purecopper Опубликовано 8 декабря, 2014 (изменено) · Жалоба Проблема решилась перебиванием LAG с access в dot1q и добавлением соответствующего влана. Т.е. вот так LACP работает: link-group UPLINK-DOT1Q dot1q maximum-links 3 lacp active lacp periodic-timeout long dot1q pvc 2 bind interface UPLINK-UP local ! А вот так - нет: link-group UPLINK access economical qos pwfq scheduling physical-port maximum-links 3 lacp active bind interface UPLINK-UP local dmvy Оставил два линка. Ситуация не поменялась. Собственно говоря, вопрос-то не в том, что трафик вообще не балансируется. Входящий к абоненту балансируется прекрасно. А вот исходящий от абонента льется в один порт. Изменено 8 декабря, 2014 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArhAngel_John Опубликовано 9 декабря, 2014 · Жалоба link-group UPLINK-DOT1Q dot1q maximum-links 3 lacp active lacp periodic-timeout long dot1q pvc 2 bind interface UPLINK-UP local ! В конфигах SE написано что LAGG с LACP (lacp active) а со стороны SNR включен протокол LACP? Что-то не увидел в конфигах (там написано mode passive) и если LACP был бы включен то в show port-group 3 detail показывалась бы буква "А" - LACP Active Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 декабря, 2014 · Жалоба коммутаторы не умеют балансировать не по 2^n портам. делайте либо 2, либо 4 порта. у меня 2 канала, по 3g каждый. Балансировка SRC-DST-IP, всё нормально они мажут. Где-то 750-600-680. Понятно дело, что идеальных 3г не получить коммутатор: HP A5500 и 3612G с другой стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 10 декабря, 2014 · Жалоба Ситуация. Сдох биллинг (не важно почему) Пока ведутся работы по восстановлению работоспособности Чтобы успокоить юзеров - делаю на брасе: aaa authentication subscriber none profile default aaa accounting subscriber none Теперь сабскрайберов пускает без биллинга(радиус). (L2TP) Вопрос 1: когда биллинг снова пускаю встрой и снова включаю авторизацию через радиус - как потом грамотно отсеить/покилять тех юзеров, что авторизовались "без авторизации", чтобы реавторизовались их на биллинге? Пробовал реаутентификацию - но получаю в логах Reauth with non radius authentication method is not supported (что вполне логично)Есть еще варианты кроме ребута браса и заново массовый перелогин ?) Вопрос 2: как запретить конектиться юзерам по l2TP несколько раз с одинаковым логином во время "халявного режима" (aaa authentication subscriber none) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 декабря, 2014 · Жалоба По первому вопросу: дропнуть абонентов. Кто-то выкладывались snmp oid, чтобы быстро скриптом сбросить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Phantom Опубликовано 11 декабря, 2014 · Жалоба Я в UTM5 через вот так юзерам скорости меняю: snmpset -v2c -c redback@local 10.2.1.10 .1.3.6.1.4.1.2352.2.27.1.1.3.3.0 s $1 $1 - MAC-адрес для авторизации в системе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 11 декабря, 2014 · Жалоба скорости менять - это хорошо. Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн. Чтобы аккаунтинг зароботал. События разные. И главное пулы и адреса - я белые раздаю динамикой. Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг. Иначе придется всех килять (брас ребутать или еще как-то)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 11 декабря, 2014 · Жалоба скорости менять - это хорошо. Но мне нужно их авторизовать через радиус - чтобы они для биллинга были онлайн. Чтобы аккаунтинг зароботал. События разные. И главное пулы и адреса - я белые раздаю динамикой. Т.е. мне нужно как-то на брасе отгрепать тех, кто не через радиус авторизован - и покилять их - чтобы перелогинились уже через биллинг. Иначе придется всех килять (брас ребутать или еще как-то)... вам сказали oid для реавторизации. наверняка есть oid и для disconnect. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 11 декабря, 2014 · Жалоба да как именно килять юзеров - это не проблема. Еще раз формулирую вопрос: как ОТФИЛЬТРОВАТЬ (загрепать, выгрести, выбрать :) в список - логины юзеров, авторизованных не по радиусу из общего к-ва ? (юзеры L2TP) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 12 декабря, 2014 · Жалоба Я бы ждал таймаут наверно, если не охото ночью сбросывать все сессии (если таймаут не миллион часов настроен, конечно) ============= SE не умеет фильтровать http/url для физ.интерфейсе (dpi)? Или я не правильно понял мануал? Нужно фильтровать имена и странички, а не IP'шники. Умеет полисить для subscribers только, насколько понял. Странно немного. Например если я транзит для кого-то, кто не является для меня SUBS( На 28ой цыске нормально зафильтрил URL и темплейт и апстимовый сабинтерфейс. Неужели SE не умеет это делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 12 декабря, 2014 · Жалоба Жаль, что у меня нет второго браса ) Думаю, когда такая ситуация произойдет - я смогу найти зацепки, по которым можно отгрепать сабскрайберов. А вот еще проблемка - заметил, что много L2TP юзеров болтаются на брасе с дефолтными параметрами (из дефолтного профиля), т.е. некоторым юзерам не навешиваются полиси через CoA (radclient отсылает с биллинга) в логах - CoA NAK мол Session-Context-Not-Found Чем эти юзеры отличаются от тех, кому нормально навешивается полиси согласно тарифа - не нашел. Сам конектился много раз на всех тарифах с разных девайсов - все ок Кто проходил такое? Куда рыть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 13 декабря, 2014 · Жалоба на свежую голову и после исследования дебага появилась версия что биллинг слишком рано отсылает CoA для навешивания полиси (пока еще установление сессии в самом разгаре :) Нужно либо отсылать значения полиси в радиус accept (что не просто в моем случае) Либо какую то паузу в скрипте внести искусственно в несколько секунд либо отсылать coa пакет несколько раз - что не красиво совсем.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 14 декабря, 2014 · Жалоба Похоже - помогло сделать оттяжечку в пару секунд после логина (в биллинге) навешивания полиси через CoA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 14 декабря, 2014 · Жалоба а кто что скажет по поводу проблемы mtu/mss + L2TP/PPPoE Есть жалобы от юзеров с роутерами Очень похоже на проблему с mtu Какие будут рекомендации И не отвалятся ли текущие впн юзеров - если на брасе подкручивать mtu в профиле юзера или на multibind интерфейсах добавить ip tcp mss replace XXX UPDATE: SOLVED (помогли примеры с форума, юзеры не отвалились) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 16 декабря, 2014 · Жалоба SE не умеет фильтровать http/url для физ.интерфейсе (dpi)? SE = 100 - нет. SE > 100 (SE600 и т.д.) - умеет, но только со спец платой в которую влазит совсем не много URL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Сиськовед Опубликовано 26 декабря, 2014 · Жалоба Приветствую форумчане! Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV? У меня при 2FV Entry Type Count Memory Network 522585 44250500 Path 1036842 37326312 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 29 декабря, 2014 · Жалоба Чисто из любопытства, у кого-нибудь сейчас на SE100 работает BGP 3 FV? У меня почти 3FV (Реально 2 аплинка FV + локальные пирринги) Entry Type Count Memory Network 527433 44645824 Path 1479561 53264196 #sh memory Memory: Total 802716k, Used 734508k, Free 31720k, Reserved 24k 3 дня назад, сразу после последнего аварийного рестарте коробки руками, когда bgp процесс умер из-за недостатка памяти, рестартовал (причем два раза), но не захотел поднимать все peer (они застряли в состоянии Idle и были так 9 часов) Free было около 70000к - теперь вот 31000к, я так понимаю аккуратно к НГ еще раз грохнется :( subscribers (IPOE, non-dhcp) пока около 70 (подопытные) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 29 декабря, 2014 · Жалоба 2 BGP FV где-то примерно с двумя тысячами активных абонентских сессий жило у меня на одном SE100. На грани фола, памяти не хватает капитально. Я тут где-то даже тему создавал "как расширить память". Там нужно подобрать-то правильную планку, которую официально менять нельзя. Так вот сделал вывод, что или пользователи или bgp fv. В итоге функции пограничника уехали на другое железо. Иначе бывали случаи, когда убивался процесс bgp из-за нехватки памяти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Сиськовед Опубликовано 29 декабря, 2014 · Жалоба Всем спасибо за ответ, Забыл написать про память, так у меня при 2FV и 200 dot1q абонентах без ната, вообщем ни чего железка не делает: [local]Redback>sh mem Memory: Total 802716k, Used 622316k, Free 143888k, Reserved 24k Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vstrukov Опубликовано 10 февраля, 2015 · Жалоба Здравствуйте, коллеги! Есть контексты A, B, C, D. Включена межконтекстная маршрутизация. Дефолтные маршруты прописаны А --> B --> C. service multiple-contexts service inter-context routing context A ip route 0.0.0.0/0 context B context B ip route 0.0.0.0/0 context C Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 14 февраля, 2015 · Жалоба Вопрос: есть ли возможность настроить в контексте В форвардинг для пакетов из контекста А c Dest Port = 80 в контекст D? Да, вы гурман, батенька. К чему такие изыски? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vstrukov Опубликовано 16 февраля, 2015 · Жалоба Да, вы гурман, батенька. К чему такие изыски? Гурман поневоле :) Вопрос связан с оптимизацией фильтрации запрещенных сайтов. Судя по тишине - простого способа нет, чего и ожидал. Поищем другое решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 26 февраля, 2015 · Жалоба All а вот подскажите - это я что-т не докутил или таки задумано - по snmp вижу интерфейс управления, но трафик по нему типа остутсвует. Хотя он всё таки есть. cacti весело рисует что там при этом N/A трафика. Аналогично ина порту, к которому привязан mgmt интерфейс. Но по факту хоть и копеешный трафик, но там бегает, вижу это на графике свитча в который воткнут MGMT порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 27 февраля, 2015 · Жалоба Снимайте с порта/pvc, интерфейс у редбэка зверь скрытный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 27 февраля, 2015 · Жалоба Да вот что интересно - добавил в график именно прт к которому MGMT привязан - тоже самое. port ethernet 1/1 ! context local ! no ip domain-lookup ! interface MGMT description mgmt_if ip address 10.22.2.72/26 ip source-address telnet snmp ssh logging console ! .... port ethernet 1/1 ! XCRP management port on slot 1 no shutdown bind interface MGMT local ! а вот соседние порты - Всё ок. port ethernet 2/2 no shutdown medium-type copper encapsulation dot1q dot1q pvc 150 bind interface RADIUS pppoe .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...