзера опцией 82.

Share this post


Link to post
Share on other sites

аналогичная проблема, как на предыдущей странице с назначением по радиусу различных скоростей разным классам.

http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=712591

конфиг один в один, за исключением, конечно, адресов, плюс ipoe вместо pppoe.

ошибки такого плана:

 

Jul 18 20:48:58: [255/22:1:28/7/2/6813]: %QOS-3-RCM_ERR: Sub processing failed:

unbind policy [dynamic parameters]: error code -2146238433: error message: unkno

wn qos error

Jul 18 20:49:40: [255/22:1:28/7/2/65591]: %QOS-3-RCM_ERR: Sub processing failed:

unbind policy [dynamic parameters]: error code -3: error message: unknown qos e

rror

Jul 18 20:52:32: [255/22:1:28/7/2/5491]: %QOS-3-RCM_ERR: Sub processing failed:

unbind policy [dynamic parameters]: error code -2146238433: error message: unkno

wn qos error

Jul 18 20:54:08: [255/22:1:28/7/2/65574]: %QOS-3-RCM_ERR: Sub processing failed:

unbind policy [dynamic parameters]: error code -3: error message: unknown qos e

rror

 

Эту проблему удалось решить обновлением ПО?

До какой версии лучше всего обновляться?

Спасибо за ответы.

Edited by shvlad1

Share this post


Link to post
Share on other sites

Здравствуйте!

 

Есть проблема на SE100 с L2TP.

PPPoE работает нормально. На L2tp авторизацию проходит, подключается, получает IP адрес, но траффик никуда дальше самого редбека не идет (пингуется ТОЛЬКО адрес l2tp).

Что я сделал не так?

 

!
aaa global authentication subscriber radius context local
aaa global accounting subscriber radius context local
aaa global accounting reauthorization subscriber radius context local
aaa global update subscriber 10
aaa global reject empty-username
aaa global accounting event reauthorization
aaa global accounting l2tp-session radius context local
aaa last-resort context local 
!
service-policy name PPPoE
allow context name local
allow pppoe service-name PPPoE
!

context local
! 
ip domain-name l2tp.local
ip name-servers 10.0.0.7
ip domain-lookup
!
router-id 1.1.1.1
!
interface eth10
 description LOCAL_INT
 ip address 192.168.0.1/24
!
interface l2tp
 ip address 192.168.1.1/24
!
interface loop loopback
 ip address 10.10.10.10/20
!  
interface ospf
 description OSPF interface 
 ip address 1.1.1.1/28
!
interface pppoe multibind lastresort
 ip unnumbered ospf
! 
interface radiusint
 ip address 10.11.12.13/28
   ip source-address radius
!
router ospf 1
 fast-convergence
 router-id 1.1.1.1
 log-neighbor-up-down
 area 0.0.0.0
  interface ospf
   network-type non-broadcast
   neighbor 1.1.1.2
   neighbor 1.1.1.3
   neighbor 1.1.1.4
 redistribute connected 
 redistribute subscriber 
!
aaa authentication administrator local  
aaa authentication subscriber radius global 
aaa accounting subscriber radius
aaa accounting l2tp session radius
aaa provision route ip-netmask encapsulation pppoe use-framed-route
aaa reauthorization bulk radius
radius accounting server 10.11.12.14 encrypted-key 73697E71671E50E9 oldports

radius server 10.11.12.14 encrypted-key 73697E71671E50E9 oldports
radius max-retries 10
radius timeout 30
radius attribute nas-ip-address interface vlan114
radius attribute acct-session-id access-request 
radius algorithm first
radius accounting timeout 100
radius strip-domain 
radius attribute nas-port format session-info
no radius accounting send-acct-on-off 
radius source-port ignore 
!
subscriber default
  qos policy policing default-in
  qos policy metering default-out
  ip interface name pppoe
  ppp mtu 1492
  dns primary 10.0.0.7
  dns secondary 8.8.8.8

ip route 0.0.0.0/0 1.1.1.2 connected
!
l2tp-peer unnamed local 192.168.
 session-auth pap chap context local
 function lns-only
!
! ** End Context **

port ethernet 2/1 
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc 10 
 bind interface eth10 local
dot1q pvc 13 
 bind interface ospf local
dot1q pvc 14 
 bind interface radiusint local
dot1q pvc 300 encapsulation multi 
 bind interface vlan300 local
 circuit protocol pppoe 
  bind authentication pap context local
dot1q pvc 400 
 bind interface l2tp local
!

Share this post


Link to post
Share on other sites

из конфигурации не все понятно. могу предположить, что те адреса, которые вы даете по l2tp вы никуда не анонсируете.

Share this post


Link to post
Share on other sites

PPP mtu в итоге выдается 1462. Адрес по L2tp и по pppoe отдаю одинаковый. pppoe работает. multibind интерфейс единый.

Проверял с аналогичными настройками mpd+quagga - l2tp работает без проблем.

Share this post


Link to post
Share on other sites

После внимательного изучения возник следующий вопрос - при установки соединения L2tp не добавляется маршрут в ospf. При этом с pppoe все нормально. Что смотреть? ospf, subscriber или еще что-нибудь?

Share this post


Link to post
Share on other sites

show ver

show subs active

show ip route

 

]Redback#sh ver

Redback Networks SmartEdge OS Version SEOS-11.1.2.5-Release
Built by sysbuild@SWB-node14 Mon Jul 9 15:30:44 PDT 2012
Copyright (C) 1998-2012, Redback Networks Inc. All rights reserved.
System Bootstrap version is PowerPC,rev2.0.1.4
Installed minikernel version is 2.7
Router Up Time -   17 hours 30 minutes 11 secs

 

tester
       Session state Authenticated
       Circuit   L2TP LNS 16
       Internal Circuit   255/16:511:63:31/5/2/16
       Interface bound  pppoe
       Current port-limit unlimited
       Protocol Stack not set
       ip route 0.0.0.0 0.0.0.0 х.х.х.х  (applied)
       ip address y.y.y.y (applied)
       ppp mtu 1462 (applied from sub_default)
       dns primary 192.168.10.7 (applied from sub_default)
       dns secondary 8.8.8.8 (applied from sub_default)
       qos-policing-policy default-in (applied from sub_default)
       qos-metering-policy default-out (applied from sub_default)
       service  (applied)
          [svc id: 0] rse-time-based (acct enabled)
       service-parameter  (applied)
          [svc id: 0] Rate-Day=10240 Burst-Day=1280000 ExBurst-Day=2560000 Rate-Night=30240 Burst-Night=7560000 ExBurst-Nigh
t=12800000
       dynamic policy acl  [svc mask: 0x0001] (applied in: qos out: qos)
          [svc id: 0] ip out forward class ext-night qos
          [svc id: 0] ip in forward class ext-day qos
       qos-dynamic-param  [svc mask: 0x0001] (applied)
          [svc id: 0] meter-class-rate ext-day rate-absolute 10240 (applied) in-progress
          [svc id: 0] meter-class-burst ext-day 1280000 (applied) in-progress
          [svc id: 0] meter-class-excess-burst ext-day 2560000 (applied) in-progress
          [svc id: 0] police-class-rate ext-day rate-absolute 10240 (applied) in-progress
          [svc id: 0] police-class-burst ext-day 1280000 (applied) in-progress
          [svc id: 0] police-class-excess-burst ext-day 2560000 (applied) in-progress
          [svc id: 0] meter-class-rate ext-night rate-absolute 30240 (applied) in-progress
          [svc id: 0] meter-class-burst ext-night 7560000 (applied) in-progress
          [svc id: 0] meter-class-excess-burst ext-night 12800000 (applied) in-progress
qos-dynamic-param  [svc mask: 0x0001] (applied)
          [svc id: 0] meter-class-rate ext-day rate-absolute 10240 (applied) in-progress
          [svc id: 0] meter-class-burst ext-day 1280000 (applied) in-progress
          [svc id: 0] meter-class-excess-burst ext-day 2560000 (applied) in-progress
          [svc id: 0] police-class-rate ext-day rate-absolute 10240 (applied) in-progress
          [svc id: 0] police-class-burst ext-day 1280000 (applied) in-progress
          [svc id: 0] police-class-excess-burst ext-day 2560000 (applied) in-progress
          [svc id: 0] meter-class-rate ext-night rate-absolute 30240 (applied) in-progress
          [svc id: 0] meter-class-burst ext-night 7560000 (applied) in-progress
          [svc id: 0] meter-class-excess-burst ext-night 12800000 (applied) in-progress
          [svc id: 0] police-class-rate ext-night rate-absolute 30240 (applied) in-progress
          [svc id: 0] police-class-burst ext-night 7560000 (applied) in-progress
          [svc id: 0] police-class-excess-burst ext-night 12800000 (applied) in-progress
       service-acct (in)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x06
       service-acct (out)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x06
       service-interim-acct-interval  [svc mask: 0x0001] (applied)
          [svc id: 0] 900
       tunnel type 3 (applied)
       tunnel medium type 1 (applied)
       tunnel server endpoint 192.168.66.1 (applied)
       tunnel client endpoint 192.168.10.167 (applied)
       tunnel server auth ID Redback (applied)
       tunnel client auth ID supreme-HP (applied)
       tunnel max sessions 65535 (applied)
       tunnel max tunnels 32767 (applied)
       tunnel function 2 (applied)
       tunnel connection supreme-HP:5634:20639 (applied)
       tunnel vendor avp 0x00000018037ca3a0 (applied)
       tunnel vendor avp 0x00000026037ca3a0 (applied)
       nas-port-type-from-enc 2 (applied)

 

IP route для выданного ip адреса отсутствует. (весь список IP route выкладывать не буду, там локальные статические маршруты и ospf)

Share this post


Link to post
Share on other sites

это куда?

На роутер, который сейчас стоит bras-ом (циска). Просочилась из старой конфигурации радиуса (framed-ip-route). Убрал, суть не изменилась.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now