Перейти к содержимому
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

 dot1q pvc 1204 replicate 
 bind interface ipoe ipoe
 service clips dhcp source-mac context ipoe

у меня это выглядит вот так. бродкасты от 0.0.0.0 и юникасты от ip на ип SE проходят нормально.

Изменено пользователем Ptica79

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Изменено пользователем DVDrom4ik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Может кому то пригодится. В общем проблему решил выключение проксирования ARP включив режим security-arp на мультибинд интерфейсе. Что дало исключение попадания в ARP таблицу IP не присвоенного subscriber'y.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

Железка SE600

Redback Networks SmartEdge OS Version SEOS-12.1.1.11p7-Release

Спасибо за ответ, будем пробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если у вас 4-10ge-port карточка - то ограничение 32 тысячи circuit на карту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-нибудь настраивал SE100 как чистый dhcp-relay без dynamic CLIPS?

Пробую со static dot1q клиентом, SE100 режет OFFER, при этом в debug выдает:

Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 3c:97:0e:13:6b:98, IP 192.168.10.2, encap type 0x1020400, lease 43200, subnet (0.0.0.0/0)
Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %AAA-3-ERR: aaa_idx 30000002: aaa_update_dhcp_sub_circuit: session 2/2:511:63:31/1/2/7 isn't configured for DHCP session_class 1 dhcp_max_addr max_addr 0
Oct 23 13:07:50: %DHCP-7-IPC: Received IPC command 0x1e7e with length 140
Oct 23 13:07:50: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for  ip 192.168.10.2  mac 3c:97:0e:13:6b:98  context 0x40080002

Конфиг такой:

context router
interface downlink multibind
  ip address 192.168.10.1/24
  dhcp relay 65534
!
 interface out
  ip address 172.16.10.100/24
 no logging console
!
 subscriber name test1
   ip address 192.168.10.2
   dhcp max-addrs 20
!
 dhcp relay server 172.16.10.141


port ethernet 2/2 
 no shutdown
 medium-type copper
 encapsulation dot1q
 dot1q pvc 1202 encapsulation 1qtunnel 
  dot1q pvc 1202:2003 
   bind subscriber test1@router


Тестировал на SEOS-12.1.1.11-Release и  SEOS-12.1.1.12p12-Release. Если забить на клиенте адрес статикой - то всё работает. Можно ли как-то обойти это ограничение SE100 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день, подскажите никто не заворачивал трафик на редуктор прямо на Эриксоне SE100? В частности интересует возможность заворота LAGа. Релализуемо ли это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

товарищи ученые

есть none-dhcp l3 clips

сабскрайберы заведены локально, работает

но если сабскрайбера нет а он пытается обращаться то после его заведения он всеравно не работает

clear subscriber username не помогает

clear clips counters, reauthorize username, policy-refresh тоже

в логе один раз:

        IPC_ENDPOINT = CLIPSd, MSG_TYPE = DB_RESPONSE, authen response = 2

и больше нет попыток

помогает убрать с интерфейса service clips и снова включить

подскажите пожалуйста: можно эту залипающую авторизацию где-то чистить?

в закрытый форум писал, в rbak-nsp тоже

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 09.02.2017 at 9:05 AM, pronet said:

Доброго времени суток, не получается настроить SE100 + Lanbilling для работы в качестве PPPoE браса.

 

Из дампа видно, что от NAS приходит Auth-Request, радиус отвечает Access-Accept и затем NAS присылает не Acct-START, а Acct-STOP. и процесс авторизации повторяется. Похоже, что NAS'у что-то не нравится и он не поднимает сессию.

Помогите разобраться. Ситуация сильно похожа на описанную в цитируемом блоке за тем исключением что как только я вывожу биндинг pppoe сессий в отдельный контекст перестает работать авторизация.

 

[local]Redback#debug aaa exception

ничего не отображает.

 

[local]Redback# show subscribers log 

4990    IN      Thu Feb  1 12:16:01.433122
        IPC_ENDPOINT = PPPd, MSG_TYPE = SESSION_DOWN, term_ec = 24
        terminate cause = Authentication failure
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7c, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 1
---------------------------------------------------------
4991    OUT     Thu Feb  1 12:16:01.433131
        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-SUB-SESS-DOWN-CPLT,
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 0, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------
4992    IN      Thu Feb  1 12:16:03.754539
        IPC_ENDPOINT = PPPd, MSG_TYPE = AUTHEN_REQ_2,
        Username = xxx,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------
4993    OUT     Thu Feb  1 12:16:04.217813
        IPC_ENDPOINT = PPPd, MSG_TYPE = DB_RESPONSE, authen response = 2
        Username = xxx,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 40080085,
        Event code = 0
---------------------------------------------------------
4994    IN      Thu Feb  1 12:16:04.239593
        IPC_ENDPOINT = PPPd, MSG_TYPE = SESSION_DOWN, term_ec = 24
        terminate cause = Authentication failure
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 1
---------------------------------------------------------
4995    OUT     Thu Feb  1 12:16:04.239601
        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-SUB-SESS-DOWN-CPLT,
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 0, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------

 

 

Мой конфиг:

 

[local]Redback#show configuration
Building configuration...
Current configuration:
!
!  Configuration last changed by user '<NO USER>' at Thu Feb  1 15:23:53 2018
!
!
!
aaa global authentication subscriber radius context local
aaa global accounting subscriber radius context local
aaa last-resort context local
!
!
service multiple-contexts
!
service inter-context routing
!
!
!
 software license
  subscriber active 8000 encrypted 1 $1$HASH
  subscriber bandwidth 60 encrypted 1 $1$HASH
!
!context local
 domain local.context.ru
!
 no ip domain-lookup
!
 interface lnk_to_fw
  ip address 192.168.10.1/30
!
 interface mng
  ip address 172.20.255.165/27
!
 interface radius loopback
  ip address 172.20.254.10/32
   ip source-address radius
!
!
 enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
 aaa authentication administrator local
 aaa accounting subscriber radius
 radius accounting server 10.15.23.21 encrypted-key E3919B89DF3DF70D7E680CB9AD66D872
!
 administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
   privilege max 15
!
 radius server 10.15.23.21 encrypted-key E3919B89DF3DF70D7E680CB9AD66D872
!
 subscriber default
   ppp mtu 1492
   dns primary 8.8.8.8
!
 ip route 10.15.23.0/24 172.20.255.161
!
!
!
context bgp
!
 no ip domain-lookup
!
 interface UPLINK_TMP
  ip address WHITE_ADDR/30
!
 interface UPLINK_TTK
  ip address WHITE_ADDR/30
 no logging console
!
 router bgp ASNUM
!
  neighbor WHITE_ADDR external
    remote-as ASNUB
    send community
    send ext-community
    address-family ipv4 unicast
!
 ip route 0.0.0.0/0 WHITE_ADDR
!
!!
context pppoe
 domain my.domain.ru advertise
!
 no ip domain-lookup
!
 interface pppoe multibind
  ip address WHITE_ADDRESS/28
  ip pool WHITE_POOL/28
 no logging console
!
 aaa authentication administrator local
 aaa authentication subscriber global
!
!
 subscriber default
   ppp mtu 1492
   dns primary 8.8.8.8
!
 ip route 0.0.0.0/0 context bgp
!
!
!
!
!
! ** End Context **
logging tdm console
logging active
logging standby short
!
!
!
 system clock timezone MSK 3 0
!
!
!
port ethernet 1/1
! XCRP management port on slot 1
 no shutdown
 bind interface mng local
!
card carrier 2
 mic 1 ge-2-port
 mic 2 ge-2-port
!
port ethernet 2/1
 auto-negotiate speed 100
 no shutdown
 medium-type copper
 bind interface UPLINK_TMP bgp
!
port ethernet 2/2
 auto-negotiate force enable speed 100
 shutdown
 medium-type copper
!
port ethernet 2/15
 no shutdown
 encapsulation dot1q
 dot1q pvc 100 encapsulation multi
  circuit protocol pppoe
   bind authentication pap chap context pppoe maximum 3000
!
port ethernet 2/16
 shutdown
!
system hostname Redback
system location ZImbabve
!
!
!
 pppoe services marked-domains
 pppoe service-name accept-all
 pppoe tag ac-name *
 pppoe always-send-padt
!
end

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Столкнулся на днях с проблемой на SE600 на одной линейной карте NAT трансляции подошли к 2 млн. (закончились микроблоки).

Решил перенести часть пользовательских вланов на вторую линейную карту. После переноса сессии поднялись, но CGNAT не работает. В логах сообщение : %NAT-3-INT_ERR: work thread: failed to find pairing for binding point on slot 6.

Может кто-нибудь сталкивался с подобной проблемой?

SEOS-12.1.1.12p5-Release.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможно на вторую карту нужен свой диапазон ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 03.03.2018 в 19:42, velstuff сказал:

Добрый день.

Столкнулся на днях с проблемой на SE600 на одной линейной карте NAT трансляции подошли к 2 млн. (закончились микроблоки).

Решил перенести часть пользовательских вланов на вторую линейную карту. После переноса сессии поднялись, но CGNAT не работает. В логах сообщение : %NAT-3-INT_ERR: work thread: failed to find pairing for binding point on slot 6.

Может кто-нибудь сталкивался с подобной проблемой?

SEOS-12.1.1.12p5-Release

самое просто решение - ребут.

тогда ваш пул располовинится по картам.

 

там просто поведение дурацкое - в cgnat пуле каждый ип это типа отдельный пул. и карта, на которую биндится саб - должно его натить. и каждая карта имеет свой набор ипов из вашего cgnat пула.
причем забирать они могут ипы, а отдавать нет.

 

есть 2 выхода:

1) ребут

2) сброс всех натовских сабов, удалить нат пул (тогда он уйдет с карт), добавить нат пул

 

ну или да, как заметили выше можно добавить еще адресов в пул, тогда какая-то их часть уйдет на вторую карту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за советы. Проблему решил. При этом просто ребут никак не помог, а вот добавление ip в пул помогло.

Кстати для быстрого сброса всех трансляций и пользовательских сессий (для перенастройки пула) можно отключить линейную карту (shutdown).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хз, мы всю жизнь просто ребутаем :)

там самое главное после ребута чтобы карта уже в ченеле была и подключения принимала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эриководы, прошу помощи. Имеем SE100, начали проявляться проблемы с сервисами компании гугл. Проявляется у пользователей за НАТом, у реальников проблем нет. Какую-то конкретную закономерность выявить не смогли, рандомно могут не работать ютуб, а жмаил и гугл плей без проблем, бывает у юзера не работает все гугл сервисы. С компа хосты резолвятся, но прежде, чем начнут грузится страницы гугла проходит около 10 секунд, иногда не загружаются вообще. С ДНСами игрались, не помогло. Проблем с другими сайтами абсолютно не наблюдаем. Пробовал запускать вайршарк, по логам гугл перебирает порты ната, но не пробивается, фильтров кроме well-known никаких. Может кто сталкивался? Конфиг НАТ:

ip nat pool NAT_POOL napt paired-mode
  paired-mode subscriber over-subscription 256 port-limit 4096
  address xxx.xxx.xxx.xxx to xxx.xxx.xxx.xxx
   exclude well-known
!
 nat policy NAT_POLICY enhanced
  connections tcp maximum 2000
  connections udp maximum 2000
  connections icmp maximum 10
! Default class
  ignore
  admission-control tcp
  admission-control udp
  admission-control icmp
  endpoint-independent filtering udp
  inbound-refresh udp
  icmp-notification
! Named classes
  access-group NAT-ACL
   class NAT-CL-1
    pool NAT_POOL pppoe
    timeout tcp 180
    timeout udp 60
    timeout fin-reset 60
    timeout icmp 10
    timeout syn 60
    admission-control icmp
    endpoint-independent filtering udp
    inbound-refresh udp
    icmp-notification
   class NO-NAT
    ignore
    inbound-refresh udp
    icmp-notification

Интересная особенность: если в конфиг вставить endpoint-independent filtering tcp, у абонентов отваливается скайп, но гугл сервисы не стартуют все равно. Версия прошивки 12.1.1.12p12-Release. Заранее спасибо.

Изменено пользователем Tornight

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, zstas сказал:

у вас гуголь кэш стоит?

временно отключили, тоже связывали проблемы с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас наверное маршрутизация до гоголь кэша поломана.

у нас была такая проблема, когда клиенты за одним RR (туда маршрут сетей кэша не попадал) не могли достучаться до гоголь кэша - и соотвественно несколько минут ждали, потом гоголь сам их редиректил на другой кэш.

 

проверьте натовские сети ваши нормально ли маршрутизируются до гоголь кэша и обратно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас всего один блок /28 адресов для ната, это все одна сеть. Когда выпадает из этого пула абону реальник, тогда все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому интересно. Трафик ни в какую не хотел ходить в подсеть 172.217.х.х, только яндекс ДНС резолвил на другие айпи, на него наш админ и сделал форвард. Костыль, но все же. Почему трафик из одной подсети нормально ходит, а из другой нет, до сих неясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте! Подскажите пожалуйста где найти документацию на SmarEdge 1200, или может есть кого нибудь скиньте пожалуйста.Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас