Ericsson / Redback Smartedge. Отзывы, реальная производительность.

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

 dot1q pvc 1204 replicate 
 bind interface ipoe ipoe
 service clips dhcp source-mac context ipoe

у меня это выглядит вот так. бродкасты от 0.0.0.0 и юникасты от ip на ип SE проходят нормально.

Изменено пользователем Ptica79

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Изменено пользователем DVDrom4ik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Может кому то пригодится. В общем проблему решил выключение проксирования ARP включив режим security-arp на мультибинд интерфейсе. Что дало исключение попадания в ARP таблицу IP не присвоенного subscriber'y.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

Железка SE600

Redback Networks SmartEdge OS Version SEOS-12.1.1.11p7-Release

Спасибо за ответ, будем пробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если у вас 4-10ge-port карточка - то ограничение 32 тысячи circuit на карту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кто-нибудь настраивал SE100 как чистый dhcp-relay без dynamic CLIPS?

Пробую со static dot1q клиентом, SE100 режет OFFER, при этом в debug выдает:

Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 3c:97:0e:13:6b:98, IP 192.168.10.2, encap type 0x1020400, lease 43200, subnet (0.0.0.0/0)
Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %AAA-3-ERR: aaa_idx 30000002: aaa_update_dhcp_sub_circuit: session 2/2:511:63:31/1/2/7 isn't configured for DHCP session_class 1 dhcp_max_addr max_addr 0
Oct 23 13:07:50: %DHCP-7-IPC: Received IPC command 0x1e7e with length 140
Oct 23 13:07:50: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for  ip 192.168.10.2  mac 3c:97:0e:13:6b:98  context 0x40080002

Конфиг такой:

context router
interface downlink multibind
  ip address 192.168.10.1/24
  dhcp relay 65534
!
 interface out
  ip address 172.16.10.100/24
 no logging console
!
 subscriber name test1
   ip address 192.168.10.2
   dhcp max-addrs 20
!
 dhcp relay server 172.16.10.141


port ethernet 2/2 
 no shutdown
 medium-type copper
 encapsulation dot1q
 dot1q pvc 1202 encapsulation 1qtunnel 
  dot1q pvc 1202:2003 
   bind subscriber test1@router


Тестировал на SEOS-12.1.1.11-Release и  SEOS-12.1.1.12p12-Release. Если забить на клиенте адрес статикой - то всё работает. Можно ли как-то обойти это ограничение SE100 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день, подскажите никто не заворачивал трафик на редуктор прямо на Эриксоне SE100? В частности интересует возможность заворота LAGа. Релализуемо ли это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0