dmvy Опубликовано 4 апреля, 2012 · Жалоба уже обсуждалось, что порты на карте с переподпиской 2:1. 20gbit full-duplex - это предел. я насчитал 37 half. а дропы были в моменты флуктуаций, когда трафик под 40gbit half. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 5 апреля, 2012 · Жалоба Как на SE100 ограничить доступ к ssh/telnet? Пытаюсь сделать следующее: ip access-list ACCESS seq 10 permit ip 192.168.0.0 0.0.0.255 seq 20 deny ip any service ssh server access-group ACCESS access-list name 'ACCESS' is not configured for ssh/telnet acl in this context! При включении admin-access-group перестает работать Dynamic CLIPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 апреля, 2012 · Жалоба Как на SE100 ограничить доступ к ssh/telnet? При включении admin-access-group перестает работать Dynamic CLIPS. А вот так: context local ! ip access-list trusted.hosts ssh-and-telnet-acl seq 10 permit ip host <HOST> seq 20 permit ip host <HOST> seq 30 permit ip <NET> <WILDCARD> ! service ssh server access-group trusted.hosts service telnet server access-group trusted.hosts ! ! ** End Context ** Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 6 апреля, 2012 · Жалоба Как на SE100 ограничить доступ к ssh/telnet? При включении admin-access-group перестает работать Dynamic CLIPS. А вот так: context local ! ip access-list trusted.hosts ssh-and-telnet-acl seq 10 permit ip host <HOST> seq 20 permit ip host <HOST> seq 30 permit ip <NET> <WILDCARD> ! service ssh server access-group trusted.hosts service telnet server access-group trusted.hosts ! ! ** End Context ** для того, чтобы работал clips, нужно разрешить коннекты на udp/68 и udp/67, т.к. по ним происходит renew unicast-запросом. помимо ssh,telnet нужно еще snmp прикрыть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 11 апреля, 2012 · Жалоба Киньте куском конфига как настроить DHCP-сервер на SE400 с раздачей IP адресов через Radius Курение мануалов к должному результату не приводит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lxsv Опубликовано 30 апреля, 2012 · Жалоба Добрый день Коробка SE100, работает PPPoE роутером. в логах сыпятся ошибки на QOS. как победить, на что это может влиять? использую два класса cls-LOCAN и cls-INET Настройки: policy access-list acl-global-in seq 5 permit ip any 91.xxx.120.0 0.0.x.255 class cls-LOCAL seq 6 permit ip any xxx.xxx.184.0 0.0.x.255 class cls-LOCAL seq 300 permit ip any any class cls-INET ! policy access-list acl-global-out seq 5 permit ip 91.xxx.120.0 0.0.x.255 any class cls-LOCAL seq 6 permit ip xxx.xxx.184.0 0.0.x.255 any class cls-LOCAL seq 300 permit ip any any class cls-INET ! subscriber default qos policy policing qos-default-in qos policy metering qos-default-out ppp mtu 1492 ## qos policy qos-default-in policing ip access-group acl-global-in local class cls-LOCAL rate 80000 burst 1000000 excess-burst 15094339 class cls-INET rate 20480 burst 256000 excess-burst 3864151 ! qos policy qos-default-out metering ip access-group acl-global-out local class cls-LOCAL rate 80000 burst 1000000 excess-burst 15094339 class cls-INET rate 20480 burst 256000 excess-burst 3864151 ! ------ Apr 30 23:07:52: [2/16:511:63:31/6/2/19820]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q os-default-in]: error code -1: error message: unknown qos error Apr 30 23:07:52: [2/16:511:63:31/6/2/19835]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn amic parameters]: error code -1: error message: unknown qos error Apr 30 23:07:52: [2/16:511:63:31/6/2/19838]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn amic parameters]: error code -1: error message: unknown qos error Apr 30 23:07:52: [2/16:511:63:31/6/2/19841]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn amic parameters]: error code -1: error message: unknown qos error Apr 30 23:07:53: [2/16:511:63:31/6/2/19834]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q os-default-in]: error code -1: error message: unknown qos error Apr 30 23:07:53: [2/4:511:63:31/6/2/19829]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [qo s-default-in]: error code -1: error message: unknown qos error Apr 30 23:07:53: [2/16:511:63:31/6/2/19831]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q os-default-in]: error code -1: error message: unknown qos error Apr 30 23:07:53: [2/16:511:63:31/6/2/19842]: %QOS-3-RCM_ERR: Sub processing failed: bind policy [dyn amic parameters]: error code -1: error message: unknown qos error Apr 30 23:07:53: [2/15:511:63:31/6/2/32774]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [q os-default-in]: error code -1: error message: unknown qos error Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 мая, 2012 · Жалоба Добрый день исправлено в 6.2.1.10/6.4.1.5/11.1.2.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lxsv Опубликовано 9 июля, 2012 (изменено) · Жалоба Добрый день. Хочу задать вопрос по реализации задачки: Задача: Закидывать абонентов которые не подняли PPPoE подключения на страницу оператора. Что делано: 1. Vlan с большой сеткой и раздачей адресов. (Реализовано на Cisco т.к. Влан 100 прослушивается на Se100 для авторизации PPPoE) 2. Сделан дополнительный стык между Cisco 7301 и SE100 по которому идет трафик на интерфейс SE. 3. На интерфейсе SE пытался повесить редиректор который замечательно описан в мануалах, только вот не смог повесить настройку ( http-redirect profile Name) на pvc. Подскажите как реализовать релиректор на статическом интерфейсе. У меня есть пока одна идея для реализации задачаи это: 1 Поднять PPPoE сессию между Cisco 7301 и SE1 повесить профиль через радиус. только вот не подбиру подходящий ios с функцией PPPoE клиента на циске. subscriber profile redir-lk http-redirect profile LK ppp mtu 1492 forward policy HTTP-REDIRECT-LK in 2. роутить трафик пришедший от клиентов в поднятый интерфейс . Подкажите как решить задачу при любом варианте Изменено 9 июля, 2012 пользователем lxsv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 июля, 2012 · Жалоба HTTP Redirect работает только для абонентов(http-redirect-profile можно применить только к абоненту). для хостов можно сделать для всего WEB трафика forward policy с nexthop равному вашему WEB серверу(подключенному по L2), на WEB сервере сделать Destination NAT в адрес, допустим, лупбека, на котором слушает httpd. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ILICH Опубликовано 10 июля, 2012 · Жалоба Скажите, как можно вписать SE100 для перехода с PPtP на IPoE? Сейчас: Ядро L3 - абоненты получают серые IP по DHCP и могут получать локальный трафик для доступа к ИНТЕРНЕТ подключатся по PPtP тоже получают серый IP и маскарадятся на выделенном NAT сервере. Выше описанное сделать на SE не сложно для перехода на IPoE. Выкидывается только PPtP и все. Но! Есть услуга - присвоить Белый IP. С PPtP белый IP присваивается PPP интерфейсу, а как быть здесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 июля, 2012 · Жалоба с се100 вам не понадобится отдельная машина для нат. через радиус даете сразу белый адрес, но нужна четкая авторизация на коммутаторе, т.е. либо dhcp relay opt82, либо dhcp relay + mac привязка. в любом случае надо управляемый порт на юзера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ILICH Опубликовано 11 июля, 2012 (изменено) · Жалоба с се100 вам не понадобится отдельная машина для нат. через радиус даете сразу белый адрес, но нужна четкая авторизация на коммутаторе, т.е. либо dhcp relay opt82, либо dhcp relay + mac привязка. в любом случае надо управляемый порт на юзера. То есть всем белый IP? Либо на L3 прописывать на интерфейсе дополнительно сетку белых адресов? Как через радиус давать, если CLIPS? Адреса же DHCP раздает. Изменено 11 июля, 2012 пользователем ILICH Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 12 июля, 2012 · Жалоба на л3 коммутаторе вешаете белую подсеть, настраиваете дхцп релей и опцию 82 на свитчах доступа. релей отправляет дхцп запросы на эрикссон, который руководствуюсь радиусом и настоящим дхцп сервером дает лизу юзеру и назначает все политики и ограничения. если используете статичные белые адреса, то запускаете дхцп сервер на брасе и радиусом говорите какой ип выдать. но повторюсь, что все будет работать только в схеме порт на юзера опцией 82. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 18 июля, 2012 (изменено) · Жалоба аналогичная проблема, как на предыдущей странице с назначением по радиусу различных скоростей разным классам. http://forum.nag.ru/forum/index.php?showtopic=65559&view=findpost&p=712591 конфиг один в один, за исключением, конечно, адресов, плюс ipoe вместо pppoe. ошибки такого плана: Jul 18 20:48:58: [255/22:1:28/7/2/6813]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [dynamic parameters]: error code -2146238433: error message: unkno wn qos error Jul 18 20:49:40: [255/22:1:28/7/2/65591]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [dynamic parameters]: error code -3: error message: unknown qos e rror Jul 18 20:52:32: [255/22:1:28/7/2/5491]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [dynamic parameters]: error code -2146238433: error message: unkno wn qos error Jul 18 20:54:08: [255/22:1:28/7/2/65574]: %QOS-3-RCM_ERR: Sub processing failed: unbind policy [dynamic parameters]: error code -3: error message: unknown qos e rror Эту проблему удалось решить обновлением ПО? До какой версии лучше всего обновляться? Спасибо за ответы. Изменено 18 июля, 2012 пользователем shvlad1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supremeqw Опубликовано 23 июля, 2012 · Жалоба Здравствуйте! Есть проблема на SE100 с L2TP. PPPoE работает нормально. На L2tp авторизацию проходит, подключается, получает IP адрес, но траффик никуда дальше самого редбека не идет (пингуется ТОЛЬКО адрес l2tp). Что я сделал не так? ! aaa global authentication subscriber radius context local aaa global accounting subscriber radius context local aaa global accounting reauthorization subscriber radius context local aaa global update subscriber 10 aaa global reject empty-username aaa global accounting event reauthorization aaa global accounting l2tp-session radius context local aaa last-resort context local ! service-policy name PPPoE allow context name local allow pppoe service-name PPPoE ! context local ! ip domain-name l2tp.local ip name-servers 10.0.0.7 ip domain-lookup ! router-id 1.1.1.1 ! interface eth10 description LOCAL_INT ip address 192.168.0.1/24 ! interface l2tp ip address 192.168.1.1/24 ! interface loop loopback ip address 10.10.10.10/20 ! interface ospf description OSPF interface ip address 1.1.1.1/28 ! interface pppoe multibind lastresort ip unnumbered ospf ! interface radiusint ip address 10.11.12.13/28 ip source-address radius ! router ospf 1 fast-convergence router-id 1.1.1.1 log-neighbor-up-down area 0.0.0.0 interface ospf network-type non-broadcast neighbor 1.1.1.2 neighbor 1.1.1.3 neighbor 1.1.1.4 redistribute connected redistribute subscriber ! aaa authentication administrator local aaa authentication subscriber radius global aaa accounting subscriber radius aaa accounting l2tp session radius aaa provision route ip-netmask encapsulation pppoe use-framed-route aaa reauthorization bulk radius radius accounting server 10.11.12.14 encrypted-key 73697E71671E50E9 oldports radius server 10.11.12.14 encrypted-key 73697E71671E50E9 oldports radius max-retries 10 radius timeout 30 radius attribute nas-ip-address interface vlan114 radius attribute acct-session-id access-request radius algorithm first radius accounting timeout 100 radius strip-domain radius attribute nas-port format session-info no radius accounting send-acct-on-off radius source-port ignore ! subscriber default qos policy policing default-in qos policy metering default-out ip interface name pppoe ppp mtu 1492 dns primary 10.0.0.7 dns secondary 8.8.8.8 ip route 0.0.0.0/0 1.1.1.2 connected ! l2tp-peer unnamed local 192.168. session-auth pap chap context local function lns-only ! ! ** End Context ** port ethernet 2/1 no shutdown medium-type copper encapsulation dot1q dot1q pvc 10 bind interface eth10 local dot1q pvc 13 bind interface ospf local dot1q pvc 14 bind interface radiusint local dot1q pvc 300 encapsulation multi bind interface vlan300 local circuit protocol pppoe bind authentication pap context local dot1q pvc 400 bind interface l2tp local ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 24 июля, 2012 · Жалоба из конфигурации не все понятно. могу предположить, что те адреса, которые вы даете по l2tp вы никуда не анонсируете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 июля, 2012 · Жалоба и добавлю ppp mtu слишком большое для l2tp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supremeqw Опубликовано 24 июля, 2012 · Жалоба PPP mtu в итоге выдается 1462. Адрес по L2tp и по pppoe отдаю одинаковый. pppoe работает. multibind интерфейс единый. Проверял с аналогичными настройками mpd+quagga - l2tp работает без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 июля, 2012 · Жалоба передайте 1460 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supremeqw Опубликовано 24 июля, 2012 · Жалоба После внимательного изучения возник следующий вопрос - при установки соединения L2tp не добавляется маршрут в ospf. При этом с pppoe все нормально. Что смотреть? ospf, subscriber или еще что-нибудь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 июля, 2012 · Жалоба show ver show subs active show ip route Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supremeqw Опубликовано 24 июля, 2012 · Жалоба show ver show subs active show ip route ]Redback#sh ver Redback Networks SmartEdge OS Version SEOS-11.1.2.5-Release Built by sysbuild@SWB-node14 Mon Jul 9 15:30:44 PDT 2012 Copyright (C) 1998-2012, Redback Networks Inc. All rights reserved. System Bootstrap version is PowerPC,rev2.0.1.4 Installed minikernel version is 2.7 Router Up Time - 17 hours 30 minutes 11 secs tester Session state Authenticated Circuit L2TP LNS 16 Internal Circuit 255/16:511:63:31/5/2/16 Interface bound pppoe Current port-limit unlimited Protocol Stack not set ip route 0.0.0.0 0.0.0.0 х.х.х.х (applied) ip address y.y.y.y (applied) ppp mtu 1462 (applied from sub_default) dns primary 192.168.10.7 (applied from sub_default) dns secondary 8.8.8.8 (applied from sub_default) qos-policing-policy default-in (applied from sub_default) qos-metering-policy default-out (applied from sub_default) service (applied) [svc id: 0] rse-time-based (acct enabled) service-parameter (applied) [svc id: 0] Rate-Day=10240 Burst-Day=1280000 ExBurst-Day=2560000 Rate-Night=30240 Burst-Night=7560000 ExBurst-Nigh t=12800000 dynamic policy acl [svc mask: 0x0001] (applied in: qos out: qos) [svc id: 0] ip out forward class ext-night qos [svc id: 0] ip in forward class ext-day qos qos-dynamic-param [svc mask: 0x0001] (applied) [svc id: 0] meter-class-rate ext-day rate-absolute 10240 (applied) in-progress [svc id: 0] meter-class-burst ext-day 1280000 (applied) in-progress [svc id: 0] meter-class-excess-burst ext-day 2560000 (applied) in-progress [svc id: 0] police-class-rate ext-day rate-absolute 10240 (applied) in-progress [svc id: 0] police-class-burst ext-day 1280000 (applied) in-progress [svc id: 0] police-class-excess-burst ext-day 2560000 (applied) in-progress [svc id: 0] meter-class-rate ext-night rate-absolute 30240 (applied) in-progress [svc id: 0] meter-class-burst ext-night 7560000 (applied) in-progress [svc id: 0] meter-class-excess-burst ext-night 12800000 (applied) in-progress qos-dynamic-param [svc mask: 0x0001] (applied) [svc id: 0] meter-class-rate ext-day rate-absolute 10240 (applied) in-progress [svc id: 0] meter-class-burst ext-day 1280000 (applied) in-progress [svc id: 0] meter-class-excess-burst ext-day 2560000 (applied) in-progress [svc id: 0] police-class-rate ext-day rate-absolute 10240 (applied) in-progress [svc id: 0] police-class-burst ext-day 1280000 (applied) in-progress [svc id: 0] police-class-excess-burst ext-day 2560000 (applied) in-progress [svc id: 0] meter-class-rate ext-night rate-absolute 30240 (applied) in-progress [svc id: 0] meter-class-burst ext-night 7560000 (applied) in-progress [svc id: 0] meter-class-excess-burst ext-night 12800000 (applied) in-progress [svc id: 0] police-class-rate ext-night rate-absolute 30240 (applied) in-progress [svc id: 0] police-class-burst ext-night 7560000 (applied) in-progress [svc id: 0] police-class-excess-burst ext-night 12800000 (applied) in-progress service-acct (in) [svc mask: 0x0001] (applied) [svc id: 0] qos class-mask 0x06 service-acct (out) [svc mask: 0x0001] (applied) [svc id: 0] qos class-mask 0x06 service-interim-acct-interval [svc mask: 0x0001] (applied) [svc id: 0] 900 tunnel type 3 (applied) tunnel medium type 1 (applied) tunnel server endpoint 192.168.66.1 (applied) tunnel client endpoint 192.168.10.167 (applied) tunnel server auth ID Redback (applied) tunnel client auth ID supreme-HP (applied) tunnel max sessions 65535 (applied) tunnel max tunnels 32767 (applied) tunnel function 2 (applied) tunnel connection supreme-HP:5634:20639 (applied) tunnel vendor avp 0x00000018037ca3a0 (applied) tunnel vendor avp 0x00000026037ca3a0 (applied) nas-port-type-from-enc 2 (applied) IP route для выданного ip адреса отсутствует. (весь список IP route выкладывать не буду, там локальные статические маршруты и ospf) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 июля, 2012 · Жалоба ip route 0.0.0.0 0.0.0.0 х.х.х.х (applied) это куда и зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supremeqw Опубликовано 24 июля, 2012 · Жалоба это куда? На роутер, который сейчас стоит bras-ом (циска). Просочилась из старой конфигурации радиуса (framed-ip-route). Убрал, суть не изменилась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 июля, 2012 · Жалоба y.y.y.y - полностью адрес нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...