Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Господа, владельцы SE100, подскажите, пожалуйста - на нем можно рулить мультикастом на предмет кому чего можно можно смотреть, а кому нельзя? В идеале - из RADIUS-а.

Share this post


Link to post
Share on other sites

Добрый день.

 

Вот какой вопрос появился.

При просмотре в UTM5, Dialup отчёта по пользователю в поле IP появились записи 0.0.0.0. т.е. после подключения абонента появляется запись с выданным ему адресом, а затем записи (с интервалом примерно 10 минуты) с нулевыми адресами.

 

Время начала Время окончания IP

Tue Jan 15 13:47:34 2013 Tue Jan 15 13:51:26 2013 100.100.200.200

Tue Jan 15 13:57:34 2013 Tue Jan 15 14:00:57 2013 0.0.0.0

Tue Jan 15 14:07:34 2013 Tue Jan 15 14:10:57 2013 0.0.0.0

Tue Jan 15 14:17:34 2013 Tue Jan 15 14:20:58 2013 0.0.0.0

Tue Jan 15 14:27:34 2013 Tue Jan 15 14:30:58 2013 0.0.0.0

Tue Jan 15 14:37:34 2013 Tue Jan 15 14:40:59 2013 0.0.0.0

Tue Jan 15 14:47:34 2013 Tue Jan 15 14:50:59 2013 0.0.0.0

Tue Jan 15 14:57:34 2013 Tue Jan 15 15:01:00 2013 0.0.0.0

 

Настройки на SE100

radius accounting server 10.10.5.100 encrypted-key

radius server 10.10.5.100 encrypted-key

radius max-retries 3

radius timeout 8

 

В чём может быть проблема, в SE или UTM_Radius

Share this post


Link to post
Share on other sites

Господа, владельцы SE100, подскажите, пожалуйста - на нем можно рулить мультикастом на предмет кому чего можно можно смотреть, а кому нельзя? В идеале - из RADIUS-а.

 

Радиус-аттрибут Igmp_Svc_Prof_Id

можно создать несколько igmp профилей в которых указываем какие группы можно "смотреть".

 

в документации достаточно неплохо описано о мультикасте для субскрайберов - читайте.

Share this post


Link to post
Share on other sites

Радиус-аттрибут Igmp_Svc_Prof_Id

можно создать несколько igmp профилей в которых указываем какие группы можно "смотреть".

ОГРОМНОЕ спасибо!

 

в документации достаточно неплохо описано о мультикасте для субскрайберов - читайте

В доку лезть пока рано, сейчас было важно простое "да, можно" или "нет, нельзя".

Еще раз спасибо!

Share this post


Link to post
Share on other sites

Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов.

 

Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered.

!
context local
!
interface dot1q-subs multibind
 ip address 155.53.1.254/24
 ip arp proxy-arp
!
aaa authentication subscriber local  
!
subscriber name client-1
  ip address 155.53.1.4
  ip address 155.53.1.5
  ip address 155.53.1.6
  ip address 155.53.1.7
subscriber name client-2
  ip address 155.53.1.64
  ip address 155.53.1.65
!
!
! ** End Context **
!
port ethernet 2/2 
no shutdown
encapsulation dot1q
dot1q pvc 100 
 bind subscriber client-1@local
dot1q pvc 200 
 bind subscriber client-2@local
! 

 

И таких клиентов я могу наплодить сколько душе угодно. У них у всех маска короткая, я так понимаю ip unnumbered делает тоже самое? Едиснтвенное отличие в том, что каждый клиент (юр.лицо) сидит в своем влане.

Адресация работает правильно и SE делает прокси arp, чтобы они могли взаимодейтсвовать внутри своей короткой маски (/24 как в данном примере и шлюз у них .254).

[local]ceramix#show subscribers active 
client-1@local
       Session state Up
       Circuit   2/2 vlan-id 100
       Internal Circuit   2/2:1023:63/1/2/10
       Interface bound  dot1q-subs
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 155.53.1.4 (applied)
       ip address 155.53.1.5 (applied)
       ip address 155.53.1.6 (applied)
       ip address 155.53.1.7 (applied)
client-2@local
       Session state Up
       Circuit   2/2 vlan-id 200
       Internal Circuit   2/2:1023:63/1/2/11
       Interface bound  dot1q-subs
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 155.53.1.64 (applied)
       ip address 155.53.1.65 (applied)
[local]ceramix#

 

Поскольку каждый такой dot1q pvc - это абонент - то для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА.

Более того это позволяет переместить арпы на SE, который может проглатывать их до 5тыс в секунду (SE100).

Едиснтвенный момент - L2 до SE, но имхо в этом нет ничего криминального.

Если у меня "aaa authentication subscriber global" такое должно работать?

Share this post


Link to post
Share on other sites

Господа прошу помощи - возможно ли на данном брасе накрутить какой то аналог ISG, то есть чтобы абонентская сессия взлетала по пришедешему новому IP.То есть пришел на интерфейс IP адрес, брас сходил в радиус взял там парметры и что то навешал на поднятую сессию? Просто хотелось бы заменить 2x 7204VXR оставив тот же функционал не переделывая структуру сети в корне. Ну или ткните куда почитать а то что то документация не блещет откровениями на данную тему.

Share this post


Link to post
Share on other sites

Господа прошу помощи - возможно ли на данном брасе накрутить какой то аналог ISG, то есть чтобы абонентская сессия взлетала по пришедешему новому IP.То есть пришел на интерфейс IP адрес, брас сходил в радиус взял там парметры и что то навешал на поднятую сессию? Просто хотелось бы заменить 2x 7204VXR оставив тот же функционал не переделывая структуру сети в корне. Ну или ткните куда почитать а то что то документация не блещет откровениями на данную тему.

 

Описаный функционал в ключе эриксона называется non-dhcp clips. Он существует, но в бете. Релизная прошивка будет в марте. Берите у нага железку на тест, ставьте ПО с этой функцией и спокойно разворачивайте на стенде.

Share this post


Link to post
Share on other sites

Появился закрытый раздел на форуме для обладателей Ericsson Smartedge. Заявки на добавление в группу можете отправлять на адрес smartedge@nag.ru

 

Вопрос почему соотвественно в закрытые форумы пускают только обладателей железки купленной у нага ? а не всех обладателей ? Просто как то непонятно - если надо подтвердить обладание - я могу сделать это документально.

Share this post


Link to post
Share on other sites

купленной у нага ?

может потому что это forum.NAG.ru? :)

а по факту на сколько я знаю пускают всех. там и зарубежные коллеги с Украины и Казасхстана встречаются =) врядли они у НАГа покупали

Share this post


Link to post
Share on other sites

купленной у нага ?

может потому что это forum.NAG.ru? :)

а по факту на сколько я знаю пускают всех. там и зарубежные коллеги с Украины и Казасхстана встречаются =) врядли они у НАГа покупали

Уже неделю бъюсь с этим допуском - никак :(

Share this post


Link to post
Share on other sites

как то странно вы бьетесь ;)

Я вот с Украины, свои SE-100 покупал не у нага. Прислал в свое время sh version с одной из железок - и пустили

Share this post


Link to post
Share on other sites

Есть специалисты которые бы смогли мне подсказать по dot1q subscribers?

Share this post


Link to post
Share on other sites

reload, ты спрашивай, а тут уж подскажут. или проси доступ в закрытый раздел, если стесняешься.

Share this post


Link to post
Share on other sites

reload, ты спрашивай, а тут уж подскажут. или проси доступ в закрытый раздел, если стесняешься.

Я спросил. Мой вопрос на предыдущей странице. Только на него никто не ответил.

Share this post


Link to post
Share on other sites

Господа - может кто нить обладает бета релизом прошивки в которой уже имеется сервис non dhcp-clips ? если да то как-нибудь поделился бы кто нить :)

Share this post


Link to post
Share on other sites

Уже неделю бъюсь с этим допуском - никак :(

от вас не было писем на указанный адрес.

были только письма от ваших поставщиков. в этом случае естественно был отказ.

Господа - может кто нить обладает бета релизом прошивки в которой уже имеется сервис non dhcp-clips ? если да то как-нибудь поделился бы кто нить :)

пишите своему поставщику.

Share this post


Link to post
Share on other sites

LAG между SE100 и D-Link DGS-3627G

 

Настроил Link Aggregation между SE100 и D-Link DGS-3627G.

На данных двух линках собираются все pppoe сессии + отдельные вланы с линковочными адресами.

Настройки 3627G

Link Aggregation Algorithm = MAC-source-dest

Group ID : 1

Type : LACP

Master Port : 22

Member Port : 22-23

Active Port : 22-23

Status : Enabled

 

LACP - Active

 

Настройки SE100

link-group pppoe access

description # 802.1Q + PPPOE #

encapsulation dot1q

mac-address auto

dot1q pvc explicit 13 through 130 encapsulation pppoe

bind authentication chap pap context local maximum 3000

dot1q pvc 10

bind interface vlandns local

qos policy policing proxy-in

qos policy metering proxy-out

dot1q pvc 12

bind interface proxy local

qos policy policing proxy-in

qos policy metering proxy-out

maximum-links 2

lacp passive

 

Имеем вот такой результат

Ccct count : 2 Grouping : LoadShare

 

Card Type : carrier Type : access

 

Bindings : Unbound Minimum-links : 1

 

Maximum-links : 2

Prot-Group-Type : round-robin

Internal Handle : 255/22:1:26/1/1/17

Description : # 802.1Q + PPPOE #

Constituent Circuits:

1. 2/1 (Up )| 10.75%

2. 2/2 (Up )| 13.94%

 

По графикам загрузки портов делится примерно 60\40.

Поправьте, если что-то не правильно, буду признателен.

Share this post


Link to post
Share on other sites

Приветствую всех!

Железо на тест приедет не скоро,

но не подскажет ли кто-нибудь, не появился ли в новых версиях ОС для SmartEdge100 NAT 1-to-1 для multibind-интерфейсов?

Share this post


Link to post
Share on other sites

Возможно кто то принастройке dhcp-clips сталкивался с проблемой которая в логах радиуса на устройстве отображаеется как

 

 

Feb 4 08:41:08: [0002]: [2/1:511:63:31/13/2/409]: %AAA-7-EXCEPT: aaa_idx 5000019a: aaa_process_db_response: Cannot populate dynamic attribute for subscriber 10.10.10.130. send FAIL to client.

 

Проблема собственно в том что никакие динамические атрибуты не передаются и потому не могу понять что не так.

Share this post


Link to post
Share on other sites

Добрый день. Взяли потестить SE100. Есть действующая сеть с абонентами которые часть подключены по static ip а часть по dhcp (option82). Возможно ли настроить SE100 в таком режиме, с возможностью плавного перевода всех на dhcp.

Share this post


Link to post
Share on other sites

Ребят помогите разобраться:

 

Не могу понять в чем дело, при подключении Юзера через PPPoE( радиус пораметры никакие не отдаются при этом, все должно браться с дефаулт субскрайбер) Юзер видит все кроме Мира, т.е видит оба интерфейса как смотрящего на Юзера так и в сторону Аплинка, в чем может быть проблема в Ip route? если да то подскажите пожалуйста как поправить.

 

Redback Networks SmartEdge OS Version SEOS-11.1.2.7-Release

Built by sysbuild@eussjlx7060.sj.us.am.ericsson.se Mon Feb 11 21:00:20 PST 2013

(null)System Bootstrap version is PowerPC,rev2.0.1.4

Installed minikernel version is 2.7

Router Up Time - 3 hours 29 minutes 37 secs

 

 

Вот конфиг роутера:

 

 

!

! Configuration last changed by user 'nxbit' at Mon Feb 25 11:12:41 2013

!

!

!

aaa global authentication subscriber radius context local

!

!

no service multiple-contexts

!

!

!

software license

subscriber active 8000 encrypted 1

subscriber bandwidth 60 encrypted 1

subscriber active ipv6 16000 encrypted 1

!

!

!

!

!

!

flow ip profile sorm

active-timeout 1000

inactive-timeout 10

aggregation-cache-size 8192

!

!

!

dpi traffic-management protocol http escape-conversion

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

context local

domain XNet advertise

!

no ip domain-lookup

!

ip nat pool NAT-0 napt multibind

address 192.168.0.3/32 port-block 1 to 15

!

nat policy NAT

connections icmp maximum 50

! Default class

ignore

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

icmp-notification

! Named classes

access-group Users

class NAT-0

pool NAT-0 local

timeout tcp 18000

timeout udp 60

timeout fin-reset 60

timeout icmp 30

timeout syn 60

admission-control icmp

endpoint-independent filtering udp

icmp-notification

!

interface internet p2p

ip address 192.168.0.2/24

ip arp proxy-arp

!

interface mgt

ip address 10.99.0.99/24

ip source-address radius

!

interface users multibind (Интерфейс смотрящий в сторону Юзеров)

ip address 10.100.0.254/24

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip pool 10.100.0.0/24

ip nat NAT

logging console

!

policy access-list Users

seq 10 permit ip 10.100.0.0 0.0.0.255 class NAT-0 (сеть для которой будет выполнятся НАТ)

!

router bgp Наша АС

router-id Наш Ip

multi-paths external 2

fast-reset 10000 milliseconds

address-family ipv4 unicast

flap-statistics

network Анонсируемая сеть/24

!

neighbor Ип Аплинка external

remote-as Их АС

send community

send ext-community

address-family ipv4 unicast

route-map FullView in

prefix-list ourAS out

!

ip arp 192.168.0.55 00:30:88:1c:хх:хх alias (Нужно ЛИ?)

!

ppp keepalive check-interval seconds 10 response-timeout 35 data-check

!

enable encrypted 1 $1$........

enable authentication local

!

aaa authentication administrator local

aaa authentication subscriber radius

aaa accounting subscriber radius

radius accounting server 10.99.0.101 encrypted-key 8

 

radius coa server 10.99.0.101 encrypted-key 8

port 3799

!

administrator nxbit encrypted 1 $1$........

!

radius server 10.99.0.101 encrypted-key 88

radius max-retries 5

radius timeout 30

!

subscriber default

qos policy policing TARIF-DEFAULT-512K-IN

qos policy metering TARIF-DEFAULT-512K-OUT

nat policy-name NAT

ip interface name users

ppp mtu 1492

dns primary днс

dns secondary 8.8.4.4

!

ip route 0.0.0.0/0 192.168.0.1

ip route 10.100.0.0/24 192.168.0.1 ?

!

!

flow collector sorm

ip-address 10.99.0.123 context local

port 9996

export-version v5

transport-protocol udp

ip profile sorm

!

!

!

! ** End Context **

logging tdm console

logging active

logging standby short

!

!

!

!

qos policy TARIF-DEFAULT-512K-IN policing

rate 512 burst 64

rate-calculation exclude layer-2-overhead

!

qos policy TARIF-DEFAULT-512K-OUT metering

rate 512 burst 64

rate-calculation exclude layer-2-overhead

!

!

!

!

!

!

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

bind interface mgt local

!

card carrier 2

mic 1 ge-2-port

mic 2 ge-2-port

!

port ethernet 2/1

no auto-negotiate

speed 100

no shutdown

medium-type copper

bind interface internet local

!

port ethernet 2/2

no auto-negotiate

speed 100

no shutdown

medium-type copper

encapsulation pppoe

bind authentication chap pap context local maximum 8000

!

!

no service console-break

!

service crash-dump-dram

!

no service auto-system-recovery

!

!

!

pppoe services marked-domains

pppoe service-name accept-all

pppoe circuit padr per-mac count 5 allow-time 60 drop-time 60

pppoe circuit padi per-mac count 5 allow-time 60 drop-time 60

!

end

 

 

 

Вывод show sub act

 

nxbit

Session state Up

Circuit 2/2 pppoe 11

Internal Circuit 2/2:511:63:31/6/2/11

Interface bound users

Current port-limit unlimited

Session time left 293891

Protocol Stack IPV4

ip address 10.100.0.104 (applied)

ip interface users (applied from sub_default)

ppp mtu 1492 (applied from sub_default)

dns primary хх.хх.22.14 (applied from sub_default)

dns secondary 8.8.4.4 (applied from sub_default)

timeout absolute 297737 (applied)

qos-policing-policy TARIF-DEFAULT-512K-IN (applied from sub_default)

qos-metering-policy TARIF-DEFAULT-512K-OUT (applied from sub_default)

nat policy-name NAT (applied from sub_default)

 

 

show ip route

 

 

Gateway of last resort is 192.168.0.1 to network 0.0.0.0

 

Type------Network--------------Next Hop--------Dist-----Metric----UpTime---Interface

 

> S------0.0.0.0/0-----------192.168.0.1---------1---------0-------03:23:27--internet

> C------10.99.0.0/24-------------0---------------0------------------03:23:27---mgt

> S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet

> SUB A-10.100.0.104/32------------------------15--------0-------01:07:18--users

 

 

 

 

#show arp-cache

 

 

Total number of arp entries in cache: 3

Resolved entry : 3

Incomplete entry : 0

 

Host----------------Hardware address----------Ttl----------Type----------Circuit

192.168.0.1 ---------- f0:7d:68:50:4f:36 ----------1319----------ARPA 2/1

192.168.0.2 ---------- 00:30:88:1c:81:fa ---------- - ---------- ARPA 2/1

192.168.0.55 ---------- 00:30:88:1c:81:fa ---------- - ---------- None -

 

 

Share this post


Link to post
Share on other sites

ingress

Дело в том что это тестовый стэнд, и в роли аплинка сейчас участвует обычный Дир-300, поэтому 192,168,0,х это в данном случае публичный адрес)

Сейчас цель: воссоздать рабочий конфиг, а затем немного поравить и внедрить в работу.

Share this post


Link to post
Share on other sites

Проблема похоже из ряда "не решайка"

Посмотрел все конфиги мультиконтетекстовые и роутинг настроен уже между контекстов.

Попробую зделать тоже самое....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now