Tau Опубликовано 29 декабря, 2015 · Жалоба Помогите, пожалуйста, с проблемой! Девайс SE100, ПО 12.1.1.11 Имеем контекст subscribers В нем интерфейс interface unnumbered1 multibind ip address 192.168.200.1/24 ip arp proxy-arp always ip pool 192.168.200.1.0/24 name pool1 Несколько портов объединены в LACP link-group linkgroup1 access encapsulation dot1q lacp active service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2000 service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2001 service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2002 service clips auto-detect direct context subscribers service-policy clips_address_policy dot1q pvc 2003 service clips auto-detect direct context subscribers service-policy clips_address_policy service-policy name clips_address_policy allow context name subscribers allow clips ip range 192.168.200.2 192.168.200.254 Периодически не создается абонентская сессия. Зеркалируя порт между SE100 и коммутатором видны бродкастовые ARP-запросы: 13:38:55.372805 60:a4:4c:c6:a9:9c > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 2003, p 0, ethertype ARP, Request who-has 192.168.200.1 tell 192.168.200.6, length 46 Их видно и в debug-е на SE100: 1b0bd789/0003874723/277600000:02/IPPA/EU00: 255/22:13:58/1/2/4196 debug packet 1/1 timestamp 3874723.719801935 length 64/64 eu 7 ETH DST_MAC FF:FF:FF:FF:FF:FF SRC_MAC E4:8D:8C:C9:DF:4F VLAN 2094 (PRIO 0 CBIT 0) ETHER_TYPE arp(0806) ARP HW_TYPE eth PROTO_TYPE IPv4 HW_LEN 6 PROTO_LEN 4 OP_CODE request SRC_HW_ADDR E4:8D:8C:C9:DF:4F SRC_PROTO_ADDR 192.168.200.13 DST_HW_ADDR 00:00:00:00:00:00 DST_PROTO_ADDR 192.168.200.1 DATA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 32274e6b/0003874724/325400000:02/IPPA/EU00: 255/22:13:58/1/2/4196 debug packet 2/2 timestamp 3874724.767574116 length 64/64 eu 14 ETH DST_MAC FF:FF:FF:FF:FF:FF SRC_MAC E4:8D:8C:C9:DF:4F VLAN 2094 (PRIO 0 CBIT 0) ETHER_TYPE arp(0806) ARP HW_TYPE eth PROTO_TYPE IPv4 HW_LEN 6 PROTO_LEN 4 OP_CODE request SRC_HW_ADDR E4:8D:8C:C9:DF:4F SRC_PROTO_ADDR 192.168.200.13 DST_HW_ADDR 00:00:00:00:00:00 DST_PROTO_ADDR 192.168.200.1 DATA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Но сессия не создается. Не создастся она если заменить ус-во или сменить порт на имеющемся. Но, если на абонентском девайсе в ARP-таблицу добавить адрес 192.168.200.1 - сессия появится. Проблема плавающая и воспроизвести ее в лабораторных условиях не удалось. Просьба подсказать пути решения проблемы. ПС. IP-адреса в приведенном конфиге изменены. Куски логов взяты из разных инцидентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 30 декабря, 2015 · Жалоба Кто-то использует реавторизацию? Можно ли менять скорость абоненту налету, без разрыва сессии? Следующие атрибуты они и есть? 156 Qos_Rate_Inbound 157 Qos_Rate_Outbound Можно ли РБ заставить инициализировать реавторизацию самому, например, раз в сутки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 31 декабря, 2015 · Жалоба Кто-то использует реавторизацию? Можно ли менять скорость абоненту налету, без разрыва сессии? Следующие атрибуты они и есть? 156 Qos_Rate_Inbound 157 Qos_Rate_Outbound Можно ли РБ заставить инициализировать реавторизацию самому, например, раз в сутки? Можно через CoA. Можно запустить реавторизация сервисов, а можно сразу изменить скорость без реавторизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 14 января, 2016 (изменено) · Жалоба Можно через CoA. Можно запустить реавторизация сервисов, а можно сразу изменить скорость без реавторизации. CoA не подходит, речь не только о скорости, там много атрибутов которые необходимо применять. Требуется инициализировать реавторизацию от redback`а (без разрыва сессии). SNMP и CoA не подходят. [local]R1#reauthorize ? bulk Peform bulk reauth session Reauth subscriber by accounting session ID username Reauth subscriber by username [local]R1#reauthorize bu [local]R1#reauthorize bulk ? 1..65535 reauthor index number Не пойму что значит bulk? Или как еще можно заставить реавторизовать сессию без разрыва? Изменено 14 января, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 16 января, 2016 · Жалоба http://asmodeus.com.ua/library/os/linux/smart_edge_policy.html помимо скорости Dynamic-QoS-Param += “police-class-rate cls-INET rate-absolute 2000” Dynamic-QoS-Param += “police-class-burst cls-INET 250000” Dynamic-QoS-Param += “meter-class-rate cls-INET rate-absolute 2000” Dynamic-QoS-Param += “meter-class-burst cls-INET 250000” можно передать и forward-policy, если хотите пере направление на заглушку сделать. http://shop.nag.ru/article/smartedge-policy-how-to Передать все необходимые атрибуты из RADIUS в access accept и CoA — — — — — — — — — RADIUS — — — — — — — — — - HTTP-Redirect-Profile-Name = «CABINET» Forward-Policy = «in:HTTP-REDIRECT» — — — — — — — — — — — — — — — — — — — — Где HTTP-Redirect-Profile-Name и Forward-Policy это Redback (vendor id 2352) VSA за номерами 107 и 92 соответственно, тип полей – string. http://wiki.bitel.ru/index.php/RedBack_CLIPS При отключении абонента по балансу, через CoA абонентской сессии устанавливаются параметры редиректа на страницу с ошибкой. Запрос выглядит следующим образом: Acct-Interim-Interval=900 Acct-Session-Id=0100FFFF78002877-4E7308EE Forward-Policy=in:NOAUTH-IPOE HTTP-Redirect-Profile-Name=NOAUTH Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 18 января, 2016 · Жалоба http://asmodeus.com.ua/library/os/linux/smart_edge_policy.html помимо скорости Dynamic-QoS-Param += “police-class-rate cls-INET rate-absolute 2000” Dynamic-QoS-Param += “police-class-burst cls-INET 250000” Dynamic-QoS-Param += “meter-class-rate cls-INET rate-absolute 2000” Dynamic-QoS-Param += “meter-class-burst cls-INET 250000” можно передать и forward-policy, если хотите пере направление на заглушку сделать. http://shop.nag.ru/article/smartedge-policy-how-to Передать все необходимые атрибуты из RADIUS в access accept и CoA — — — — — — — — — RADIUS — — — — — — — — — - HTTP-Redirect-Profile-Name = «CABINET» Forward-Policy = «in:HTTP-REDIRECT» — — — — — — — — — — — — — — — — — — — — Где HTTP-Redirect-Profile-Name и Forward-Policy это Redback (vendor id 2352) VSA за номерами 107 и 92 соответственно, тип полей – string. http://wiki.bitel.ru/index.php/RedBack_CLIPS При отключении абонента по балансу, через CoA абонентской сессии устанавливаются параметры редиректа на страницу с ошибкой. Запрос выглядит следующим образом: Acct-Interim-Interval=900 Acct-Session-Id=0100FFFF78002877-4E7308EE Forward-Policy=in:NOAUTH-IPOE HTTP-Redirect-Profile-Name=NOAUTH Спасибо за подробные описания, но это опять CoA. [local]R1#reauthorize ? bulk Peform bulk reauth session Reauth subscriber by accounting session ID username Reauth subscriber by username [local]R1#reauthorize bu [local]R1#reauthorize bulk ? 1..65535 reauthor index number Пока смотрим в эту сторону, не понятно только что делает bulk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 3 февраля, 2016 · Жалоба Есть возм. на коробке скидывать раз в сутки pppoe сессию наподобие цисковского timeout absolute? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 3 февраля, 2016 · Жалоба есть, называется так же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 3 февраля, 2016 · Жалоба В правильном месте и правильно прописал? 3 суток. subscriber profile rate-40Mbps timeout absolute 4320 qos policy policing rate-40Mbps-in qos policy metering rate-40Mbps-out ppp mtu 1492 dns primary 8.8.8.8 dns secondary 8.8.4.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 3 февраля, 2016 · Жалоба покажите sh subs active username XXX, там будет видно правильно или нет ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agapit Опубликовано 3 февраля, 2016 · Жалоба Добрый день. Документацию курил, но видимо не с той стороны подпаливал. Прошу помощи. Ericsson se100 настраивается как бордер с бгп снаружи и кучей вланов под клиентов внутри. Бгп настроил худо-бедно, контекст под клиентов создал, вланы к портам прицепил. Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно? Клиентов штук 20 и скорости от 10Мбит до 100Мбит. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 3 февраля, 2016 · Жалоба Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно? да также как и во всех остальных местах. qos policy policing/metering Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agapit Опубликовано 3 февраля, 2016 · Жалоба Вопрос насущный на сегодня, как зарезать скорость на pvc и вообще это возможно? да также как и во всех остальных местах. qos policy policing/metering МММ, я, конечно, покопаюсь, но не совсем понятно причём тут qos? в циске это решалось bandwith & rate-limit. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 4 февраля, 2016 (изменено) · Жалоба причём тут qos? этот вопрос нужно задавать не мне :) http://shop.nag.ru/article/smartedge-policy-how-to вполне подбробная инструкция по полисям, сами полиси вешаются на субскрайбера, на dot1q pvc, порт и т.д. Изменено 4 февраля, 2016 пользователем nwur Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 4 февраля, 2016 · Жалоба как по vlan интерфейсу смотреть трафик на нем? на физическом интерфейсе без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 8 февраля, 2016 · Жалоба как по vlan интерфейсу смотреть трафик на нем? на физическом интерфейсе без проблем. show circuit counters X/X vlan-id X Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 8 февраля, 2016 · Жалоба Спасибо. Тут же еще вопрос. имею два аплинка ebgp Пинг до Москвы улетает по первому прилетает по второму. Есть вероятность что второй маршрут по каким то причинам ближе. Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345? в моем случае as-uplink2 as-моя as-моя as-моя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 февраля, 2016 · Жалоба Спасибо. Тут же еще вопрос. имею два аплинка ebgp Пинг до Москвы улетает по первому прилетает по второму. Есть вероятность что второй маршрут по каким то причинам ближе. Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345? в моем случае as-uplink2 as-моя as-моя as-моя. несимметричные маршруты во всемирной паутине - обычное дело. Вам поможет изучение looking glass тех операторов, до которых у Вас такое наблюдается и установка BGP community именно в то направление с увеличением препендов, либо backup community, либо запрет анонса, т.к. при разном localpref анонсы ничего не изменят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 8 февраля, 2016 (изменено) · Жалоба Спасибо. Тут же еще вопрос. имею два аплинка ebgp Пинг до Москвы улетает по первому прилетает по второму. Есть вероятность что второй маршрут по каким то причинам ближе. Существует возможность подобно cisco сделать set as-path prepend 12345 12345 12345 12345? в моем случае as-uplink2 as-моя as-моя as-моя. несимметричные маршруты во всемирной паутине - обычное дело. Вам поможет изучение looking glass тех операторов, до которых у Вас такое наблюдается и установка BGP community именно в то направление с увеличением препендов, либо backup community, либо запрет анонса, т.к. при разном localpref анонсы ничего не изменят. Разобрался. Спасибо. Изменено 8 февраля, 2016 пользователем loschikatilos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 10 февраля, 2016 · Жалоба Первая трабла. Feb 10 11:26:09: %SYSLOG-3-ERR: inetd[253]: ssh/tcp server failing (looping), service terminated Есть попытки доступа из вне. С подбором паролей. Применяю: ! ip access-list trusted.hosts ssh-and-telnet-acl seq 10 permit ip host 192.168.1.65 seq 20 deny ip any ! В логи инфа о попытках все равно сыплеться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nwur Опубликовано 10 февраля, 2016 (изменено) · Жалоба admin-access-group acl in ограничивает доступ к control plane для каждого контекста отдельно откройте уже документацию Изменено 10 февраля, 2016 пользователем nwur Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 15 февраля, 2016 · Жалоба Подскажите с пропадающей ARP-записью для multibind интерфейса. Имеем SE100, ПО SEOS-12.1.1.11-Release Интерфейс interface network_4_0_mask_28 multibind ip address 192.168.4.1/28 ip arp proxy-arp always В какой-то момент стал недоступен один из адресов - 192.168.4.3, в ARP-таблице его не было: [internet]SE100#show ip arp Total number of arp entries in cache: 9 Resolved entry : 9 Incomplete entry : 0 Host Hardware address Ttl Type Circuit [вырезано лишнее] 192.168.4.1 00:00:00:00:00:00 - None Multi-Bound 192.168.4.2 a6:77:bf:7f:6b:9e 2764 ARPA 2/2 vlan-id 200 192.168.4.14 e4:8d:8c:ae:59:28 1300 ARPA 2/2 vlan-id 200 [вырезано лишнее] Маршрут до него был такой: [internet]SE100#show ip route 192.168.4.3 Longest match Routing entry for 192.168.4.3/32 is 192.168.4.0/28 , version: 35 89734 Route Uptime: 1w4d Paths: total 1, best path count 1 Route has been downloaded to following slots iPPA: 02 Path information : Active path : Known via connected, distance 18, metric 0, Tag 0, NH-ID 0x31400001, Interface network_4_0_mask_28 Circuit 255/1:1:1/0/0/1 External Circuit : Null0 Ожидаемым (мной) поведением было отправка широковещательных ARP-запросов Who Has во все vlan-ы, к которым биндится интерфейс, но этих запросов в tcpdumpе я не видел. Ситуация исправилась, когда с недоступного хоста произошла какая-то сетевая активность - был отправлен icmp пакет. После этого arp-запись появилась, роут исправился и все заработало. В чем может быть проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 15 февраля, 2016 · Жалоба вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 15 февраля, 2016 · Жалоба вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать. Как раз собирался развестить адреса по разным vlan. Но сразу этого не сделал, а теперь вообще боязно что-либо менять. У инженеров Redback вообще какое-то странное видение мира... Спасибо за совет! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 15 февраля, 2016 · Жалоба вероятно особенность multibind. Если не собираетесь вешать интерфейс на разные vlan, то сделайте обычный ip интерфейс (не multibind). Multibind используют обычно для dhcp ip unnumbered. Иначе arp-запросы нужно генерировать в каждый vlan, а инженеры redback хотели этого явно избежать. Как раз собирался развестить адреса по разным vlan. Но сразу этого не сделал, а теперь вообще боязно что-либо менять. У инженеров Redback вообще какое-то странное видение мира... Спасибо за совет! ну не только у них. В классическом ip unnumbered от cisco ровно также, пока не появится dhcp-сессия, либо не пропишешь статично ip-адрес в vlan-интерфейс. то, что нужно вам называется private vlan / super vlan (генерируется только arp, сколько vlan). есть у dlink и extreme. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...