Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

А как проверяете видимость "мира" со стороны клиента?

Share this post


Link to post
Share on other sites

SmalleR

Проверяю через пинг от клиента на интерфейс внешнего роутера(192.168.0.1) и на внешнии ресурсы тип 8.8.8.8

Share this post


Link to post
Share on other sites

Type------Network--------------Next Hop--------Dist-----Metric----UpTime---Interface

 

> S------0.0.0.0/0-----------192.168.0.1---------1---------0-------03:23:27--internet

> C------10.99.0.0/24-------------0---------------0------------------03:23:27---mgt

 

> S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet

А это зачем "руками" сделано, да еще и на внешний интерфейс?

 

 

> SUB A-10.100.0.104/32------------------------15--------0-------01:07:18--users

Share this post


Link to post
Share on other sites

SmalleR

Во всех манах Ip route такого характера 0.0.0.0/0 next hop, в моем слечае это не помогло и я пошёл эксперементировать...

Подскажите пожалуйста каким образом это должно выглядеть.

Share this post


Link to post
Share on other sites

SmalleR

Во всех манах Ip route такого характера 0.0.0.0/0 next hop, в моем слечае это не помогло и я пошёл эксперементировать...

Подскажите пожалуйста каким образом это должно выглядеть.

Если это убрать,

 

> S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet

 

что-то изменится?

Share this post


Link to post
Share on other sites

192.168.0.1 - это тоже ему не видно?

Share this post


Link to post
Share on other sites

Роутеру видно, Юзеру нет.

Share this post


Link to post
Share on other sites

Policy-Grid Rules Slot-Mask Binds Policy-Name

0x00000001 0 0x00000000 0 NAT

 

 

 

Pool-Grid Context-Id Type Rcrds Slot-Mask Pool-Name

0x00000001 0x40080001 napt/M 1 0x00000000 NAT-0

Share this post


Link to post
Share on other sites

[local]Redback#show nat pool NAT-0 detail

 

Pool name : NAT-0

Pool context id : 0x40080001

Pool grid : 0x1

Pool type : napt, multi-bind

Number of records : 1

Slot mask : 0x0

 

Reference counters (in circuits * classes):

Slot 2

0

 

NAT Address Ranges / Excluded port ranges:

Start-IP-Addr End-IP-Addr Start-Port End-Port

192.168.0.3 192.168.0.3 04096 65535

Share this post


Link to post
Share on other sites

Вот просто уверен, запоролся на какой-то мелочи...

Share this post


Link to post
Share on other sites

Ребят помочь кто может?

А то уже намучался, не знаю что делать...

Share this post


Link to post
Share on other sites

Мне кажется вы просто что-то не так делаете. Материалов по нату на СЕ огромное количество. Начните все с нуля.

Лично нат на нем не поднимали, но не должно быть там никаких проблем на запуске.

Share this post


Link to post
Share on other sites

Blaar

Начинал не раз и делал все по манам, не жалаете взглянуть на конфиг?

Share this post


Link to post
Share on other sites

Отсюда убрать ip nat NAT - interface users multibind (Интерфейс смотрящий в сторону юзеров), он не нужен, достаточно иметь политику на абоненте.

Маршрут на клиентскую подсеть через internet тоже не нужен.

Покажите еще show ip route nat (или как-то так было)

Share this post


Link to post
Share on other sites

vurd

Спасибо, сейчас попробую.

Type----Network------------Next Hop---------Dist------Metric-----UpTime----Interface

 

> NAT---192.168.0.3/32----0.0.0.1------------4----------0------01:19:35

>--------------------------------0.0.0.2

>-------------------------------0.0.0.3

>-------------------------------0.0.0.4

>-------------------------------0.0.0.5

>-------------------------------0.0.0.6

>-------------------------------0.0.0.7

>-------------------------------0.0.0.8

>-------------------------------0.0.0.9

>-------------------------------0.0.0.10

>-------------------------------0.0.0.11

>-------------------------------0.0.0.12

>-------------------------------0.0.0.13

>-------------------------------0.0.0.14

>-------------------------------0.0.0.15

>-------------------------------0.0.0.16

 

 

Привел к такому виду:

interface users multibind

ip address 10.100.0.254/24

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip pool 10.100.0.0/24

logging console

 

 

!

ip route 0.0.0.0/0 192.168.0.1

!

 

 

 

Конф Целиком

 

 

Current configuration:

!

! Configuration last changed by user 'nxbit' at Wed Mar 6 10:41:14 2013

!

!

!

aaa global authentication subscriber radius context local

!

!

no service multiple-contexts

!

!

!

software license

subscriber active 8000 encrypted 1

subscriber bandwidth 60 encrypted 1

subscriber active ipv6 16000 encrypted 1

!

!

!

!

!

!

flow ip profile sorm

active-timeout 1000

inactive-timeout 10

aggregation-cache-size 8192

!

!

!

dpi traffic-management protocol http escape-conversion

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

context local

domain ipNet advertise

!

no ip domain-lookup

!

ip nat pool NAT-0 napt multibind

address 192.168.0.3/32 port-block 1 to 15

!

nat policy NAT

connections tcp maximum 1000

connections udp maximum 1000

connections icmp maximum 50

! Default class

ignore

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

icmp-notification

! Named classes

access-group Users

class NAT-0

pool NAT-0 local

timeout tcp 18000

timeout udp 60

timeout fin-reset 60

timeout icmp 30

timeout syn 60

admission-control icmp

endpoint-independent filtering udp

icmp-notification

!

interface internet p2p

ip address 192.168.0.2/24

ip arp proxy-arp

!

interface mgt

ip address 10.99.0.99/24

ip source-address radius

!

interface users multibind

ip address 10.100.0.254/24

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip pool 10.100.0.0/24

logging console

!

policy access-list Users

seq 10 permit ip 10.100.0.0 0.0.0.255 class NAT-0

!

router bgp Наша АС

router-id 70.20.70.154

multi-paths external 2

fast-reset 10000 milliseconds

address-family ipv4 unicast

flap-statistics

network Наша анонсируемая сеть/24

!

neighbor 70.20.70.153 external

remote-as Их АС

send community

send ext-community

address-family ipv4 unicast

route-map FullView in

prefix-list ourAS out

!

ip arp 192.168.0.1 f0:7d:68:50:4f:36 alias

!

ppp keepalive check-interval seconds 10 response-timeout 35 data-check

!

enable encrypted 1 $1$........

enable authentication local

!

aaa authentication administrator local

aaa authentication subscriber radius

aaa accounting subscriber radius

radius accounting server 10.99.0.101 encrypted-key 88

radius coa server 10.99.0.101 encrypted-key 88 port 3799

!

administrator nxbit encrypted 1 $1$........

!

radius server 10.99.0.101 encrypted-key 88

radius max-retries 5

radius timeout 30

!

subscriber default

qos policy policing TARIF-DEFAULT-512K-IN

qos policy metering TARIF-DEFAULT-512K-OUT

nat policy-name NAT

ip interface name users

ppp mtu 1492

dns primary 80.140.20.14

dns secondary 8.8.4.4

!

ip route 0.0.0.0/0 192.168.0.1

!

!

flow collector sorm

ip-address 10.99.0.123 context local

port 9996

export-version v5

transport-protocol udp

ip profile sorm

!

!

!

! ** End Context **

logging tdm console

logging active

logging standby short

!

!

!

!

qos policy TARIF-DEFAULT-512K-IN policing

rate 512 burst 64

rate-calculation exclude layer-2-overhead

!

qos policy TARIF-DEFAULT-512K-OUT metering

rate 512 burst 64

rate-calculation exclude layer-2-overhead

!

!

!

!

!

!

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

bind interface mgt local

!

card carrier 2

mic 1 ge-2-port

mic 2 ge-2-port

!

port ethernet 2/1

no auto-negotiate

speed 100

no shutdown

medium-type copper

bind interface internet local

!

port ethernet 2/2

no auto-negotiate

speed 100

no shutdown

medium-type copper

encapsulation pppoe

bind authentication chap pap context local maximum 8000

!

!

no service console-break

!

service crash-dump-dram

!

no service auto-system-recovery

!

!

!

pppoe services marked-domains

pppoe service-name accept-all

pppoe circuit padr per-mac count 5 allow-time 60 drop-time 60

pppoe circuit padi per-mac count 5 allow-time 60 drop-time 60

!

end

 

 

Share this post


Link to post
Share on other sites

Поправил результата нет.

Share this post


Link to post
Share on other sites

Доброго времени суток, форумчане

Взяли SE100 на тест и пробуем настроить долгожданную фичу nonDHCP CLIPS :)

Документации по настройке и примеров конфигов найти не удалось, за исключением некоторого набора команд, которые почему-то не работали. В конце-концов фича заработала, но только при авторизации пользователя по локальной БД. А вот с RADIUS связать не удается. Никто не подскажет минимальный набор аттрибутов, который надо выдать, чтобы пользователь успешно авторизовался? Атрибуты из примеров к другим типам CLIPS (Dynamic, static и т.д) не подходят.

user в локальной БД ерикссона выглядит так

 subscriber name 172.21.162.4
  password Redback
  ip address pool
  timeout idle 5

CLIPS-сессия успешно устанавливается

 

Если же пытаться сделать тоже самое через RADIUS, например, так

172.21.162.4 Cleartext-Password := "Redback"

то получаем вот что

log se100

Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-FSM: State now: Sent-auth-req, was: Await-cct-up
Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH: Sending authenticationrequest to AAAd
Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH_E: Authentication response status: Fail
Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-FSM: State now: Await-down-cplt, was: Sent-auth-req
Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH: Sending session down to AAAd; cause: Authentication failure (24)

, хотя RADIUS-сервер отдает при этом Access-Accept!

 

если же сделать так (по аналогии с локальной БД)

freeradius:

172.21.162.4 Cleartext-Password := "Redback"
   Sub-Profile-Name = "001"

SE100:

 subscriber profile 001
  ip address pool
  timeout idle 5

 

то получаем такой же отлуп. Так какие же атрибуты SE100 ждет в Access-accept от RADIUSa?

До qos, nat и т.д дело еще не дошло.

Share this post


Link to post
Share on other sites

Попробуйте дать имя интерфейса, куда прибиндить абонента.

Share this post


Link to post
Share on other sites

Спасибо, dmvy. Не помогло

Интерфейс i3

 interface i3 multibind
 ip address 172.21.162.1/24
 ip pool 172.21.162.0/24

freeradius:

 

172.21.162.4 Cleartext-Password := "Redback"
   IP-Interface-Name = "i3",
   Sub-Profile-Name = "001"

 

Мало того, SE100, похоже, вообще игнорирует (skipping) оба выданных аттрибута:

Mar 29 09:33:44: [0001]: [2/3:511:63:31/13/2/19]: %AAA-7-RADIUS: aaa_idx 50000014: rad_parse_aaa_attr_list: skipping AAA attr 5(profile): none is true: applied, binding, not provisioned yet
Mar 29 09:33:44: [0001]: [2/3:511:63:31/13/2/19]: %AAA-7-RADIUS: aaa_idx 50000014: rad_parse_aaa_attr_list: skipping AAA attr 39(ip interface): none is true: applied, binding, not provisioned yet

Share this post


Link to post
Share on other sites

Вопрос про RADIUS и nondhcp CLIPS снят, оказывается, ему банально не хватало атрибута Context-Name )

Share this post


Link to post
Share on other sites

Приветствую всех!

И снова вопрос про RADIUS..

На SE100 настроен non-dhcp CLIPS

По-умолчанию SE100 шлет для абонентских сессий в Access-Request и Accounting-Request атрибут nas-port такого вида:

NAS-Port=33751040, причем для всех сессий этот атрибут одинаковый! Это сводит с ума биллинг (BGBilling). На форумах было найдено решение, дать команду

radius attribute nas-port format session-info
# Это необходимо для того, чтобы RedBack отправлял разные Nas-Port для каждой сессии. Иначе биллинг будет обрабатывать сессии некорректно

Но команда эта не возымела никакого эффекта, и даже после перезагрузки, SE100 все равно продолжает вставлять во все сессии одинаковый атрибут NAS-Port=33751040.

Ради интереса пробовалась еще команда radius attribute nas-port format physical, но эффект тот же.

Кто-нибудь пользуется этой опцией? Как должен выглядеть атрибут nas-port в RADIUS-accounting пакете в формате "session-info"? У кого-нибудь это работает?

Share this post


Link to post
Share on other sites

Может не в том контексте дали команду? Меня тоже напряг момент с одинаковым nas-port, но мне не критично. Надо будет опробовать на досуге.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now