Jump to content
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

mikevlz

вы должно быть имели в виду nat (сеть на сеть) 1:1? в смысле только одну серую сеть натить на одну белую сеть.

меня интересует возможность натить несколько серых на одну белую. пока делаем через создание 8ми нат пулов, по 4 белых адреса в каждом и по 4 порт блока на каждый адрес. потом делим все серые сети между этими 8ю пулами, но всё это немного не то((

Share this post


Link to post
Share on other sites

На редбеке установлена лицензия 8000 сессий, сколько он может держать сессий L2TP и PPPoE(равных количествах или нет)?

Если интернет канал превысить в 1 гигабит можно ли на редбек его расширить используя дополнительные модули с джибиками?

Эта лицензия на общее количество активных абонентов в системе, они могут быть разных типов (L2TP/PPPoE/CLIPS) и в разных комбинациях но суммарно их не более 8000.

Находясь в exec режиме котекста local, и давая команду show subscribers summary all можно увидеть сколько в данный момент абонентов в системе суммарно и каких типов.

Share this post


Link to post
Share on other sites

Minya

у вас se100 как нат-девайс без браса? в смысле абонентов на нем не создается (рррое/clips) и есть только нат-политика на L3 интерфейсе?

Share this post


Link to post
Share on other sites
Current configuration:

!

context local

!

ip nat pool pool_dyn

address белая-Сеть1/22

address белая-сеть2/23

!

context local

!

policy access-list NAT-ACL

seq 10 permit ip серая-сеть1 0.0.0.255 class CLASS3

seq 20 permit ip серая-сеть2 0.0.0.127 class CLASS3

seq 30 permit ip серая-сеть3 0.0.1.255 class CLASS3

!

nat policy pol1

! Default class

ignore

! Named classes

access-group NAT-ACL

class CLASS3

pool pool_dyn local

timeout tcp 60

timeout udp 60

timeout syn 60

timeout basic 60

!

interface if-private

! bound to 2/1 circuit

ip address локальныйIP

ip nat pol1 acl-counters

!

end

Примерно так конфигурируется нат. В принципе, качайте доку, ставьте, читайте смысл команд.

Share this post


Link to post
Share on other sites

macharius

именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую?

не могли бы подробнее рассказать про CG-NAT?

Share this post


Link to post
Share on other sites

Натить так же как у меня, только использовать не Dynamic NAT, а NAPT. Настройка вроде касается только пула. Возможно, полиси надо будет подрихтовать еще.

Share this post


Link to post
Share on other sites

macharius

именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую?

не могли бы подробнее рассказать про CG-NAT?

Да все верно, NAT в SE и особенно готовящийся к выходу CG-NAT заточен под брас, т.е. когда вы нат подымаете на абонентских сессиях, а не на L3 интерфейсах. Основная проблема вашего текущего подхода заключается в том, что нат полиси ограничена 8-мю классами. Каждый класс - это нат пул. Т.к. отсутсвует address-pairing, то в идеале, в пуле нужно иметь 1 адрес.

В howto про полиси очень подробно все это описано. То как делает mikevlz - это именно 1:1, подсеть в подсеть. Такой способ очень специфичен, и встречается по опыту очень редко, а точнее впервые :)

 

Про CG-NAT.

По своей сути это NAPT, точно такой же как есть сейчас за исключением того, что в него добавлены следующие основные функциональности:

1. Полная поддержка следующих BEHAVE RFC: 4787 (UDP), 5382 (TCP) 5508 (ICMP), draft-nishitani-cgn-04. На практике это улучшит traversability, в частности можно будет включить endpoint-independent filtering также для tcp.

2. Поддержка функции IP Address Pairing. Что даст возможность задавать NAPT пулы так, как я описал парой постов выше - фиксировать желаемое кол-во серых на один белый (уровень перепеодписки), определять расчетное кол-во портов/трансляций на адрес и т.п.

3. Logging/tracing всех делаемых трансляции

 

На счет последнего, подробности следующие:

› Для организации функций logging/tracing используется транспортный контейнер NetFlow v9

› Поддержка двух log-коллекторов одновременно для отказоустойчивости

› SmartEdge логирует следующую информацию:

– Internal IP address:

– NATed IP address

– NATed port (allocated port range)

– Session start time (allocated port block assignment time)

– Session end time (allocated port block unassignment time)

– Context Id

 

и еще забыл добавить, что CG-NAT будет работать поверх LACP, а также для LNS

(сейчас это не поддерживается)

Share this post


Link to post
Share on other sites

Добрый день! Есть у кого-нибудь опыт применения SE100 с биллингом UTM5 ? Только прикупили железку, еще не разобрался что как. У нас используется PPPoE, главной трудностью пока вижу то, что у нас разные скорости - в интернет по тарифному плану, а в пиринг, (маршруты приходят по BGP) на 100 мбит. Как разделить направления? Сейчас на приходящие маршруты с помощью quagga ставится realm, далее с помощью iproute2 по этому realm выдаётся скорость.

Edited by vadimus

Share this post


Link to post
Share on other sites

Как разделить направления?

прочтите первую главу policy how to

http://www.nag.ru/projects/setup/67855/

 

policy acl - определяет классы (направления).

qos policy - привязывается к классам и определяет для каждого класса скорость.

 

в зависимости от того, на сколько гибок радиус в вашем билинге:

1. если билинг умеет посылать в радиус пакете несколько раз один и тотже атрибут с разными значениями, то лучше делать через Dynamic-QoS-Param (при этом общая на всех qos policy)

2. если билинг не умеет, то тогда под каждый тарифный план свои qos policy, в которых прописаны скорости.

Edited by macharius

Share this post


Link to post
Share on other sites

Это я прочитал. Вопрос в другом - можно ли здесь

!
policy access-list acl-directions-in
seq 10 permit ip any 10.193.0.0 0.0.255.255 class cls-LOCAL
seq 20 permit ip any 155.53.0.0 0.0.255.255 class cls-LOCAL
seq 30 permit ip any any class cls-INET
!

Указывать не подсети, а realm ?

Edited by vadimus

Share this post


Link to post
Share on other sites

вы имеете в виду QPPB? SE его поддерживает, только он все равно не поможет, т.к. qos policy срабатывает до того как происходит fib lookup.

много локальных префиксов?

Share this post


Link to post
Share on other sites

Нет не это.

Тут я ставлю на входящие маршруты метку REALM.

 

hostname bgpd

password !!!!!!!

router bgp 65410

bgp router-id 89.222.236.40

network 10.194.0.0/16

network 89.222.134.0/23

network 178.219.144.0/20

 

! ROUTE server

neighbor 89.222.236.100 remote-as 65100

neighbor 89.222.236.100 activate

neighbor 89.222.236.100 next-hop-self

neighbor 89.222.236.100 soft-reconfiguration inbound

neighbor 89.222.236.100 route-map SETREALM in

neighbor 89.222.236.100 filter-list 1 out

!

 

!no auto-summary

!no synchronization

log file /var/log/quagga/bgpd.log

!

route-map SETREALM permit 10

set realm 10

!

ip as-path access-list 1 permit ^$

!

 

 

 

А тут:

 

/sbin/tc qdisc add dev $device root handle 1: est 1sec 8sec hfsc default 10

/sbin/tc class add dev $device parent 1: classid 1:1 est 1sec 8sec hfsc rt rate 100mbit ls rate 100mbit ul rate 100mbit

/sbin/tc class add dev $device parent 1:1 classid 1:10 est 1sec 8sec hfsc sc dmax 10ms rate ${rate}mbit ul rate ${rate}mbit

/sbin/tc qdisc add dev $device parent 1:10 handle 10: bfifo limit 5120000

/sbin/tc class add dev $device parent 1:1 classid 1:20 est 1sec 8sec hfsc sc dmax 10ms rate 95mbit ul rate 95mbit

/sbin/tc qdisc add dev $device parent 1:20 handle 20: bfifo limit 5120000

/sbin/tc filter add dev $device parent 1: protocol ip prio 1 route from 10 flowid 1:20;

/sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 10.194.128.0/16 flowid 1:20;

/sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 89.222.134.0/23 flowid 1:20;

 

 

я режу трафик - с приходящих маршрутов на 100 Мегабит.

Скрипт выполняется при установке соединения. Можно ли как-нибудь так сделать на SE100 ?

Edited by vadimus

Share this post


Link to post
Share on other sites

ну это и есть своего рода QPPB. Повторить тоже самое на SE увы не получится. Все что можно сделать - это принять пиринг в отдельном влане на SE и отмаркировать его, а потом на выходе к абонентам сделать полсиер, котрый не будет ограничивать скорость для промаркированного трафика. Но вот с трафиком который приходит от абонентов такая схема бесполезна.

Либо статично весь список создать в SE (а не динамично как сейчас), но я так понимаю что там префиксов в пиринге под 1000.

Share this post


Link to post
Share on other sites

В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!!

Share this post


Link to post
Share on other sites

В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!!

 

вот, например, пиринг в влане 299, все что приходит в этот влан маркируется в dscp cs4

!
qos policy inbound-marking policing 
mark dscp cs4
!
!
port ethernet 2/2 
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc 299 
 bind interface peering local
 qos policy policing inbound-marking
!

 

теперь вы добавляете абонентам propagate qos to ip и делаете metering policy, которая все что отмаркировалось на входе в влане 299 не ограничивает это по скорости

!
context local
!
policy access-list dscp-based-out
 seq 10 permit ip any any dscp eq cs4 class cls-PEERING
 seq 20 permit ip any any class cls-INET
!
subscriber default
  qos policy metering dscp-default-out
  propagate qos to ip
!
! ** End Context **
!
qos policy dscp-default-out metering 
access-group dscp-based-out local
 class cls-PEERING
 class cls-INET
  rate 128 burst 16000
!

ну и остальное как по howto

Share this post


Link to post
Share on other sites

А кто использует DHCP Subscriber ? Отзовитесь в личку плиз.

Share this post


Link to post
Share on other sites

Огромное спасибо, macharius !!! Это то что надо!

Share this post


Link to post
Share on other sites

вернемся к примеру с dot1q, появился вопрос:

- как абоненту client-1@local с адреса 155.53.1.4 получить доступ на хост 155.53.1.64 абонента client-2@local ?

исходя из маски /24 оба эти адреса находятся в плоской сети, и абонентские роутеры не будут слать в этом случае пакеты через шлюз 155.53.1.254

 

upd. проверил в лабе, пакеты ходят через SE (155.53.1.254).

upd2. поигрался еще в лабе: ip arp proxy-arp always лучше не ставить, ip arp secured-arp самое оно.

Edited by mr.anatoly

Share this post


Link to post
Share on other sites

АЛАРМММ СРОЧНАЯ БАГА!

Не выдаются dns сервера клиентам.

SE100 в качестве l2tp сервера.

Вот пример субскрайба

 

subscriber profile base-profile-8M

qos policy policing 8M-in

qos policy metering 8M-out

dns primary 31.131.80.6

dns secondary 8.8.8.8

 

весь мозг уже сломал...

 

Адаптер PPP VPN-подключение 2:

 

DNS-суффикс подключения . . . . . :

Описание. . . . . . . . . . . . . : VPN-подключение 2

Физический адрес. . . . . . . . . :

DHCP включен. . . . . . . . . . . : Нет

Автонастройка включена. . . . . . : Да

IPv4-адрес. . . . . . . . . . . . : 194.84.184.3(Основной)

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз. . . . . . . . . : 0.0.0.0

NetBios через TCP/IP. . . . . . . . : Включен

 

и все...

Share this post


Link to post
Share on other sites

А профиль корректно вешается?

на se покажите вывод

show sub act use <user-name>

Share this post


Link to post
Share on other sites

Появились несколько вопросов по SE.

 

1. Не могу настроить мультикаст для абонентов CLIPS. Конфигурация примерно такая:

interface CLIENTS multibind
 ip address 193.xx.xx.1/24
 dhcp proxy 65535
 ip arp secured-arp
 pim sparse-mode passive

interface STREAM
 ip address 172.16.15.1/24
 pim sparse-mode passive

subscriber default
  ip multicast receive permit
  ip igmp service-profile IPTV
  qos policy policing DEF-IPOE-IN
  qos policy metering DEF-IPOE-OUT

igmp service-profile IPTV

 

Соответственно, источник мультикаста находится в вилане, к которому биндится интерфейс STREAM. Клиенты биндятся к интерфейсу CLIENTS. При попытке получить мультикастовый поток на клиенте, ничего не происходит, хотя с PPPOE абонентами в такой же конфигурации все работало.

 

Мультикастовая таблица маршрутизации:

 

IP Multicast Routing Table
Flags: AW(L) - Assert Winner(Loser), C(c) - Connected(RPF), D - Dense,
      F - Register flag, H(h) - Static(RPF), J(j) - Join SPT(RPF),
      K - State war suppressed, L(l) - Local(RPF), m - MSDP learned,
      M - MDT group, N - RPF monitor, P - Pruned, r - RMR,
      R - RP-bit set, S - Sparse, T - SPT-bit set, U - Static Join upstream,
      V(v) - IGMPv3(RPF), Z(z) - Dual Join(RPF), . - No forwarding activity
Timers: Uptime/Expires
Interface state: Interface, State, Timers, flags
Table version: 182246

(*, 224.2.127.254), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C
 Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17
 Incoming circuit: Cct invalid
 Outgoing interface list: 
   STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C

(172.16.15.3, 224.2.127.254), 5w6d/00:02:07, Flags: PCc
 Incoming interface: STREAM, RPF neighbor: 0.0.0.0
 Incoming circuit: 2/4:511:63:31/1/2/159
 Outgoing interface list: NULL

(*, 239.0.55.7), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C
 Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17
 Incoming circuit: Cct invalid
 Outgoing interface list: 
   STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C

(172.16.15.3, 239.0.55.7), 5w6d/00:02:07, Flags: PCc
 Incoming interface: STREAM, RPF neighbor: 0.0.0.0
 Incoming circuit: 2/4:511:63:31/1/2/159
 Outgoing interface list: NULL

 

Параметры подключения сабскрайбера:

 

f4:6d:04:ba:96:3e
       Session state Up
       Agent Remote ID   "^A^F"
       Circuit   2/1 vlan-id 2322 clips 210218
       Internal Circuit   2/1:511:63:31/7/2/13513
       Interface bound  CLIENTS
       Current port-limit unlimited
       Protocol Stack IPV4
       dhcp max-addrs 1 (applied)
       ip interface CLIENTS (applied)
       dhcp vendor class id MSFT 5.0 (applied)
       dhcp option client id 0x3d0701f46d04ba963e (applied)
       dhcp option hostname 0x0c09aba0e0a8e1a02d8f8a (applied)
       acct-interim-interval 900 (applied)
       ip multicast receive permit (applied from sub_default)
       qos-policing-policy DEF-IPOE-IN (applied from sub_default)
       qos-metering-policy DEF-IPOE-OUT (applied from sub_default)
       ip igmp service-profile IPTV (applied from sub_default)
       service  (applied)
          [svc id: 0] RSE-SVC-EXT (acct enabled)
       service-parameter  (applied)
          [svc id: 0] Rate=8000 Burst=1000000
       dynamic policy acl  [svc mask: 0x0001] (applied in: qos out: qos)
          [svc id: 0] ip out forward class EXTERNAL qos
          [svc id: 0] ip in forward class EXTERNAL qos
       qos-dynamic-param  [svc mask: 0x0001] (applied)
          [svc id: 0] meter-class-rate EXTERNAL rate-absolute 8000 (applied)
          [svc id: 0] meter-class-burst EXTERNAL 1000000 (applied)
          [svc id: 0] police-class-rate EXTERNAL rate-absolute 8000 (applied)
          [svc id: 0] police-class-burst EXTERNAL 1000000 (applied)
       service-acct (in)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x02
       service-acct (out)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x02
       service-interim-acct-interval  [svc mask: 0x0001] (applied)
          [svc id: 0] 900

 

2. В случае CLIPS, в качестве DHCP сервера может выступать сам SE. В этом случае, адреса абонентам можно выдавать через атрибут Framed-Ip-Address. Насколько такая нагрузка будет критична для проца/памяти железяки? Стоит так делать?

 

3. Можно ли DHCP proxy настроить таким образом, чтобы он всегда отвечал сабскрайберам броадкастом?

 

4. По поводу PPPOE. Как задать интервал echo-запросов? Интересуюсь для борьбы с "зависшими" сессиями, можно как-то сделать, чтобы SE их сбрасывал через определенный интервал времени, отправляя STOP-пакет на биллинг?

Share this post


Link to post
Share on other sites

rush,

1. У вас в примере абонент не получил адрес (с точки зрения se)? его не видно в выводе show subscriber active username

2. Все равно как делать. Зависит от ваших потребностей. я обычно предпочитаю внешний сервер, т.к. он более гибок чем встроенный.

3. Не совсем понял, зависит от подключения clips клиента, если он по L2, то бродкастом шлется offer если память не изменяет. Все остальное unicast. в случае с L3 доступом - всегда будет unicast.

4. да можно, например так

ppp keepalive check-interval seconds 15 data-check

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now