[Tau]

Помогите, пожалуйста, с проблемой!

 

Девайс SE100, ПО 12.1.1.11

 

Имеем контекст subscribers

В нем интерфейс

 interface unnumbered1 multibind
 ip address 192.168.200.1/24
 ip arp proxy-arp always
 ip pool 192.168.200.1.0/24 name pool1

 

Несколько портов объединены в LACP

link-group linkgroup1 access
encapsulation dot1q
lacp active
service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2000
 service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2001
 service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2002
 service clips auto-detect direct context subscribers service-policy clips_address_policy
dot1q pvc 2003
 service clips auto-detect direct context subscribers service-policy clips_address_policy

 

service-policy name clips_address_policy
allow context name subscribers
allow clips ip range 192.168.200.2 192.168.200.254

 

Периодически не создается абонентская сессия. Зеркалируя порт между SE100 и коммутатором видны бродкастовые ARP-запросы:

13:38:55.372805 60:a4:4c:c6:a9:9c > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 2003, p 0, ethertype ARP, Request who-has 192.168.200.1 tell 192.168.200.6, length 46

 

Их видно и в debug-е на SE100:

1b0bd789/0003874723/277600000:02/IPPA/EU00: 255/22:13:58/1/2/4196
debug packet 1/1 timestamp 3874723.719801935 length 64/64 eu 7
ETH     DST_MAC FF:FF:FF:FF:FF:FF SRC_MAC E4:8D:8C:C9:DF:4F
       VLAN 2094 (PRIO 0 CBIT 0) ETHER_TYPE arp(0806)
ARP     HW_TYPE eth PROTO_TYPE IPv4 HW_LEN   6 PROTO_LEN   4 OP_CODE request
       SRC_HW_ADDR E4:8D:8C:C9:DF:4F SRC_PROTO_ADDR 192.168.200.13
       DST_HW_ADDR 00:00:00:00:00:00 DST_PROTO_ADDR 192.168.200.1
DATA    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
       00 00
32274e6b/0003874724/325400000:02/IPPA/EU00: 255/22:13:58/1/2/4196
debug packet 2/2 timestamp 3874724.767574116 length 64/64 eu 14
ETH     DST_MAC FF:FF:FF:FF:FF:FF SRC_MAC E4:8D:8C:C9:DF:4F
       VLAN 2094 (PRIO 0 CBIT 0) ETHER_TYPE arp(0806)
ARP     HW_TYPE eth PROTO_TYPE IPv4 HW_LEN   6 PROTO_LEN   4 OP_CODE request
       SRC_HW_ADDR E4:8D:8C:C9:DF:4F SRC_PROTO_ADDR 192.168.200.13
       DST_HW_ADDR 00:00:00:00:00:00 DST_PROTO_ADDR 192.168.200.1
DATA    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
       00 00

 

Но сессия не создается. Не создастся она если заменить ус-во или сменить порт на имеющемся.

 

Но, если на абонентском девайсе в ARP-таблицу добавить адрес 192.168.200.1 - сессия появится.

Проблема плавающая и воспроизвести ее в лабораторных условиях не удалось.

 

Просьба подсказать пути решения проблемы.

 

ПС. IP-адреса в приведенном конфиге изменены. Куски логов взяты из разных инцидентов.

[iValera]

Кто-то использует реавторизацию?

Можно ли менять скорость абоненту налету, без разрыва сессии?

Следующие атрибуты они и есть?

156 Qos_Rate_Inbound

157 Qos_Rate_Outbound

Можно ли РБ заставить инициализировать реавторизацию самому, например, раз в сутки?

[dmvy]

Кто-то использует реавторизацию?

Можно ли менять скорость абоненту налету, без разрыва сессии?

Следующие атрибуты они и есть?

156 Qos_Rate_Inbound

157 Qos_Rate_Outbound

Можно ли РБ заставить инициализировать реавторизацию самому, например, раз в сутки?

 

Можно через CoA. Можно запустить реавторизация сервисов, а можно сразу изменить скорость без реавторизации.

[iValera]

Можно через CoA. Можно запустить реавторизация сервисов, а можно сразу изменить скорость без реавторизации.

CoA не подходит, речь не только о скорости, там много атрибутов которые необходимо применять.

Требуется инициализировать реавторизацию от redback`а (без разрыва сессии). SNMP и CoA не подходят.

[local]R1#reauthorize ?
 bulk      Peform bulk reauth
 session   Reauth subscriber by accounting session ID
 username  Reauth subscriber by username
[local]R1#reauthorize bu
[local]R1#reauthorize bulk ?
 1..65535  reauthor index number

 

Не пойму что значит bulk?

 

Или как еще можно заставить реавторизовать сессию без разрыва?

Изменено 14 января, 2016 пользователем iValera

[dmvy]

http://asmodeus.com.ua/library/os/linux/smart_edge_policy.html

помимо скорости

Dynamic-QoS-Param += “police-class-rate cls-INET rate-absolute 2000”
Dynamic-QoS-Param += “police-class-burst cls-INET 250000”
Dynamic-QoS-Param += “meter-class-rate cls-INET rate-absolute 2000”
Dynamic-QoS-Param += “meter-class-burst cls-INET 250000”

можно передать и forward-policy, если хотите пере направление на заглушку сделать.

http://shop.nag.ru/article/smartedge-policy-how-to

 

Передать все необходимые атрибуты из RADIUS в access accept и CoA

 

— — — — — — — — — RADIUS — — — — — — — — — -

HTTP-Redirect-Profile-Name = «CABINET»

Forward-Policy = «in:HTTP-REDIRECT»

— — — — — — — — — — — — — — — — — — — —

 

Где HTTP-Redirect-Profile-Name и Forward-Policy это Redback (vendor id 2352) VSA за номерами 107 и 92 соответственно, тип полей – string.

 

http://wiki.bitel.ru/index.php/RedBack_CLIPS

При отключении абонента по балансу, через CoA абонентской сессии устанавливаются параметры редиректа на страницу с ошибкой. Запрос выглядит следующим образом:

Acct-Interim-Interval=900
Acct-Session-Id=0100FFFF78002877-4E7308EE
Forward-Policy=in:NOAUTH-IPOE
HTTP-Redirect-Profile-Name=NOAUTH

[iValera]

http://asmodeus.com.ua/library/os/linux/smart_edge_policy.html

помимо скорости

Dynamic-QoS-Param += “police-class-rate cls-INET rate-absolute 2000”
Dynamic-QoS-Param += “police-class-burst cls-INET 250000”
Dynamic-QoS-Param += “meter-class-rate cls-INET rate-absolute 2000”
Dynamic-QoS-Param += “meter-class-burst cls-INET 250000”

можно передать и forward-policy, если хотите пере направление на заглушку сделать.

http://shop.nag.ru/article/smartedge-policy-how-to

 

Передать все необходимые атрибуты из RADIUS в access accept и CoA

 

— — — — — — — — — RADIUS — — — — — — — — — -

HTTP-Redirect-Profile-Name = «CABINET»

Forward-Policy = «in:HTTP-REDIRECT»

— — — — — — — — — — — — — — — — — — — —

 

Где HTTP-Redirect-Profile-Name и Forward-Policy это Redback (vendor id 2352) VSA за номерами 107 и 92 соответственно, тип полей – string.

 

http://wiki.bitel.ru/index.php/RedBack_CLIPS

При отключении абонента по балансу, через CoA абонентской сессии устанавливаются параметры редиректа на страницу с ошибкой. Запрос выглядит следующим образом:

Acct-Interim-Interval=900
Acct-Session-Id=0100FFFF78002877-4E7308EE
Forward-Policy=in:NOAUTH-IPOE
HTTP-Redirect-Profile-Name=NOAUTH

 

Спасибо за подробные описания, но это опять CoA.

[local]R1#reauthorize ?
 bulk      Peform bulk reauth
 session   Reauth subscriber by accounting session ID
 username  Reauth subscriber by username
[local]R1#reauthorize bu
[local]R1#reauthorize bulk ?
 1..65535  reauthor index number

Пока смотрим в эту сторону, не понятно только что делает bulk

[loschikatilos]

Есть возм. на коробке скидывать раз в сутки pppoe сессию наподобие цисковского timeout absolute?

[zstas]

есть, называется так же

[loschikatilos]

В правильном месте и правильно прописал? 3 суток.

 

subscriber profile rate-40Mbps

timeout absolute 4320

qos policy policing rate-40Mbps-in

qos policy metering rate-40Mbps-out

ppp mtu 1492

dns primary 8.8.8.8

dns secondary 8.8.4.4

[zstas]

покажите sh subs active username XXX, там будет видно правильно или нет )

[Agapit]

Добрый день.

 

Документацию курил, но видимо не с той стороны подпаливал.

Прошу помощи.

 

Ericsson se100 настраивается как бордер с бгп снаружи и кучей вланов под клиентов внутри.

Бгп настроил худо-бедно, контекст под клиентов создал, вланы к портам прицепил.

 

Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно?

Клиентов штук 20 и скорости от 10Мбит до 100Мбит.

 

Заранее спасибо.

[nwur]

Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно?

 

да также как и во всех остальных местах. qos policy policing/metering

[Agapit]

Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно?

 

да также как и во всех остальных местах. qos policy policing/metering

 

МММ, я, конечно, покопаюсь, но не совсем понятно причём тут qos?

в циске это решалось bandwith & rate-limit.

[nwur]

причём тут qos?

этот вопрос нужно задавать не мне :)

 

http://shop.nag.ru/article/smartedge-policy-how-to вполне подбробная инструкция по полисям, сами полиси вешаются на субскрайбера, на dot1q pvc, порт и т.д.

Изменено 4 февраля, 2016 пользователем nwur

[loschikatilos]

как по vlan интерфейсу смотреть трафик на нем?

 

на физическом интерфейсе без проблем.

[nwur]

как по vlan интерфейсу смотреть трафик на нем?

 

на физическом интерфейсе без проблем.

 

show circuit counters X/X vlan-id X

[loschikatilos]

Спасибо. Тут же еще вопрос.

 

имею два аплинка ebgp

 

Пинг до Москвы улетает по первому прилетает по второму.

 

Есть вероятность что второй маршрут по каким то причинам ближе.

 

Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345?

 

в моем случае as-uplink2 as-моя as-моя as-моя.

[dmvy]

Спасибо. Тут же еще вопрос.

 

имею два аплинка ebgp

 

Пинг до Москвы улетает по первому прилетает по второму.

 

Есть вероятность что второй маршрут по каким то причинам ближе.

 

Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345?

 

в моем случае as-uplink2 as-моя as-моя as-моя.

несимметричные маршруты во всемирной паутине - обычное дело. Вам поможет изучение looking glass тех операторов, до которых у Вас такое наблюдается и установка BGP community именно в то направление с увеличением препендов, либо backup community, либо запрет анонса, т.к. при разном localpref анонсы ничего не изменят.

[loschikatilos]

Спасибо. Тут же еще вопрос.

 

имею два аплинка ebgp

 

Пинг до Москвы улетает по первому прилетает по второму.

 

Есть вероятность что второй маршрут по каким то причинам ближе.

 

Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345?

 

в моем случае as-uplink2 as-моя as-моя as-моя.

несимметричные маршруты во всемирной паутине - обычное дело. Вам поможет изучение looking glass тех операторов, до которых у Вас такое наблюдается и установка BGP community именно в то направление с увеличением препендов, либо backup community, либо запрет анонса, т.к. при разном localpref анонсы ничего не изменят.

 

Разобрался. Спасибо.

Изменено 8 февраля, 2016 пользователем loschikatilos

[loschikatilos]

Первая трабла.

 

Feb 10 11:26:09: %SYSLOG-3-ERR: inetd[253]: ssh/tcp server failing (looping), service terminated

 

Есть попытки доступа из вне. С подбором паролей.

 

Применяю:

 

!

ip access-list trusted.hosts ssh-and-telnet-acl

seq 10 permit ip host 192.168.1.65

seq 20 deny ip any

!

 

В логи инфа о попытках все равно сыплеться.

[nwur]

admin-access-group acl in

ограничивает доступ к control plane

для каждого контекста отдельно

откройте уже документацию

Изменено 10 февраля, 2016 пользователем nwur

[Tau]

Подскажите с пропадающей ARP-записью для multibind интерфейса.

 

Имеем SE100, ПО SEOS-12.1.1.11-Release

Интерфейс

 interface network_4_0_mask_28 multibind
 ip address 192.168.4.1/28
 ip arp proxy-arp always

 

В какой-то момент стал недоступен один из адресов - 192.168.4.3, в ARP-таблице его не было:

[internet]SE100#show ip arp
Total number of arp entries in cache: 9
 Resolved entry   : 9
 Incomplete entry : 0

Host              Hardware address    Ttl    Type  Circuit
[вырезано лишнее]
192.168.4.1        00:00:00:00:00:00   -      None  Multi-Bound
192.168.4.2        a6:77:bf:7f:6b:9e   2764   ARPA  2/2 vlan-id 200
192.168.4.14       e4:8d:8c:ae:59:28   1300   ARPA  2/2 vlan-id 200
[вырезано лишнее]

 

Маршрут до него был такой:

[internet]SE100#show ip route 192.168.4.3
   Longest match Routing entry for 192.168.4.3/32 is 192.168.4.0/28 , version: 35
89734
   Route Uptime: 1w4d
   Paths: total 1, best path count 1

   Route has been downloaded to following slots
     iPPA: 02

   Path information :

     Active path :
      Known via connected, distance 18, metric 0,
     Tag 0, NH-ID 0x31400001, Interface network_4_0_mask_28
     Circuit 255/1:1:1/0/0/1
     External Circuit :  Null0

 

Ожидаемым (мной) поведением было отправка широковещательных ARP-запросов Who Has во все vlan-ы, к которым биндится интерфейс, но этих запросов в tcpdumpе я не видел.

Ситуация исправилась, когда с недоступного хоста произошла какая-то сетевая активность - был отправлен icmp пакет. После этого arp-запись появилась, роут исправился и все заработало.

 

В чем может быть проблема?

[dmvy]

вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать.

[Tau]

вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать.

Как раз собирался развестить адреса по разным vlan. Но сразу этого не сделал, а теперь вообще боязно что-либо менять.

У инженеров Redback вообще какое-то странное видение мира...

Спасибо за совет!

[dmvy]

вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать.

Как раз собирался развестить адреса по разным vlan. Но сразу этого не сделал, а теперь вообще боязно что-либо менять.

У инженеров Redback вообще какое-то странное видение мира...

Спасибо за совет!

ну не только у них. В классическом ip unnumbered от cisco ровно также, пока не появится dhcp-сессия, либо не пропишешь статично ip-адрес в vlan-интерфейс. то, что нужно вам называется private vlan / super vlan (генерируется только arp, сколько vlan). есть у dlink и extreme.