[caz]

2. Ну, я не могу говорить за разработчиков. Я скажу в следующем основном релизе.

 

получается, в том же, где и NAT допилят? :)

 

3. Может быть вам стоит добавить ещё один SE100? :)

 

нас спасет только SE600.. правда по dpi есть вопрос - производительность? не подскажите какая у 1 модуля?

[D^2]

кто-то может сказать что NAT на текущей версии OS полностью работает корректно? когда-то пытался завести, вроде как все получилось, но начали жаловаться абоненты, что в некоторые игры стало невозможно играть + перестали работать какие-то приложения..

Алексей, ты включал

endpoint-independent filtering udp

в натовой полиси?

 

В общем НАТ работаем вполне корректно. Единственное - как и везде кроме туннелей.

нас спасет только SE600.. правда по dpi есть вопрос - производительность? не подскажите какая у 1 модуля?

у ASE сейчас производительность 2G full, как в SCE2020. Target performance 10G.

В конце года должен выйти ASE2. Вернее в нем появится DPI. Там performance будет 20G на сколько я помню

Edited April 6, 2011 by D^2

[macharius]

p.s.s

кто-то может сказать что NAT на текущей версии OS полностью работает корректно? когда-то пытался завести, вроде как все получилось, но начали жаловаться абоненты, что в некоторые игры стало невозможно играть + перестали работать какие-то приложения..

Прочтите последнюю главу в Policy How To про NAT. Там все написано, как этого избежать. Судя по всему, когда вы его пробовали, то не включили в натовой полиси endpoint-independent filtering udp.

[mr.anatoly]

Денис, спасибо за howto по qos policy. Интересуют инструменты мониторинга загрузки абонентом выделенной ему полосы.

[macharius]

Денис, спасибо за howto по qos policy. Интересуют инструменты мониторинга загрузки абонентом выделенной ему полосы.

Анатолий, это можно оценить при помощи команды

sh circuit counters username xxxxx detail

 

Например

[dhcp]xxxxx#sh circuit counters username 90:e6:ba:d3:af:88 detail
Circuit: 4/1 vlan-id 6 clips 485068, Internal id: 7/2/187935, Encap: ether-dot1q-clips
Packets                                 Bytes                                 
-------------------------------------------------------------------------------
Receive         :              2681993  Receive         :           2718174187
Receive/Second  :              1526.34  Receive/Second  :           1225929.32
Transmit        :              2364402  Transmit        :           1864385432
Xmits/Queue                             Xmits/Queue                           
  0             :              2364402    0             :           1864385432
  1             :                    0    1             :                    0
  2             :                    0    2             :                    0
  3             :                    0    3             :                    0
  4             :                    0    4             :                    0
  5             :                    0    5             :                    0
  6             :                    0    6             :                    0
  7             :                    0    7             :                    0
Xmit Q Deleted  :                    0  Xmit Q Deleted  :                    0
Transmit/Second :              1590.23  Transmit/Second :           1543964.41
IP Multicast Rcv:                    0  IP Multicast Rcv:                    0
IP Multicast Tx :                    0  IP Multicast Tx :                    0
Unknown Encaps  :                    0  Unknown Encaps  :                    0
Down Drops      :                    0  Down Drops      :                    0
Unreach Drops   :                    0  Unreach Drops   :                    0
Adj Drops       :                    0  Adj Drops       :                    0
WRED Drops Total:                    0  WRED Drops Total:                    0
WRED Drops/Queue                        WRED Drops/Queue                      
  0             :                    0    0             :                    0
  1             :                    0    1             :                    0
  2             :                    0    2             :                    0
  3             :                    0    3             :                    0
  4             :                    0    4             :                    0
  5             :                    0    5             :                    0
  6             :                    0    6             :                    0
  7             :                    0    7             :                    0
Tail Drops Total:                    0  Tail Drops Total:                    0
Tail Drops/Queue                        Tail Drops/Queue                      
  0             :                    0    0             :                    0
  1             :                    0    1             :                    0
  2             :                    0    2             :                    0
  3             :                    0    3             :                    0
  4             :                    0    4             :                    0
  5             :                    0    5             :                    0
  6             :                    0    6             :                    0
  7             :                    0    7             :                    0

IP Counters
Soft GRE MPLS   :                    0  Soft GRE MPLS   :                    0
Not IPv4 drops  :                    0  Not IPv4 drops  :                    0
Unhandled IP Opt:                    0
Bad IP Length   :                    0
Bad IP Checksum :                    0
Not IPv6 drops  :                    0  Not IPv6 drops  :                    0
Broadcast Drops :                    0

ARP Counters
Drops           :                    0  Drops           :                    0
Unreachable     :                    0  Unreachable     :                    0
NAT Counters
Receive Drops   :                    0  Receive Drops   :                    0
Rate Refresh Interval : 60 seconds

 

тут видно, что в среднем за 60 sec.

у этого абонента скорость 1225929 байт/сек upstream и 1543964 байт/сек downstream

[Lynx10]

Посдскажите а IPV6oE - он сможет ?

[macharius]

Посдскажите а IPV6oE - он сможет ?

CLIPSv6 сможет в скором будуещем.

Сегодня может PPPoEv6, L2TP LNSv6, включая dual-stack, обычные v6 интерфейсы и routing.

[ingress]

мак адрес можно задать на интерфейс? на лету можно менять без перерыва сервиса?

по умолчанию как мак адреса генерируются на интерфейсы: префикс для всей железки и изменяются последние 3 дуплета или один мак адрес на железный интерфейс и на всех виртуальных он повторяется?

[macharius]

мак адрес можно задать на интерфейс? на лету можно менять без перерыва сервиса?

по умолчанию как мак адреса генерируются на интерфейсы: префикс для всей железки и изменяются последние 3 дуплета или один мак адрес на железный интерфейс и на всех виртуальных он повторяется?

 

Каждый физический eth порт имеет мак адрес. Если для физического порта создаются dot1q pvc и к ним привязываются интерфейсы, то они наследуют мак адрес физического порта. Вы можете изменить мак для таких pvc вручную

[local]ceramix(config-dot1q-pvc)#mac-address ?
 hh:hh:hh:hh:hh:hh  MAC address

Изменение мак адреса приводит к переписыванию старой записи. Для SE этого происходит молниеносно. На сколько быстро окружение изучит новый мак, сложно сказать (в том плане, что специальных gratuitous arp железка на это событие генерить не будет).

[gadson]

А какая цена на модуль 4-х портовый по 1 GE для SE100, хотяб приблизительно?

[D^2]

нет 4-х портового модуля для нее.

есть только модуль на 2 порта 1Г. в шасси можно установить до 2-х модулей.

 

отдельно модули покупать не стоит, т.к. сейчас весь бандл Smartedge 100 в НАГе можно купить дешевле, чем шасси + модули.

Edited April 14, 2011 by D^2

[kdserg]

p unnumbered там есть, но если задача каждому абоненту давать /32, то там и без этого это работает. вернее только так и работает в случае ipoe.

в случае ipoeodot1q можно выдать подсеть больше, чем /32

Судя по документации это не так.

If this subscriber will be a user of clientless IP service selection (CLIPS), or if this named or default subscriber profile is intended for such subscribers, follow these guidelines:

 

For static CLIPS circuits, a subscriber record or its assigned profile must have one and only one IP address. If you enter this command more than once for a subscriber record or profile, only the last IP address is applied to the static CLIPS circuit.

For dynamic CLIPS circuits, do not use this command to assign an IP address; instead, use the dhcp max-addrs command (in subscriber configuration mode) and specify 1 as the value for the max-num argument. For more information about the dhcp max-addr command, see the Command List.

 

Для статик CLIPS это работает как и написано. Клиент может работать только с последним IP. Для динамик не проверял, судя по выше приведенному тоже можно назначить только один адрес.

[shicoy]

ну накиньте профиль абонента на его vlan и все, а там хоть что угодно пускайте.

да решение для static CLIPS и что? в любом случае подсети больше чем /32 не массовый сегмент

[kdserg]

ну накиньте профиль абонента на его vlan и все, а там хоть что угодно пускайте.

Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов.

да решение для static CLIPS и что? в любом случае подсети больше чем /32 не массовый сегмент

Для юриков у нас это востребованное решение и его надо на чем-то делать и SE-100 для этого не подходит.

Для кого-то это может быть и не массовый сегмент.

[macharius]

Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов.

 

Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered.

!
context local
!
interface dot1q-subs multibind
 ip address 155.53.1.254/24
 ip arp proxy-arp
!
aaa authentication subscriber local  
!
subscriber name client-1
  ip address 155.53.1.4
  ip address 155.53.1.5
  ip address 155.53.1.6
  ip address 155.53.1.7
subscriber name client-2
  ip address 155.53.1.64
  ip address 155.53.1.65
!
!
! ** End Context **
!
port ethernet 2/2 
no shutdown
encapsulation dot1q
dot1q pvc 100 
 bind subscriber client-1@local
dot1q pvc 200 
 bind subscriber client-2@local
! 

 

И таких клиентов я могу наплодить сколько душе угодно. У них у всех маска короткая, я так понимаю ip unnumbered делает тоже самое? Едиснтвенное отличие в том, что каждый клиент (юр.лицо) сидит в своем влане.

Адресация работает правильно и SE делает прокси arp, чтобы они могли взаимодейтсвовать внутри своей короткой маски (/24 как в данном примере и шлюз у них .254).

[local]ceramix#show subscribers active 
client-1@local
       Session state Up
       Circuit   2/2 vlan-id 100
       Internal Circuit   2/2:1023:63/1/2/10
       Interface bound  dot1q-subs
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 155.53.1.4 (applied)
       ip address 155.53.1.5 (applied)
       ip address 155.53.1.6 (applied)
       ip address 155.53.1.7 (applied)
client-2@local
       Session state Up
       Circuit   2/2 vlan-id 200
       Internal Circuit   2/2:1023:63/1/2/11
       Interface bound  dot1q-subs
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 155.53.1.64 (applied)
       ip address 155.53.1.65 (applied)
[local]ceramix#

 

Поскольку каждый такой dot1q pvc - это абонент - то для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА.

Более того это позволяет переместить арпы на SE, который может проглатывать их до 5тыс в секунду (SE100).

Едиснтвенный момент - L2 до SE, но имхо в этом нет ничего криминального.

[ingress]

а проксиарп на таких интерфейсах где абонент с несколькими адресами как себя ведёт?

так же отвечает ему и за его адреса?

[macharius]

а проксиарп на таких интерфейсах где абонент с несколькими адресами как себя ведёт?

так же отвечает ему и за его адреса?

если как в примере из предыдущего сообщения - то не отвечает, а если сделать вот так

!
interface dot1q-subs multibind
 ip address 155.53.1.254/24
 ip arp proxy-arp always
!

то будет отвечать всем адресам в одном и томже dot1q pvc.

 

Предвосхищая следующий вопрос... можно заменить ip arp proxy-arp на ip arp secured-arp [always], тогда прежде чем отвечать на какой бы то нибыло arp, SE будет проверять на предмет того, а должен ли вообще быть такой source ip в этом dot1q subscriber, и если нет, то arp запрос дропается.

Edited April 16, 2011 by macharius

[ingress]

а будет аналог ip unnumbered [iface] poll ?

[macharius]

В двух словах поясните плиз что это? в смысле что оно делает?

[kdserg]

Это уже не будет ip unnumbered, со своими недостатками в виде расхода ip адресов.

 

Ну, это вы поторопились с выводом. Вот пример простейшего конфига, который расходует адреса также как и ваш классический ip unnumbered.

 

 

Буду рад, если ошибся в выводе, но у меня не заработало. Клиент pcaa0002 работал только с адресом 46.164.239.3.

 

SE-100,

Redback Networks SmartEdge OS Version SEOS-6.2.1.6-Release

Built by sysbuild@SWB-node04 Fri Dec 17 09:18:59 PST 2010

 

context l2clips

!

ip name-servers 195.98.64.65

ip name-servers 195.98.64.66

ip domain-lookup

!

interface aa multibind

ip address 46.164.239.1/24

ip arp timeout 300

ip arp proxy-arp always

ip arp delete-expired

!

interface upl

ip address 217.25.224.122/27

ip source-address radius

no logging console

!

router ospf 1000

fast-convergence

router-id 217.25.224.122

area 0.0.0.0

interface upl

redistribute connected

redistribute subscriber

redistribute static

summary-address 46.164.239.0/24

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber local

!

subscriber name pcaa0000

ip address 46.164.239.32

ip interface name aa

subscriber name pcaa0001

ip address 46.164.239.7

ip interface name aa

subscriber name pcaa0002

ip address 46.164.239.15

ip address 46.164.239.3

ip interface name aa

!

 

port ethernet 2/15

no shutdown

encapsulation dot1q

dot1q pvc 59

bind interface upl l2clips

dot1q pvc 121

service clips

clips pvc 1

bind subscriber pcaa0000@l2clips

dot1q pvc 122

service clips

clips pvc 2

bind subscriber pcaa0001@l2clips

dot1q pvc 123

service clips

clips pvc 3

bind subscriber pcaa0002@l2clips

[macharius]

to kdserg

Все врено. У вас просто pcaa0002 - это обычный static clips, описание работы которого вы совершенно справедливо процитировали из документации. Я же говорю о том, что наличие нескольких адресов возможно только для dot1q subscriber. Обратите внимание как отличаются в вашем примере конфигурация ваших pvc от, того что привел я выше. У меня в pvc нет service clips.

[local]ceramix#show subscribers 
TYPE    CIRCUIT                    SUBSCRIBER         CONTEXT   START TIME     
--------------------------------------------------------------------------------
dot1q   2/2 vlan-id 100            client-1@local     local     Apr 16 07:42:34
dot1q   2/2 vlan-id 200            client-2@local     local     Apr 16 07:42:34
--------------------------------------------------------------------------------
Total=2

 

В вашем же случае TYPE будет clips

Edited April 16, 2011 by macharius

[ingress]

В двух словах поясните плиз что это? в смысле что оно делает?

 

в двух словах при статических адресах у абонентов не надо создавать и провизионить много много маршрутов.

идея состоит в том чтобы текущих пользователей у которых стат. адреса не делать как статик клипс абонентов(не вбивать тяжёлую конфу и потом её не править при смене вланов/адресов),

а если человек поставит себе dhcp то он станет для SE абонентом.

[kdserg]

to kdserg

Все врено. У вас просто pcaa0002 - это обычный static clips, описание работы которого вы совершенно справедливо процитировали из документации. Я же говорю о том, что наличие нескольких адресов возможно только для dot1q subscriber.

Понятно. А чем тогда отличается static clips от dot1q subscriber, если "для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА"

Можно для dot1q subscriber задать конфигурацию через радиус, а не локально?

[macharius]

Понятно. А чем тогда отличается static clips от dot1q subscriber, если "для каждого из них доступно все тоже самое, что и для рррое и clips с точки зрения сервисов включая СоА"

Отличаются они тем, что в случае с clips subscriber вы можете создать их до 16тыс в одном влане и у каждого /32. А в случае с dot1q subscriber он у вас один на влан и тогда можно несколько адресов.

 

Можно для dot1q subscriber задать конфигурацию через радиус, а не локально?

Безусловно, адресация формируется тогда при помощи двух атрибутов: Framed-IP-Address и Framed-IP-Netmask.

[kdserg]

To macharius

Спасибо. Это то что мне нужно.

Видимо документацию читал не совсем в том месте :)

Еще бы более либеральная ценовая политика и SE-100 был бы почти идеальным брасом.