Перейти к содержимому
Калькуляторы

Ericsson / Redback Smartedge. Отзывы, реальная производительность. Особенности, плюсы, минусы

mikevlz

вы должно быть имели в виду nat (сеть на сеть) 1:1? в смысле только одну серую сеть натить на одну белую сеть.

меня интересует возможность натить несколько серых на одну белую. пока делаем через создание 8ми нат пулов, по 4 белых адреса в каждом и по 4 порт блока на каждый адрес. потом делим все серые сети между этими 8ю пулами, но всё это немного не то((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На редбеке установлена лицензия 8000 сессий, сколько он может держать сессий L2TP и PPPoE(равных количествах или нет)?

Если интернет канал превысить в 1 гигабит можно ли на редбек его расширить используя дополнительные модули с джибиками?

Эта лицензия на общее количество активных абонентов в системе, они могут быть разных типов (L2TP/PPPoE/CLIPS) и в разных комбинациях но суммарно их не более 8000.

Находясь в exec режиме котекста local, и давая команду show subscribers summary all можно увидеть сколько в данный момент абонентов в системе суммарно и каких типов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Minya

у вас se100 как нат-девайс без браса? в смысле абонентов на нем не создается (рррое/clips) и есть только нат-политика на L3 интерфейсе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Current configuration:

!

context local

!

ip nat pool pool_dyn

address белая-Сеть1/22

address белая-сеть2/23

!

context local

!

policy access-list NAT-ACL

seq 10 permit ip серая-сеть1 0.0.0.255 class CLASS3

seq 20 permit ip серая-сеть2 0.0.0.127 class CLASS3

seq 30 permit ip серая-сеть3 0.0.1.255 class CLASS3

!

nat policy pol1

! Default class

ignore

! Named classes

access-group NAT-ACL

class CLASS3

pool pool_dyn local

timeout tcp 60

timeout udp 60

timeout syn 60

timeout basic 60

!

interface if-private

! bound to 2/1 circuit

ip address локальныйIP

ip nat pol1 acl-counters

!

end

Примерно так конфигурируется нат. В принципе, качайте доку, ставьте, читайте смысл команд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

macharius

именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую?

не могли бы подробнее рассказать про CG-NAT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Натить так же как у меня, только использовать не Dynamic NAT, а NAPT. Настройка вроде касается только пула. Возможно, полиси надо будет подрихтовать еще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

macharius

именно так. я так понял что без clips будет проблематично натить большую серую сеть на маленькую белую?

не могли бы подробнее рассказать про CG-NAT?

Да все верно, NAT в SE и особенно готовящийся к выходу CG-NAT заточен под брас, т.е. когда вы нат подымаете на абонентских сессиях, а не на L3 интерфейсах. Основная проблема вашего текущего подхода заключается в том, что нат полиси ограничена 8-мю классами. Каждый класс - это нат пул. Т.к. отсутсвует address-pairing, то в идеале, в пуле нужно иметь 1 адрес.

В howto про полиси очень подробно все это описано. То как делает mikevlz - это именно 1:1, подсеть в подсеть. Такой способ очень специфичен, и встречается по опыту очень редко, а точнее впервые :)

 

Про CG-NAT.

По своей сути это NAPT, точно такой же как есть сейчас за исключением того, что в него добавлены следующие основные функциональности:

1. Полная поддержка следующих BEHAVE RFC: 4787 (UDP), 5382 (TCP) 5508 (ICMP), draft-nishitani-cgn-04. На практике это улучшит traversability, в частности можно будет включить endpoint-independent filtering также для tcp.

2. Поддержка функции IP Address Pairing. Что даст возможность задавать NAPT пулы так, как я описал парой постов выше - фиксировать желаемое кол-во серых на один белый (уровень перепеодписки), определять расчетное кол-во портов/трансляций на адрес и т.п.

3. Logging/tracing всех делаемых трансляции

 

На счет последнего, подробности следующие:

› Для организации функций logging/tracing используется транспортный контейнер NetFlow v9

› Поддержка двух log-коллекторов одновременно для отказоустойчивости

› SmartEdge логирует следующую информацию:

– Internal IP address:

– NATed IP address

– NATed port (allocated port range)

– Session start time (allocated port block assignment time)

– Session end time (allocated port block unassignment time)

– Context Id

 

и еще забыл добавить, что CG-NAT будет работать поверх LACP, а также для LNS

(сейчас это не поддерживается)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день! Есть у кого-нибудь опыт применения SE100 с биллингом UTM5 ? Только прикупили железку, еще не разобрался что как. У нас используется PPPoE, главной трудностью пока вижу то, что у нас разные скорости - в интернет по тарифному плану, а в пиринг, (маршруты приходят по BGP) на 100 мбит. Как разделить направления? Сейчас на приходящие маршруты с помощью quagga ставится realm, далее с помощью iproute2 по этому realm выдаётся скорость.

Изменено пользователем vadimus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как разделить направления?

прочтите первую главу policy how to

http://www.nag.ru/projects/setup/67855/

 

policy acl - определяет классы (направления).

qos policy - привязывается к классам и определяет для каждого класса скорость.

 

в зависимости от того, на сколько гибок радиус в вашем билинге:

1. если билинг умеет посылать в радиус пакете несколько раз один и тотже атрибут с разными значениями, то лучше делать через Dynamic-QoS-Param (при этом общая на всех qos policy)

2. если билинг не умеет, то тогда под каждый тарифный план свои qos policy, в которых прописаны скорости.

Изменено пользователем macharius

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это я прочитал. Вопрос в другом - можно ли здесь

!
policy access-list acl-directions-in
seq 10 permit ip any 10.193.0.0 0.0.255.255 class cls-LOCAL
seq 20 permit ip any 155.53.0.0 0.0.255.255 class cls-LOCAL
seq 30 permit ip any any class cls-INET
!

Указывать не подсети, а realm ?

Изменено пользователем vadimus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы имеете в виду QPPB? SE его поддерживает, только он все равно не поможет, т.к. qos policy срабатывает до того как происходит fib lookup.

много локальных префиксов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет не это.

Тут я ставлю на входящие маршруты метку REALM.

 

hostname bgpd

password !!!!!!!

router bgp 65410

bgp router-id 89.222.236.40

network 10.194.0.0/16

network 89.222.134.0/23

network 178.219.144.0/20

 

! ROUTE server

neighbor 89.222.236.100 remote-as 65100

neighbor 89.222.236.100 activate

neighbor 89.222.236.100 next-hop-self

neighbor 89.222.236.100 soft-reconfiguration inbound

neighbor 89.222.236.100 route-map SETREALM in

neighbor 89.222.236.100 filter-list 1 out

!

 

!no auto-summary

!no synchronization

log file /var/log/quagga/bgpd.log

!

route-map SETREALM permit 10

set realm 10

!

ip as-path access-list 1 permit ^$

!

 

 

 

А тут:

 

/sbin/tc qdisc add dev $device root handle 1: est 1sec 8sec hfsc default 10

/sbin/tc class add dev $device parent 1: classid 1:1 est 1sec 8sec hfsc rt rate 100mbit ls rate 100mbit ul rate 100mbit

/sbin/tc class add dev $device parent 1:1 classid 1:10 est 1sec 8sec hfsc sc dmax 10ms rate ${rate}mbit ul rate ${rate}mbit

/sbin/tc qdisc add dev $device parent 1:10 handle 10: bfifo limit 5120000

/sbin/tc class add dev $device parent 1:1 classid 1:20 est 1sec 8sec hfsc sc dmax 10ms rate 95mbit ul rate 95mbit

/sbin/tc qdisc add dev $device parent 1:20 handle 20: bfifo limit 5120000

/sbin/tc filter add dev $device parent 1: protocol ip prio 1 route from 10 flowid 1:20;

/sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 10.194.128.0/16 flowid 1:20;

/sbin/tc filter add dev $device parent 1: protocol ip u32 match ip src 89.222.134.0/23 flowid 1:20;

 

 

я режу трафик - с приходящих маршрутов на 100 Мегабит.

Скрипт выполняется при установке соединения. Можно ли как-нибудь так сделать на SE100 ?

Изменено пользователем vadimus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну это и есть своего рода QPPB. Повторить тоже самое на SE увы не получится. Все что можно сделать - это принять пиринг в отдельном влане на SE и отмаркировать его, а потом на выходе к абонентам сделать полсиер, котрый не будет ограничивать скорость для промаркированного трафика. Но вот с трафиком который приходит от абонентов такая схема бесполезна.

Либо статично весь список создать в SE (а не динамично как сейчас), но я так понимаю что там префиксов в пиринге под 1000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В районе 800 префиксов =) Да, отдельным VLAN буду делать. А как примерно хоть бы узнать, промаркировать его и потом на основе этой маркировки сделать полисер? То есть - как поставить эту маркировку и потом воспользоваться ею в полисере? Большое спасибо за ответы!!

 

вот, например, пиринг в влане 299, все что приходит в этот влан маркируется в dscp cs4

!
qos policy inbound-marking policing 
mark dscp cs4
!
!
port ethernet 2/2 
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc 299 
 bind interface peering local
 qos policy policing inbound-marking
!

 

теперь вы добавляете абонентам propagate qos to ip и делаете metering policy, которая все что отмаркировалось на входе в влане 299 не ограничивает это по скорости

!
context local
!
policy access-list dscp-based-out
 seq 10 permit ip any any dscp eq cs4 class cls-PEERING
 seq 20 permit ip any any class cls-INET
!
subscriber default
  qos policy metering dscp-default-out
  propagate qos to ip
!
! ** End Context **
!
qos policy dscp-default-out metering 
access-group dscp-based-out local
 class cls-PEERING
 class cls-INET
  rate 128 burst 16000
!

ну и остальное как по howto

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто использует DHCP Subscriber ? Отзовитесь в личку плиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Огромное спасибо, macharius !!! Это то что надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вернемся к примеру с dot1q, появился вопрос:

- как абоненту client-1@local с адреса 155.53.1.4 получить доступ на хост 155.53.1.64 абонента client-2@local ?

исходя из маски /24 оба эти адреса находятся в плоской сети, и абонентские роутеры не будут слать в этом случае пакеты через шлюз 155.53.1.254

 

upd. проверил в лабе, пакеты ходят через SE (155.53.1.254).

upd2. поигрался еще в лабе: ip arp proxy-arp always лучше не ставить, ip arp secured-arp самое оно.

Изменено пользователем mr.anatoly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

АЛАРМММ СРОЧНАЯ БАГА!

Не выдаются dns сервера клиентам.

SE100 в качестве l2tp сервера.

Вот пример субскрайба

 

subscriber profile base-profile-8M

qos policy policing 8M-in

qos policy metering 8M-out

dns primary 31.131.80.6

dns secondary 8.8.8.8

 

весь мозг уже сломал...

 

Адаптер PPP VPN-подключение 2:

 

DNS-суффикс подключения . . . . . :

Описание. . . . . . . . . . . . . : VPN-подключение 2

Физический адрес. . . . . . . . . :

DHCP включен. . . . . . . . . . . : Нет

Автонастройка включена. . . . . . : Да

IPv4-адрес. . . . . . . . . . . . : 194.84.184.3(Основной)

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз. . . . . . . . . : 0.0.0.0

NetBios через TCP/IP. . . . . . . . : Включен

 

и все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А профиль корректно вешается?

на se покажите вывод

show sub act use <user-name>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Появились несколько вопросов по SE.

 

1. Не могу настроить мультикаст для абонентов CLIPS. Конфигурация примерно такая:

interface CLIENTS multibind
 ip address 193.xx.xx.1/24
 dhcp proxy 65535
 ip arp secured-arp
 pim sparse-mode passive

interface STREAM
 ip address 172.16.15.1/24
 pim sparse-mode passive

subscriber default
  ip multicast receive permit
  ip igmp service-profile IPTV
  qos policy policing DEF-IPOE-IN
  qos policy metering DEF-IPOE-OUT

igmp service-profile IPTV

 

Соответственно, источник мультикаста находится в вилане, к которому биндится интерфейс STREAM. Клиенты биндятся к интерфейсу CLIENTS. При попытке получить мультикастовый поток на клиенте, ничего не происходит, хотя с PPPOE абонентами в такой же конфигурации все работало.

 

Мультикастовая таблица маршрутизации:

 

IP Multicast Routing Table
Flags: AW(L) - Assert Winner(Loser), C(c) - Connected(RPF), D - Dense,
      F - Register flag, H(h) - Static(RPF), J(j) - Join SPT(RPF),
      K - State war suppressed, L(l) - Local(RPF), m - MSDP learned,
      M - MDT group, N - RPF monitor, P - Pruned, r - RMR,
      R - RP-bit set, S - Sparse, T - SPT-bit set, U - Static Join upstream,
      V(v) - IGMPv3(RPF), Z(z) - Dual Join(RPF), . - No forwarding activity
Timers: Uptime/Expires
Interface state: Interface, State, Timers, flags
Table version: 182246

(*, 224.2.127.254), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C
 Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17
 Incoming circuit: Cct invalid
 Outgoing interface list: 
   STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C

(172.16.15.3, 224.2.127.254), 5w6d/00:02:07, Flags: PCc
 Incoming interface: STREAM, RPF neighbor: 0.0.0.0
 Incoming circuit: 2/4:511:63:31/1/2/159
 Outgoing interface list: NULL

(*, 239.0.55.7), 5w6d/00:03:00, RP: 0.0.0.0, Flags: C
 Incoming interface: NULL, RPF neighbor: 0.0.0.0, Next join: 00:00:17
 Incoming circuit: Cct invalid
 Outgoing interface list: 
   STREAM, 2/4:511:63:31/1/2/159, Forward, 4d22h/00:03:00, sparse, C

(172.16.15.3, 239.0.55.7), 5w6d/00:02:07, Flags: PCc
 Incoming interface: STREAM, RPF neighbor: 0.0.0.0
 Incoming circuit: 2/4:511:63:31/1/2/159
 Outgoing interface list: NULL

 

Параметры подключения сабскрайбера:

 

f4:6d:04:ba:96:3e
       Session state Up
       Agent Remote ID   "^A^F"
       Circuit   2/1 vlan-id 2322 clips 210218
       Internal Circuit   2/1:511:63:31/7/2/13513
       Interface bound  CLIENTS
       Current port-limit unlimited
       Protocol Stack IPV4
       dhcp max-addrs 1 (applied)
       ip interface CLIENTS (applied)
       dhcp vendor class id MSFT 5.0 (applied)
       dhcp option client id 0x3d0701f46d04ba963e (applied)
       dhcp option hostname 0x0c09aba0e0a8e1a02d8f8a (applied)
       acct-interim-interval 900 (applied)
       ip multicast receive permit (applied from sub_default)
       qos-policing-policy DEF-IPOE-IN (applied from sub_default)
       qos-metering-policy DEF-IPOE-OUT (applied from sub_default)
       ip igmp service-profile IPTV (applied from sub_default)
       service  (applied)
          [svc id: 0] RSE-SVC-EXT (acct enabled)
       service-parameter  (applied)
          [svc id: 0] Rate=8000 Burst=1000000
       dynamic policy acl  [svc mask: 0x0001] (applied in: qos out: qos)
          [svc id: 0] ip out forward class EXTERNAL qos
          [svc id: 0] ip in forward class EXTERNAL qos
       qos-dynamic-param  [svc mask: 0x0001] (applied)
          [svc id: 0] meter-class-rate EXTERNAL rate-absolute 8000 (applied)
          [svc id: 0] meter-class-burst EXTERNAL 1000000 (applied)
          [svc id: 0] police-class-rate EXTERNAL rate-absolute 8000 (applied)
          [svc id: 0] police-class-burst EXTERNAL 1000000 (applied)
       service-acct (in)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x02
       service-acct (out)  [svc mask: 0x0001] (applied)
          [svc id: 0] qos class-mask 0x02
       service-interim-acct-interval  [svc mask: 0x0001] (applied)
          [svc id: 0] 900

 

2. В случае CLIPS, в качестве DHCP сервера может выступать сам SE. В этом случае, адреса абонентам можно выдавать через атрибут Framed-Ip-Address. Насколько такая нагрузка будет критична для проца/памяти железяки? Стоит так делать?

 

3. Можно ли DHCP proxy настроить таким образом, чтобы он всегда отвечал сабскрайберам броадкастом?

 

4. По поводу PPPOE. Как задать интервал echo-запросов? Интересуюсь для борьбы с "зависшими" сессиями, можно как-то сделать, чтобы SE их сбрасывал через определенный интервал времени, отправляя STOP-пакет на биллинг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rush,

1. У вас в примере абонент не получил адрес (с точки зрения se)? его не видно в выводе show subscriber active username

2. Все равно как делать. Зависит от ваших потребностей. я обычно предпочитаю внешний сервер, т.к. он более гибок чем встроенный.

3. Не совсем понял, зависит от подключения clips клиента, если он по L2, то бродкастом шлется offer если память не изменяет. Все остальное unicast. в случае с L3 доступом - всегда будет unicast.

4. да можно, например так

ppp keepalive check-interval seconds 15 data-check

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас