Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Полка на каком графике? Если полка по полосе - то полоса упрется, а число PPS попробует вырасти. У него даже получится, но толку не будет. Если полка по PPS, то трафик на графике гулять будет слегка, а вот PPS гулять не будет.

Share this post


Link to post
Share on other sites

Полка на каком графике? Если полка по полосе - то полоса упрется, а число PPS попробует вырасти. У него даже получится, но толку не будет. Если полка по PPS, то трафик на графике гулять будет слегка, а вот PPS гулять не будет.

Полка на скорости, по PPS полки нет. Полоса свободная есть 100%. Проблема точно не в железе, у нас несколько таких брасов в каждом по 2 плате, и на всех такая проблема...

Share this post


Link to post
Share on other sites

NTP можно зарезервировать при помощи принципа anycast. Т.е. на серверах на loopback интерфейсе вешаете один и тот же адрес и по протоколу динамической маршрутизации анонсируете в ядро сети.

К сожалению, сами NTP сервера такой возможности не имеют (в них можно настроить IP адрес, DGW и маску - все). Разве что задать им одинаковые адреса, и разрулить на SE... Но проблема в том, что NTP сервера уже используются другими узлами и провести замену адресов на них очень проблематично.

Share this post


Link to post
Share on other sites
У нас похоже проблема в другом. Используем карты 10ge-oc192-1-port, при 6.75 Гбит входящего трафика на графиках вырисовывается отчётливая полка. Пакетная нагрузка при этом около 600к в одну сторону.

 

На сколько я помню, когда мы тестировали вот такую плату http://shop.nag.ru/catalog/00002.Marshrutizatory/05249.Ericsson/05585.ROA12834091 , то упирались в полку в 2 000 000 pps half duplex . Т.е. режешь исходящий трафик, входящий прибавляется, а pps суммарно проходящие через плату как были в полке, так и остаются на месте.

Edited by PowerPack

Share this post


Link to post
Share on other sites

NTP можно зарезервировать при помощи принципа anycast. Т.е. на серверах на loopback интерфейсе вешаете один и тот же адрес и по протоколу динамической маршрутизации анонсируете в ядро сети.

К сожалению, сами NTP сервера такой возможности не имеют (в них можно настроить IP адрес, DGW и маску - все). Разве что задать им одинаковые адреса, и разрулить на SE... Но проблема в том, что NTP сервера уже используются другими узлами и провести замену адресов на них очень проблематично.

Какая ОС и ПО на ntp серверах? Я не предлагал на сетевом интерфейсе что-то менять. Только добавить на виртуальный интерфейс, на котором ntp-демон будет слушать запросы.

Share this post


Link to post
Share on other sites

обладатели SE100/600/1200 можно ли на данных устройствах создать тарифы по quota(ограничить по объему) для каждого абонента? типа 10ГБ, 50ГБ и тд. сейчас этим занимается у нас SCE1000, а купить SCE8000 пока бюджет не позволяет.

Share this post


Link to post
Share on other sites

На сколько помню там как то так: отправляете некий лимит трафика (вх. или исх. или общий) по исчерпании которого SE шлет alive пакет как бы спрашивая у радиуса что делать, ну а он уже коммандует.

Извините но названий атрибутов и цитат доки дать не могу, т.к. пишу с телефона.

Share this post


Link to post
Share on other sites

Позволю себе немного пошалить ;) в теме

может быть кому то интересны карты для 600/1200 на 20 гигабитных SFP

Share this post


Link to post
Share on other sites

На сколько помню там как то так: отправляете некий лимит трафика (вх. или исх. или общий) по исчерпании которого SE шлет alive пакет как бы спрашивая у радиуса что делать, ну а он уже коммандует.

Извините но названий атрибутов и цитат доки дать не могу, т.к. пишу с телефона.

Главное что на базе SE это возможно и функционал работоспособный.

Share this post


Link to post
Share on other sites

Столкнулся с проблемой: Есть необходимость настроить на SE1200 NON-DHCP-CLIPS, потому и решили обновиться до 12.1.1.2/12.1.1.4p3. Оказалось что версии >12 не правельно понимают атрибут: Ascend-Data-Filter, а точнее srcip x.x.x.x/32 ему понятна, но она не работает, x.x.x.x/31 работает как положенно. в 11.1.2.9 все работает как надо, вот только нет в ней NON-DHCP-CLIPS...

Может комуто удалось побороть такое поведение?

Share this post


Link to post
Share on other sites

Может комуто удалось побороть такое поведение?

 

покажите что вы пытаетесь возвратить в ADF?

Share this post


Link to post
Share on other sites

Может комуто удалось побороть такое поведение?

 

покажите что вы пытаетесь возвратить в ADF?

 

X-Ascend-Data-Filter += "ip in forward srcip x.x.x.x/32",

X-Ascend-Data-Filter += "ip in drop",

 

Причем он это понимает:

 

 

Session state Up

Circuit 1/2 vlan-id 3309:2136 clips 263105

Internal Circuit 1/2:511:63:31/13/2/961

Interface bound IF_TEST

Current port-limit unlimited

Protocol Stack IPV4

context-name CLIENTS (applied)

ip interface IF_TEST (applied)

dhcp max-addrs 1 (not applied)

ip address x.x.x.x (applied)

ascend data filter (applied in)

TLV size is: 64

ip in forward srcip x.x.x.x/32

ip in drop

 

Но режет пакеты. в 11 версии работает нормально. Также в 12 версии работает если поставить маску /31 а не /32 , но в таком случае мы разрешаем пользователю доступ и с соседнего адреса...

Share this post


Link to post
Share on other sites

т.е. цель предотвратить подделку IP заголовков?

это можно решить без ACL, включив uRPF в профиле абонента:

 

!

subscriber default

ip source-validation

!

 

и демультиплексацию CLIPS сессий на основе src MAC:

 

!

port ethernet 1/1

service clips dhcp source-mac

!

 

ADF попробую проверить.

Share this post


Link to post
Share on other sites

Начну так: есть необходимость на SE терминировать пользователей которые в разных влан-ах (Vlan per User QinQ) и пользователей которые находятся в общем ВЛАН-е. Для первых мы настроили auto-subscriber и определяем их по INNER и OUTER влан-ам, в таком случае, даже если у клиента больше чем 1 адрес, всё спокойно резалось по ADF (в версии 11). Для последних последних понадобилась 12-я версия и её NON-DHCP-CLIPS, так как есть и пользователи у которых статически вбиты адреса.

Если можно както по другому обойти ограничения буду только рад протестировать :). может тотже NON-DHCP-CLIPS на блоке 1qtunnel?

Share this post


Link to post
Share on other sites

Схема IPoE

VLAN per Customer - QinQ - L2 Connected to BRAS (SE600)

BRAS as DHCP Proxy <- RADIUS - > Billing (DHCP)

Dynamic Real IP

 

 

1. Что лучше?

а) на доступе добаdлять DHCP Opt82 (свич+порт+влан) - и по ней определять юзера в биллинге и выдавать адрес?

(тут все понятно как работает - напрягает зависимость от вендорозависимости на доступе)

либо

б) раз юзера можно однозначно определить по QinQ - то может его только и юзать для "авторизации" и выдачи адреса?

Правда тут совершенно не ясна цепочка действий (BRAS/RADIUS/BILLING/DHCP)

Кто -нить юзает так?

Если в общих чертах опишите - будет прекрасно.

Плюс - что от доступа нужно только влан - это просто и стандартно и дешево и вендоронезависимо.

 

 

2) В случае L2 connected на брасе - для защиты от подмены мака и ипа юзером - что нужно?

На доступе не нужны всякие косячные штуки опять же вендорозависимые и иногда глючно работающие?

Достаточно на брасе ?

ip source-validation и service clips dhcp source-mac

?

 

3. От петель защита на брасе или раньше? (ядро/агрегация/доступ?)

 

4. Есть инет/пиринг/локалка(через брас)

(брас - он же бордер - на нем влан аплинка и влан пиринга)

Вопрос

а) Можно ли заюзать раздельные скорости и аккаунтинг на три этих сервиса?

(если да - то как в общих чертах траф "раскрасить"/определить в нужный "сервис" ?)

 

На ум приходит

Инет - дефолт (все что явно не попало в другие правила)

локалка - пулы известны - можно легко определить в нужное правило

-пиринг - сети приходят по бгп - но редко обновляются - раз в день с помощью внешнего костыля грепать по какому-нить признаку и загонять в правила (но вроде тут писали - что это плохо, почему?)

Еще вроде можно по пиринговому влану входящий траф покрасить - но тогда исходящий без контроля (вернее он попадет в дефолтную скорость тарифа - которая для Инета ?) Тоже не айс

 

5. По поводу квот - есть безлимиты со 100 М скоростью, но есть страховка - после например объема 1T - скорость юзера падает до 1M до конца месяца

Это рулить с помощью биллинга - он по аккаунтигу (кстати - квоты тоже посервисно работают?) считает траф юзера и после лимита с помощью CoA меняет юзеру скорость?

 

6. Нетфлоу без проблем работает по стандарту? (вроде v5) ? NFDUMP понимает?

Или лучше где то еще заюзать?

 

7. Зеркалирование для СОРМ без проблем?

 

8. Что по поводу резервирования SE600 ?

- хранить отдельные "запчасти" (какие?)

- хранить еще один агрегат с полной набивокй?

- какой-то другой вариант?

 

Спасибо.

Edited by redds537

Share this post


Link to post
Share on other sites

То что не хотите искать/читать - да, более чем прискорбно.

Например вопрос №4 уже рассмотрен ранее в этой самой теме, но вам же лень искать/читать. Если хочется точных и развернутых ответов на ваши вопросы - оглашайте сумму, за которую кто нибудь, может быть возмется вам все разжевывать.

Share this post


Link to post
Share on other sites

Спасибо.

Я читал. Слишком много читал и запутался) (не могу зерна от плевел отделить)

Я просто хотел получить в одном месте простые ответы типа "да/нет", "возможно/возможно с костылями/невозможно".

Без конфигов и подробных объяснений.

Чтобы просто выбрать.

А дальше ясно, что нужно платить интегратору за интеграцию.

Share this post


Link to post
Share on other sites

хотел получить в одном месте простые ответы

 

Оке, поехали :)

 

 

 

1. Что лучше?

а) на доступе добаdлять DHCP Opt82 (свич+порт+влан) - и по ней определять юзера в биллинге и выдавать адрес?

...

б) раз юзера можно однозначно определить по QinQ - то может его только и юзать для "авторизации" и выдачи адреса?

 

Тут можете делать совершенно как вам угодно с учетом того, что именно умеет ваш биллинг, т.е. если он умеет только Option 82 и знать не знает про VLAN-ы - выбор, сами понимаете, не велик.

 

 

 

2) В случае L2 connected на брасе - для защиты от подмены мака и ипа юзером - что нужно?

На доступе не нужны всякие косячные штуки опять же вендорозависимые и иногда глючно работающие?

Достаточно на брасе ?

ip source-validation и service clips dhcp source-mac

?

 

В начале этой страницы вроде уже есть ответ:

 

т.е. цель предотвратить подделку IP заголовков?

это можно решить без ACL, включив uRPF в профиле абонента:

 

!

subscriber default

ip source-validation

!

 

и демультиплексацию CLIPS сессий на основе src MAC:

 

!

port ethernet 1/1

service clips dhcp source-mac

!

 

 

 

3. От петель защита на брасе или раньше? (ядро/агрегация/доступ?)

 

От петель защищаются там, где эти петли могут возникнуть. Исключая вариант, что умеючи можно йух в 3-х местах сломать, то каким образом вы себе представлете петлю на BRAS-е и/или в ядре?

 

 

 

4. Есть инет/пиринг/локалка(через брас)

...

а) Можно ли заюзать раздельные скорости и аккаунтинг на три этих сервиса?

 

Ссылку дал постом выше ;)

 

 

 

5. По поводу квот - есть безлимиты со 100 М скоростью, но есть страховка - после например объема 1T - скорость юзера падает до 1M до конца месяца

Это рулить с помощью биллинга - он по аккаунтигу (кстати - квоты тоже посервисно работают?) считает траф юзера и после лимита с помощью CoA меняет юзеру скорость?

 

SE != SCE, так что да, рулить из биллинга.

 

 

 

6. Нетфлоу без проблем работает по стандарту? (вроде v5) ? NFDUMP понимает?

Или лучше где то еще заюзать?

 

Сам netflow на SE не юзаю, т.к. снимаю в другом месте, но по отзывам все нормально работает.

 

 

 

7. Зеркалирование для СОРМ без проблем?

 

Зеркалирую в другом месте (свичом тупо быстрее), так что тут не подскажу, извините.

 

 

 

8. Что по поводу резервирования SE600 ?

- хранить отдельные "запчасти" (какие?)

- хранить еще один агрегат с полной набивокй?

- какой-то другой вариант?

 

Все зависит от того КАК вы хотите резервироваться. Если хотите холодного резерва, то набираете запчастей и складываете их на полку, если хотите горячего резерва, то либо втыкать запасной XCRP (SE600 вроде умеет), либо ставить рядом еще одну коробку. В общем - все на ваш вкус и кошелек.

Share this post


Link to post
Share on other sites

Толку от второго xcrp мало если например карта сгорит или крэшнится.

Лучше делать горячий резерв, чтобы в случае чего не бегать держась за голову.

Share this post


Link to post
Share on other sites

SE-600

Redback Networks SmartEdge OS Version SEOS-11.1.2.9-Release

 

Feb 23 23:47:23: %CSM-6-CARD: PPA crash detected on card 10ge-4-port 1

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/1 link state DOWN service state DOWN, overall admin is UP

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/1 link state down, trigger source: Configuration changed or hardware removed

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/2 link state DOWN service state DOWN, overall admin is UP

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/2 link state down, trigger source: Configuration changed or hardware removed

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/3 link state DOWN service state DOWN, overall admin is UP

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/3 link state down, trigger source: Configuration changed or hardware removed

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/4 link state DOWN service state DOWN, overall admin is UP

Feb 23 23:47:23: %CSM-6-PORT: ethernet 1/4 link state down, trigger source: Configuration changed or hardware removed

Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Full neighbor 195.2.238.1 event: Kill Neighbor

Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Neighbor 195.2.238.1 fell from Full state to Down state

Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Full neighbor 195.2.238.7 event: Kill Neighbor

Feb 23 23:47:23: [0001]: %OSPF-6-INFO: OSPF-1: Neighbor 195.2.238.7 fell from Full state to Down state

Feb 23 23:47:23: %LG-3-GRP_LOG: link-group uplink state: DOWN

Feb 23 23:47:25: %PM-1-ALERT: Process EPPA IPC SLOT 1, pid 0x81010001, is not responding.

Feb 23 23:47:31: %PPAINFRA-3-LOG_ERR: crashSrvr(): Slot/ppa 1/1 Crash server data collection started

Feb 23 23:49:00: %AAA-6-INFO: aaa_prov_sendto_rcm: Throttle bit is set. Throttle hit count: 1, current queue count: 501

Feb 23 23:49:25: %AAA-6-INFO: aaa_rcm_attr_ipc_in_mgr: Throttle bit is cleared. Current queue count: 384

Feb 23 23:55:30: %PPAINFRA-3-LOG_ERR: crashSrvr(): Slot/ppa 1/1 Crash server data collection done

Feb 23 23:55:34: %SYSMON-5-GEN_FTP: Core file /ata0/p02/ppa/crashSlot01Eppa.gz FTPed to /md/ successfully

Feb 23 23:55:48: %SYSMON-5-GEN_FTP: Core file /ata0/p02/ppa/crashSlot01EppaCore.gz FTPed to /md/ successfully

Feb 23 23:55:49: %CSM-6-CARD: card 10ge-4-port REMOVED from slot 1

Feb 23 23:55:50: %PM-1-ALERT: Process IPPA IPC SLOT 1, pid 0x80010001, is not responding.

Feb 23 23:55:59: %CSM-6-CARD: card 10ge-4-port INSERTED in slot 1

Feb 23 23:56:05: %QOS-6-INFO: qos info: PPA just reborn 0

Feb 23 23:56:05: %QOS-6-INFO: qos info: iPPA reg on slot 1

Feb 23 23:56:05: %CSM-6-CARD: card 10ge-4-port INSERTED in slot 1 READY

Feb 23 23:56:06: %QOS-6-INFO: qos info: PPA just reborn 0

Feb 23 23:56:06: %QOS-6-INFO: qos info: ePPA reg on slot 1

Feb 23 23:56:06: %PPAINFRA-6-ISTART_INFO: 32302f67/0000000001/775600000:01/IPPA/EU00:Ready to receive packets

Feb 23 23:56:06: %PPAINFRA-6-ISTART_INFO: 36c4523e/0000000001/947000000:01/EPPA/EU00:Ready to receive packets

Feb 23 23:56:06: %CSM-6-CARD: Card in slot 1 entering In Service state.

Feb 23 23:56:07: %PPAINFRA-6-IFACE_INFO: 586aad16/0000000003/200800000:01/IPPA/EU00:ROUTING_READY sent to CSM

Feb 23 23:56:07: %CSM-6-PORT: ethernet 1/1 link state UP service state UP, overall admin is UP

Feb 23 23:56:08: %CSM-6-PORT: ethernet 1/2 link state UP service state UP, overall admin is UP

Feb 23 23:56:10: %CSM-6-PORT: ethernet 1/3 link state UP service state UP, overall admin is UP

Feb 23 23:56:11: %CSM-6-PORT: ethernet 1/4 link state UP service state UP, overall admin is UP

Feb 23 23:57:11: %LG-3-GRP_LOG: link-group uplink state: UP

 

 

Есть кто встречался с подобным ? Че делать ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now