Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Проблема решилась перебиванием LAG с access в dot1q и добавлением соответствующего влана.

Т.е. вот так LACP работает:

 

 

link-group UPLINK-DOT1Q dot1q

maximum-links 3

lacp active

lacp periodic-timeout long

dot1q pvc 2

bind interface UPLINK-UP local

!

 

 

 

А вот так - нет:

 

 

link-group UPLINK access economical

qos pwfq scheduling physical-port

maximum-links 3

lacp active

bind interface UPLINK-UP local

 

 

 

 

dmvy

Оставил два линка.

Ситуация не поменялась.

Собственно говоря, вопрос-то не в том, что трафик вообще не балансируется.

Входящий к абоненту балансируется прекрасно.

А вот исходящий от абонента льется в один порт.

post-80840-094912000 1418048135_thumb.png

Edited by purecopper

Share this post


Link to post
Share on other sites

link-group UPLINK-DOT1Q dot1q

maximum-links 3

lacp active

lacp periodic-timeout long

dot1q pvc 2

bind interface UPLINK-UP local

!

В конфигах SE написано что LAGG с LACP (lacp active)

а со стороны SNR включен протокол LACP? Что-то не увидел в конфигах (там написано mode passive) и если LACP был бы включен то в show port-group 3 detail показывалась бы буква "А" - LACP Active

Share this post


Link to post
Share on other sites

коммутаторы не умеют балансировать не по 2^n портам. делайте либо 2, либо 4 порта.

у меня 2 канала, по 3g каждый. Балансировка SRC-DST-IP, всё нормально они мажут. Где-то 750-600-680. Понятно дело, что идеальных 3г не получить

 

коммутатор: HP A5500 и 3612G с другой стороны.

Share this post


Link to post
Share on other sites

Ситуация.

Сдох биллинг (не важно почему)

Пока ведутся работы по восстановлению работоспособности

Чтобы успокоить юзеров - делаю на брасе:

aaa authentication subscriber none profile default
aaa accounting subscriber none

 

Теперь сабскрайберов пускает без биллинга(радиус).

(L2TP)

 

Вопрос 1: когда биллинг снова пускаю встрой и снова включаю авторизацию через радиус - как потом грамотно отсеить/покилять тех юзеров, что авторизовались "без авторизации", чтобы реавторизовались их на биллинге?

Пробовал реаутентификацию - но получаю в логах

Reauth with non radius authentication method is not supported
(что вполне логично)

Есть еще варианты кроме ребута браса и заново массовый перелогин ?)

 

Вопрос 2: как запретить конектиться юзерам по l2TP несколько раз с одинаковым логином во время "халявного режима" (aaa authentication subscriber none) ?

Share this post


Link to post
Share on other sites

По первому вопросу: дропнуть абонентов. Кто-то выкладывались snmp oid, чтобы быстро скриптом сбросить.

Share this post


Link to post
Share on other sites

Я в UTM5 через вот так юзерам скорости меняю:

snmpset -v2c -c redback@local 10.2.1.10 .1.3.6.1.4.1.2352.2.27.1.1.3.3.0 s $1 

$1 - MAC-адрес для авторизации в системе.

Share this post


Link to post
Share on other sites

скорости менять - это хорошо.

Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн.

Чтобы аккаунтинг зароботал. События разные.

И главное пулы и адреса - я белые раздаю динамикой.

 

Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг.

Иначе придется всех килять (брас ребутать или еще как-то)...

Share this post


Link to post
Share on other sites

скорости менять - это хорошо.

Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн.

Чтобы аккаунтинг зароботал. События разные.

И главное пулы и адреса - я белые раздаю динамикой.

 

Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг.

Иначе придется всех килять (брас ребутать или еще как-то)...

вам сказали oid для реавторизации. наверняка есть oid и для disconnect.

Share this post


Link to post
Share on other sites

да как именно килять юзеров - это не проблема.

Еще раз формулирую вопрос: как ОТФИЛЬТРОВАТЬ (загрепать, выгрести, выбрать :) в список - логины юзеров, авторизованных не по радиусу из общего к-ва ? (юзеры L2TP)

Share this post


Link to post
Share on other sites

Я бы ждал таймаут наверно, если не охото ночью сбросывать все сессии (если таймаут не миллион часов настроен, конечно)

 

=============

 

SE не умеет фильтровать http/url для физ.интерфейсе (dpi)? Или я не правильно понял мануал?

Нужно фильтровать имена и странички, а не IP'шники.

Умеет полисить для subscribers только, насколько понял. Странно немного. Например если я транзит для кого-то, кто не является для меня SUBS(

 

На 28ой цыске нормально зафильтрил URL и темплейт и апстимовый сабинтерфейс. Неужели SE не умеет это делать?

Share this post


Link to post
Share on other sites

Жаль, что у меня нет второго браса )

Думаю, когда такая ситуация произойдет - я смогу найти зацепки, по которым можно отгрепать сабскрайберов.

 

А вот еще проблемка - заметил, что много L2TP юзеров болтаются на брасе с дефолтными параметрами (из дефолтного профиля),

т.е. некоторым юзерам не навешиваются полиси через CoA (radclient отсылает с биллинга)

 

в логах - CoA NAK

мол Session-Context-Not-Found

 

Чем эти юзеры отличаются от тех, кому нормально навешивается полиси согласно тарифа - не нашел.

Сам конектился много раз на всех тарифах с разных девайсов - все ок

 

 

Кто проходил такое?

Куда рыть?

Share this post


Link to post
Share on other sites

на свежую голову и после исследования дебага появилась версия

что биллинг слишком рано отсылает CoA для навешивания полиси

(пока еще установление сессии в самом разгаре :)

Нужно либо отсылать значения полиси в радиус accept (что не просто в моем случае)

Либо какую то паузу в скрипте внести искусственно в несколько секунд

либо отсылать coa пакет несколько раз - что не красиво совсем....

Share this post


Link to post
Share on other sites

Похоже - помогло сделать оттяжечку в пару секунд после логина (в биллинге) навешивания полиси через CoA

Share this post


Link to post
Share on other sites

а кто что скажет по поводу проблемы mtu/mss + L2TP/PPPoE

Есть жалобы от юзеров с роутерами

Очень похоже на проблему с mtu

 

Какие будут рекомендации

 

И не отвалятся ли текущие впн юзеров - если на брасе подкручивать mtu в профиле юзера

или на multibind интерфейсах добавить ip tcp mss replace XXX

 

UPDATE: SOLVED (помогли примеры с форума, юзеры не отвалились)

Share this post


Link to post
Share on other sites

SE не умеет фильтровать http/url для физ.интерфейсе (dpi)?

SE = 100 - нет.

SE > 100 (SE600 и т.д.) - умеет, но только со спец платой в которую влазит совсем не много URL.

Share this post


Link to post
Share on other sites

Приветствую форумчане!

 

Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV?

 

У меня при 2FV

Entry Type Count Memory

Network 522585 44250500

Path 1036842 37326312

Share this post


Link to post
Share on other sites

 

Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV?

 

У меня почти 3FV (Реально 2 аплинка FV + локальные пирринги)

Entry Type      Count          Memory
Network        527433        44645824
Path          1479561        53264196

#sh memory
Memory: Total 802716k, Used 734508k, Free 31720k, Reserved 24k

3 дня назад, сразу после последнего аварийного рестарте коробки руками, когда bgp процесс умер из-за недостатка памяти, рестартовал (причем два раза), но не захотел поднимать все peer (они застряли в состоянии Idle и были так 9 часов) Free было около 70000к - теперь вот 31000к, я так понимаю аккуратно к НГ еще раз грохнется :(

subscribers (IPOE, non-dhcp) пока около 70 (подопытные)

Share this post


Link to post
Share on other sites

2 BGP FV где-то примерно с двумя тысячами активных абонентских сессий жило у меня на одном SE100. На грани фола, памяти не хватает капитально. Я тут где-то даже тему создавал "как расширить память". Там нужно подобрать-то правильную планку, которую официально менять нельзя.

Так вот сделал вывод, что или пользователи или bgp fv. В итоге функции пограничника уехали на другое железо. Иначе бывали случаи, когда убивался процесс bgp из-за нехватки памяти.

Share this post


Link to post
Share on other sites

Всем спасибо за ответ,

Забыл написать про память, так у меня при 2FV и 200 dot1q абонентах без ната, вообщем ни чего железка не делает:

 

[local]Redback>sh mem

Memory: Total 802716k, Used 622316k, Free 143888k, Reserved 24k

Share this post


Link to post
Share on other sites

Здравствуйте, коллеги!

 

Есть контексты A, B, C, D.

Включена межконтекстная маршрутизация. Дефолтные маршруты прописаны А --> B --> C.

 

service multiple-contexts
service inter-context routing

context A
ip route 0.0.0.0/0 context B

context B
ip route 0.0.0.0/0 context C

 

Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D?

Share this post


Link to post
Share on other sites

Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D?

Да, вы гурман, батенька. К чему такие изыски?

Share this post


Link to post
Share on other sites

Да, вы гурман, батенька. К чему такие изыски?

Гурман поневоле :) Вопрос связан с оптимизацией фильтрации запрещенных сайтов.

Судя по тишине - простого способа нет, чего и ожидал. Поищем другое решение.

Share this post


Link to post
Share on other sites

All а вот подскажите - это я что-т не докутил или таки задумано - по snmp вижу интерфейс управления, но трафик по нему типа остутсвует. Хотя он всё таки есть. cacti весело рисует что там при этом N/A трафика. Аналогично ина порту, к которому привязан mgmt интерфейс. Но по факту хоть и копеешный трафик, но там бегает, вижу это на графике свитча в который воткнут MGMT порт.

Share this post


Link to post
Share on other sites

Снимайте с порта/pvc, интерфейс у редбэка зверь скрытный.

Share this post


Link to post
Share on other sites

Да вот что интересно - добавил в график именно прт к которому MGMT привязан - тоже самое. port ethernet 1/1

 

!

context local

!

no ip domain-lookup

!

interface MGMT

description mgmt_if

ip address 10.22.2.72/26

ip source-address telnet snmp ssh

logging console

!

....

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

bind interface MGMT local

!

 

 

 

а вот соседние порты - Всё ок.

 

port ethernet 2/2

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 150

bind interface RADIUS pppoe

....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now