Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Есть такой интересный момент: как быть с резервированием например на se100 при vlan per user и dhcp clips.

 

Настроили мы, скажем каким-то образом резервирование, не суть как. Умер один SE, у нас заработал второй, абонентские вланы там тоже допустим есть. Как быть с сессиями, ведь второй SE ничего не знает про сессии, которые были на первом и пока абонент заново не отошлет dhcp запрос ничего не будет, правильно понимаю?

 

Кто как решает такую штуку? Маленькое время лизы не вариант же.

включить nondhcp clips и авторизуются абоненты по следующему пакету, прилетевшему от абонента. главное, чтобы радиус и dhcp-сервер предполагали такое развитие сюжета.

Share this post


Link to post
Share on other sites

nondhcp clips еще не доступен для паблика, и к тому же он очень сырой еще для продакшина.

как вы протащите vlan per user через non dhcp clips? а если надо еще и ipv6 абоненту дать?

Share this post


Link to post
Share on other sites

Есть такой интересный момент: как быть с резервированием например на se100 при vlan per user и dhcp clips.

 

Настроили мы, скажем каким-то образом резервирование, не суть как. Умер один SE, у нас заработал второй, абонентские вланы там тоже допустим есть. Как быть с сессиями, ведь второй SE ничего не знает про сессии, которые были на первом и пока абонент заново не отошлет dhcp запрос ничего не будет, правильно понимаю?

 

Кто как решает такую штуку? Маленькое время лизы не вариант же.

включить nondhcp clips и авторизуются абоненты по следующему пакету, прилетевшему от абонента. главное, чтобы радиус и dhcp-сервер предполагали такое развитие сюжета.

 

nondhcp clips - я так понимаю аналог initiator unclassified ip-address в ISG.

 

Я думал, что у SE такого нет, а тут оказывается как бы есть, но все еще нет. То бишь на данный момент никак, правильно понимаю?

Share this post


Link to post
Share on other sites

Подскажите пожалуйста почему может не назначаться HTTP-Redirect-profile?

может лицензия нужна?

имеем:static clips

радиусом на субскрайбера назначается профиль:

!
http-redirect profile CABINET
 url "http://redirect.ru"
!
subscriber profile base-unlimited
  qos policy policing qos-default-in
  qos policy metering qos-default-out
  http-redirect profile CABINET
!

 

но редирект профиль не вешается,

 

sub1@clients
       Session state Up
       Circuit   2/4 vlan-id 1322
       Internal Circuit   2/4:511:63:31/1/2/5114
       Interface bound  vlan1322
       Current port-limit unlimited
       Protocol Stack IPV4
       ip interface vlan1322 (applied)
       profile base-unlimited (applied)
       dhcp max-addrs 1 (applied)
       qos-dynamic-param  (applied)
          police-class-rate cls-INET rate-absolute 2000 (applied)
          police-class-burst cls-INET 250000 (applied)
          meter-class-rate cls-INET rate-absolute 2000 (applied)
          meter-class-burst cls-INET 250000 (applied)
       qos-policing-policy qos-default-in (applied from sub_profile)
       qos-metering-policy qos-default-out (applied from sub_profile)
       http-redirect-profile CABINET (not applied from sub_profile)

 

форвард полиси напротив вешается прекрасно.

при попытке навесить редирект профиль через СОА - прилетает ответ - Unsupported Attribute

Share this post


Link to post
Share on other sites

Воткнулись в проблему на следующей схеме:

[абоненты] -[RX-8] -10ge- [sCE8000] -10ge- [sE600] -[интернет]

На SE600 используется BGP, Dynamic NAT 1:1

Под вечер упираемся 1М pps по исходящему трафику. Запас по полосе есть. Входящего трафика чуть больше 1M pps, но не больше 1.1Mpps.

Судя по отзывам народа узким местом является именно SE600. Что с этим можно сделать?

Share this post


Link to post
Share on other sites

Плата DPI и новый закон

со списком url

как будет справляться с этой задачей?

Share this post


Link to post
Share on other sites

Добрый вечер, в который раз :)

 

А можно ли на SE делать, как на жунипере - динамические вланы в схеме vlan per customer.

Привожу пример из документации :

 ge-1/2/4 {
               description “Dynamic C-VLAN”;
               traceoptions {
                       flag all;
               }
               hierarchical-scheduler;
               flexible-vlan-tagging;
               auto-configure {
                       stacked-vlan-ranges {
                               dynamic-profile CVLAN {
                                       accept inet;
                                       ranges {
                                               any,any;
                                       }
                               }
                       }
               }
       }
CVLAN {
          interfaces {
                  “$junos-interface-ifd-name” {
                          unit “$junos-interface-unit” {
                                  proxy-arp;
                                  vlan-tags outer “$junos-stacked-vlan-id” inner “$junos-vlanid”;
                                  family inet {
                                          mac-validate strict;
                                          unnumbered-address lo0.0 preferred-source-address
11.3.3.3;
                                  }
                          }
                  }
          }
  }

 

Чтобы не конфигурить эти пачки s-vlan/c-vlan руками. Если да это будет работать с dhcp clips ?

Share this post


Link to post
Share on other sites

Если да это будет работать с dhcp clips ?

 

S-VLAN сконфигурировать надо, C-VLAN не надо, в документации: CCOD + CLIPS.

Share this post


Link to post
Share on other sites

Взял на тест. Пока все нравится, только стоит задача отдельного полисинга как на In, так и на OUT по двум направлениями.

 

Второе направление - 10000 префиксов(приходит в отдельном влане). Добавлять их все в acess-list - сверхпечально, я читал про то, что можно посадить метку на VLAN, но говорилось, что это будет работать только в одну сторону.

 

Что делать? Появилось какое-то решение этой задачи?

 

SEOS-se100-11.1.2.5p2.

 

Спасибо!

Share this post


Link to post
Share on other sites

а на отдачу принципиально разные скорости. реч как раз шла что входящий трафик можно раскрасить и разными полисерами нарезать. для исходящего ничего подобного нет и вряд ли придумают.

Share this post


Link to post
Share on other sites

Подскажите, а кто-нибудь наблюдает загрузку на 10GE портах у SE600 более 1 000 000 pps ? Мы уперлись в полку на этой цифре и не поймем, какая из железок в цепочке является узким местом. Пока все указывает на SE 600, но уверенности нет.

Share this post


Link to post
Share on other sites

Подскажите, а кто-нибудь наблюдает загрузку на 10GE портах у SE600 более 1 000 000 pps ? Мы уперлись в полку на этой цифре и не поймем, какая из железок в цепочке является узким местом. Пока все указывает на SE 600, но уверенности нет.

пост про сце ваш? сервис лосы на ней есть? сколько в нее трафика входит и выходит? сколько scm-e модулей?

Share this post


Link to post
Share on other sites
пост про сце ваш? сервис лосы на ней есть? сколько в нее трафика входит и выходит? сколько модулей?

 

ДА, пост выше наш. НА SCE 8000 и на SE600 трафика в час пик 12 гигабит (7 входящего и 5 исходящего). Полка наступает не по трафику, а при достижении значений около 1 000 000 pps. По исходящему полка наступает скорее т.к. торрент большую часть исходящего трафика дает. Scm-e модуль один. Трафик процессоры в час пик грузятся около 80%.

 

График PPS на линке SE600 - SCE8000 привожу в атаче.

post-45-010674400 1352020171_thumb.jpg

Edited by PowerPack

Share this post


Link to post
Share on other sites

а на отдачу принципиально разные скорости. реч как раз шла что входящий трафик можно раскрасить и разными полисерами нарезать. для исходящего ничего подобного нет и вряд ли придумают.

 

 

Да, отдачу надо принципиально. Попробовал через acl, не осиливает, что ожидаемо:

 

ACL (service = 1; rule count 9906; context 0x40080002)
Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_bo_image_build@1044: build failed fo
r 2/3:511:63:31/7/2/96 image 0x10 with rc=0x808b001f
Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_build_image@276:  too many rules in
ACL (service = 1; rule count 9906; context 0x40080002)
Nov 5 19:37:44: %CLS-3-ERR: (WORK) cls_work_bo_image_build@1044: build failed fo
r 2/3:511:63:31/7/2/96 image 0x11 with rc=0x808b001f
Nov 5 19:38:58: %CLS-3-ERR: (WORK) cls_work_build_image@276:  too many rules in

 

Придется возвращать, жаль. В общем понравилась железка.

Share this post


Link to post
Share on other sites

Плата DPI и новый закон

со списком url

как будет справляться с этой задачей?

вот странно что обошли вниманием этот вопрос...

Share this post


Link to post
Share on other sites

Плата DPI и новый закон

со списком url

как будет справляться с этой задачей?

вот странно что обошли вниманием этот вопрос...

кто вообще пользуется DPI от эриксона?

какая ее производительность?

Share this post


Link to post
Share on other sites

Здравствуйте!

подскажите пожалуйста, у кого нибудь были проблемы с dot1q subscribers + dhcp proxy + radius authorization ? периодически подвисают субскрайберы. ни трафик не проходит - даж если статикой айпи прописаны, ни дхцп запросы не пролетают. подскажите чего можно сделать с этим? абонент при этом по радиусу аутентифицирован.

Edited by dreamer_fkn

Share this post


Link to post
Share on other sites

В тред снова врывается вопрос про 1Mpps на порт. Кто-то видел пакетов больше чем 1Mpps на порту в модуле 4x10G?

mbps.png

pps.png

Share this post


Link to post
Share on other sites

Добрый день!

Исходные данные.

PPPoE сервер на SE100 + Биллинг NetupUTM

В конфиге радиуса UTM установлен параметр

interim_update_interval=65

 

Возник следующий вопрос. Если разорвать сессию жёстко (например выдернуть шнур из сетевой карты) то сессия продолжает висеть на SE100 ещё 10 минут.

Из документации Базовая настройка AAA,RADIUS,CoA,PPPoE,L2TP -

Ограничения

Минимальный интервал, с которым SmartEdge отсылает сообщения

Accounting Update(Acct-Interim-Interval)

в RADIUS:

для сессии составляет 600 секунд(10 минут).

Возможно ли сократить данное время?

Share this post


Link to post
Share on other sites

Возник следующий вопрос. Если разорвать сессию жёстко (например выдернуть шнур из сетевой карты) то сессия продолжает висеть на SE100 ещё 10 минут.

 

!

context local

!

ppp keepalive check-interval seconds 10 response-timeout 3 data-check

!

Share this post


Link to post
Share on other sites

Делаю кросс-пост из закрытого форума. Проблема - ограничение в 1Mpps на SE600 в составе XCRP4/10ge-4-port(slot 5).

Что попробовали сделать:

1. обновили bootrom до 2.0.2.66

2. Попробовали загрузиться в 11.1.2.3(которая лежит у НАГа под именем 11.1.2.6, по крайней мере так утверждает тот, кто ее заливал в шассик). FPGA обновили, хотя это для работы не требовалось.

Наткнулись на проблему с БГП(прошивка старая же) - рвалась сессия из-за Aggregate AS 0

Отказался работать OSPF(состояние loading).

Проблема с 1mpps никуда не делась. Параллельно воткнули взятую в тест у НАГа плату 10ge-oc192-1-port(ту, которая 1x10ge-1port ppa2).

3. Сегодня утром откатили на 6.2, попробовали перенести линк с 1mpps полкой в плату с 1 портом. SE600 нам тут же нахамил "cannot bind this circuit to the interface. It has an incompatible NAT policy."

4. Чтоб не делать вид, что мы проснулись зря, влили прошивку 11.1.2.6р1, загрузились в нее, обновили FPGA, никуда ничего не переткнули. Плату 1x10ge выдернули из шасси, как бесполезную. Посмотрим сегодня вечером, но надежды особой нет.

 

Про апгрейды и ребуты:

При апгрейде шасси стабильно не может опознать само себя, софт сильно удивляется, ставит дефолт - SE800. Ребут по питанию после окончания загрузки в этом случае решает проблему. После такого ребута команда reload грузит шасси нормально. Хотя были случаи, что и не грузила нормально. Лотерея, вобщем.

 

Ну и для ясности - мы с Gorbushka говорим об одном и том же коробке.

 

Про НАТ:

судя по документации и ответам в открытом форуме для Dynamic NAT нет понятия "трансляция", соответственно, максимальное количество соответствий у нас вечером - в unassigned у нас болтается 1920 адресов из 22 тысяч адресов в пуле. То есть в пике 20 тыс соответствий в таблице NAT.

 

А вот насчет "сумма трафика на каждой паре портов не больше 10G FD" - мысль интересная.

Вобщем-то получается.

Порт 5/1 4.08/3.09 (вход/исход)

Порт 5/2 5.76/7.76

порт 5/4 4.12/2.76

Порт 5/3 - пусто.

 

Значения старался брать для одного диапазона времени, но это неточные данные с усредненного графика кактуса. Возможно, на портах 5/2 и 5/1 суммарный исходящий вечером упирается в 10Г, но сказать точно не могу.

Share this post


Link to post
Share on other sites

Всем здравствуйте. Никто не пробовал организовать nat и pppoe в разных контекстах?

понадобилось это для того, чтобы снимать netflow до ната.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now