[Ptica79]

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

[ingress]

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

[Ptica79]

Добрый день. На SE 100 подняты DHCP-clips. Однако столкнулся со следующей проблемой.

Некоторые роутеры при приближении истечения DHCP lease посылают запрос не юникастом, а бродкастом. Т.е. в пакете source ip - ip-клиента, dst-ip = 255.255.255.255.

Эриксон их благополучно игнорирует до тех пор, пока клиент не сбросит у себя IP на 0.0.0.0. При этому сбрасывается и сессия у клиента. Сразу проходит инициализация новой сессии, но кратковременный разрыв интернета у клиента происходит.

Кто-то сталкивался с таким? Как с этим бороться?

 

Добавьте в конфигурирацию CLIPS на порту следующее:

 

service clips dhcp source-mac

 dot1q pvc 1204 replicate 
 bind interface ipoe ipoe
 service clips dhcp source-mac context ipoe

у меня это выглядит вот так. бродкасты от 0.0.0.0 и юникасты от ip на ип SE проходят нормально.

Edited May 24, 2017 by Ptica79

[DVDrom4ik]

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Edited June 8, 2017 by DVDrom4ik

[dexterr]

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

[DVDrom4ik]

Всем здравствовать.

 

Нужны динамические acl для dot1q pvc static subcribers.Кто то нибудь знает как для redback'a правильно составить радиус-атрибут Ascend-Data-Filter ?

В документации единственное что нашел - что это binary string. Пробовал по аналогии с другими вендорами - не получается.

 

Суть проблемы в том что нужно изолировать абонентов(схема vlan-per-subcriber, multibind, несколько подсетей) друг от друга до шлюза и исключить возможность подмены IP со стороны абонента.

 

Source-Validation - не отрабатывает

X-Ascend-Data-Filter - se видит в виде String, например, ip in drop, но явно не использует.

 

se600 SEOS-12.1.1.5-Release

 

Может есть еще мысли ?

Может кому то пригодится. В общем проблему решил выключение проксирования ARP включив режим security-arp на мультибинд интерфейсе. Что дало исключение попадания в ARP таблицу IP не присвоенного subscriber'y.

[zstas]

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

[dexterr]

Добрый день!

Не подскажите как можно разгрузить плату или при такой созданной схемы это сделать невозможно?

При добавлении на порт qinq vlan таким образом :

dot1q pvc 542 encapsulation 1qtunnel

dot1q pvc explicit 542:3000 through 3384 profile DOT1Q encapsulation multi

bind interface INT-GW stb

circuit protocol pppoe

bind authentication chap pap context pppoe maximum 8000

Выдает ошибку % Cannot create pvc because the cct limit of the slot would be exceeded.

Я так понимаю ресурс данной платы превышен.

Никто с таким не сталкивался?

И какой командой можно посмотреть вообще этот лимит?)

Количество circuit на карту ограничено ресурсами карты. У вас что за железка?

Не уверен что так получится - но можно попробовать заменить explicit на on-demand.

НО возможно с интерфейсом или мульти энкап такая тема просто так не пройдет, но попробуйте в любом случае. Возможно получится сделать связку pppoe + dhcp clips с безусловной авторизацией.

Железка SE600

Redback Networks SmartEdge OS Version SEOS-12.1.1.11p7-Release

Спасибо за ответ, будем пробовать.

[zstas]

если у вас 4-10ge-port карточка - то ограничение 32 тысячи circuit на карту.

[a290]

Кто-нибудь настраивал SE100 как чистый dhcp-relay без dynamic CLIPS?

Пробую со static dot1q клиентом, SE100 режет OFFER, при этом в debug выдает:

Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 3c:97:0e:13:6b:98, IP 192.168.10.2, encap type 0x1020400, lease 43200, subnet (0.0.0.0/0)
Oct 23 13:07:50: [0002]: [2/2:511:63:31/1/2/7]: %AAA-3-ERR: aaa_idx 30000002: aaa_update_dhcp_sub_circuit: session 2/2:511:63:31/1/2/7 isn't configured for DHCP session_class 1 dhcp_max_addr max_addr 0
Oct 23 13:07:50: %DHCP-7-IPC: Received IPC command 0x1e7e with length 140
Oct 23 13:07:50: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for  ip 192.168.10.2  mac 3c:97:0e:13:6b:98  context 0x40080002

Конфиг такой:

context router
interface downlink multibind
  ip address 192.168.10.1/24
  dhcp relay 65534
!
 interface out
  ip address 172.16.10.100/24
 no logging console
!
 subscriber name test1
   ip address 192.168.10.2
   dhcp max-addrs 20
!
 dhcp relay server 172.16.10.141


port ethernet 2/2 
 no shutdown
 medium-type copper
 encapsulation dot1q
 dot1q pvc 1202 encapsulation 1qtunnel 
  dot1q pvc 1202:2003 
   bind subscriber test1@router

Тестировал на SEOS-12.1.1.11-Release и  SEOS-12.1.1.12p12-Release. Если забить на клиенте адрес статикой - то всё работает. Можно ли как-то обойти это ограничение SE100 ?

[ROSS_Black]

Добрый день, подскажите никто не заворачивал трафик на редуктор прямо на Эриксоне SE100? В частности интересует возможность заворота LAGа. Релализуемо ли это?

[отображаемое]

товарищи ученые

есть none-dhcp l3 clips

сабскрайберы заведены локально, работает

но если сабскрайбера нет а он пытается обращаться то после его заведения он всеравно не работает

clear subscriber username не помогает

clear clips counters, reauthorize username, policy-refresh тоже

в логе один раз:

        IPC_ENDPOINT = CLIPSd, MSG_TYPE = DB_RESPONSE, authen response = 2

и больше нет попыток

помогает убрать с интерфейса service clips и снова включить

подскажите пожалуйста: можно эту залипающую авторизацию где-то чистить?

в закрытый форум писал, в rbak-nsp тоже

спасибо

[bDrwx]

On 09.02.2017 at 9:05 AM, pronet said:

Доброго времени суток, не получается настроить SE100 + Lanbilling для работы в качестве PPPoE браса.

 

Из дампа видно, что от NAS приходит Auth-Request, радиус отвечает Access-Accept и затем NAS присылает не Acct-START, а Acct-STOP. и процесс авторизации повторяется. Похоже, что NAS'у что-то не нравится и он не поднимает сессию.

Помогите разобраться. Ситуация сильно похожа на описанную в цитируемом блоке за тем исключением что как только я вывожу биндинг pppoe сессий в отдельный контекст перестает работать авторизация.

 

[local]Redback#debug aaa exception

ничего не отображает.

 

[local]Redback# show subscribers log 

4990    IN      Thu Feb  1 12:16:01.433122
        IPC_ENDPOINT = PPPd, MSG_TYPE = SESSION_DOWN, term_ec = 24
        terminate cause = Authentication failure
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7c, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 1
---------------------------------------------------------
4991    OUT     Thu Feb  1 12:16:01.433131
        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-SUB-SESS-DOWN-CPLT,
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 0, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------
4992    IN      Thu Feb  1 12:16:03.754539
        IPC_ENDPOINT = PPPd, MSG_TYPE = AUTHEN_REQ_2,
        Username = xxx,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------
4993    OUT     Thu Feb  1 12:16:04.217813
        IPC_ENDPOINT = PPPd, MSG_TYPE = DB_RESPONSE, authen response = 2
        Username = xxx,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 40080085,
        Event code = 0
---------------------------------------------------------
4994    IN      Thu Feb  1 12:16:04.239593
        IPC_ENDPOINT = PPPd, MSG_TYPE = SESSION_DOWN, term_ec = 24
        terminate cause = Authentication failure
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 10032a7d, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 1
---------------------------------------------------------
4995    OUT     Thu Feb  1 12:16:04.239601
        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-SUB-SESS-DOWN-CPLT,
        Username = ,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 2/15:511:63:31/1/2/4143
        aaa_idx = 0, extern_handle = 0, pvd_idx = 7fffffff,
        Event code = 0
---------------------------------------------------------

 

 

Мой конфиг:

 

[local]Redback#show configuration
Building configuration...
Current configuration:
!
!  Configuration last changed by user '<NO USER>' at Thu Feb  1 15:23:53 2018
!
!
!
aaa global authentication subscriber radius context local
aaa global accounting subscriber radius context local
aaa last-resort context local
!
!
service multiple-contexts
!
service inter-context routing
!
!
!
 software license
  subscriber active 8000 encrypted 1 $1$HASH
  subscriber bandwidth 60 encrypted 1 $1$HASH
!
!context local
 domain local.context.ru
!
 no ip domain-lookup
!
 interface lnk_to_fw
  ip address 192.168.10.1/30
!
 interface mng
  ip address 172.20.255.165/27
!
 interface radius loopback
  ip address 172.20.254.10/32
   ip source-address radius
!
!
 enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
 aaa authentication administrator local
 aaa accounting subscriber radius
 radius accounting server 10.15.23.21 encrypted-key E3919B89DF3DF70D7E680CB9AD66D872
!
 administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
   privilege max 15
!
 radius server 10.15.23.21 encrypted-key E3919B89DF3DF70D7E680CB9AD66D872
!
 subscriber default
   ppp mtu 1492
   dns primary 8.8.8.8
!
 ip route 10.15.23.0/24 172.20.255.161
!
!
!
context bgp
!
 no ip domain-lookup
!
 interface UPLINK_TMP
  ip address WHITE_ADDR/30
!
 interface UPLINK_TTK
  ip address WHITE_ADDR/30
 no logging console
!
 router bgp ASNUM
!
  neighbor WHITE_ADDR external
    remote-as ASNUB
    send community
    send ext-community
    address-family ipv4 unicast
!
 ip route 0.0.0.0/0 WHITE_ADDR
!
!!
context pppoe
 domain my.domain.ru advertise
!
 no ip domain-lookup
!
 interface pppoe multibind
  ip address WHITE_ADDRESS/28
  ip pool WHITE_POOL/28
 no logging console
!
 aaa authentication administrator local
 aaa authentication subscriber global
!
!
 subscriber default
   ppp mtu 1492
   dns primary 8.8.8.8
!
 ip route 0.0.0.0/0 context bgp
!
!
!
!
!
! ** End Context **
logging tdm console
logging active
logging standby short
!
!
!
 system clock timezone MSK 3 0
!
!
!
port ethernet 1/1
! XCRP management port on slot 1
 no shutdown
 bind interface mng local
!
card carrier 2
 mic 1 ge-2-port
 mic 2 ge-2-port
!
port ethernet 2/1
 auto-negotiate speed 100
 no shutdown
 medium-type copper
 bind interface UPLINK_TMP bgp
!
port ethernet 2/2
 auto-negotiate force enable speed 100
 shutdown
 medium-type copper
!
port ethernet 2/15
 no shutdown
 encapsulation dot1q
 dot1q pvc 100 encapsulation multi
  circuit protocol pppoe
   bind authentication pap chap context pppoe maximum 3000
!
port ethernet 2/16
 shutdown
!
system hostname Redback
system location ZImbabve
!
!
!
 pppoe services marked-domains
 pppoe service-name accept-all
 pppoe tag ac-name *
 pppoe always-send-padt
!
end

 

[velstuff]

Добрый день.

Столкнулся на днях с проблемой на SE600 на одной линейной карте NAT трансляции подошли к 2 млн. (закончились микроблоки).

Решил перенести часть пользовательских вланов на вторую линейную карту. После переноса сессии поднялись, но CGNAT не работает. В логах сообщение : %NAT-3-INT_ERR: work thread: failed to find pairing for binding point on slot 6.

Может кто-нибудь сталкивался с подобной проблемой?

SEOS-12.1.1.12p5-Release.

[dmvy]

возможно на вторую карту нужен свой диапазон ip?

[zstas]

В 03.03.2018 в 19:42, velstuff сказал:

Добрый день.

Столкнулся на днях с проблемой на SE600 на одной линейной карте NAT трансляции подошли к 2 млн. (закончились микроблоки).

Решил перенести часть пользовательских вланов на вторую линейную карту. После переноса сессии поднялись, но CGNAT не работает. В логах сообщение : %NAT-3-INT_ERR: work thread: failed to find pairing for binding point on slot 6.

Может кто-нибудь сталкивался с подобной проблемой?

SEOS-12.1.1.12p5-Release

самое просто решение - ребут.

тогда ваш пул располовинится по картам.

 

там просто поведение дурацкое - в cgnat пуле каждый ип это типа отдельный пул. и карта, на которую биндится саб - должно его натить. и каждая карта имеет свой набор ипов из вашего cgnat пула.
причем забирать они могут ипы, а отдавать нет.

 

есть 2 выхода:

1) ребут

2) сброс всех натовских сабов, удалить нат пул (тогда он уйдет с карт), добавить нат пул

 

ну или да, как заметили выше можно добавить еще адресов в пул, тогда какая-то их часть уйдет на вторую карту.

[velstuff]

Спасибо за советы. Проблему решил. При этом просто ребут никак не помог, а вот добавление ip в пул помогло.

Кстати для быстрого сброса всех трансляций и пользовательских сессий (для перенастройки пула) можно отключить линейную карту (shutdown).

[zstas]

хз, мы всю жизнь просто ребутаем :)

там самое главное после ребута чтобы карта уже в ченеле была и подключения принимала.

[Tornight]

Эриководы, прошу помощи. Имеем SE100, начали проявляться проблемы с сервисами компании гугл. Проявляется у пользователей за НАТом, у реальников проблем нет. Какую-то конкретную закономерность выявить не смогли, рандомно могут не работать ютуб, а жмаил и гугл плей без проблем, бывает у юзера не работает все гугл сервисы. С компа хосты резолвятся, но прежде, чем начнут грузится страницы гугла проходит около 10 секунд, иногда не загружаются вообще. С ДНСами игрались, не помогло. Проблем с другими сайтами абсолютно не наблюдаем. Пробовал запускать вайршарк, по логам гугл перебирает порты ната, но не пробивается, фильтров кроме well-known никаких. Может кто сталкивался? Конфиг НАТ:

ip nat pool NAT_POOL napt paired-mode
  paired-mode subscriber over-subscription 256 port-limit 4096
  address xxx.xxx.xxx.xxx to xxx.xxx.xxx.xxx
   exclude well-known
!
 nat policy NAT_POLICY enhanced
  connections tcp maximum 2000
  connections udp maximum 2000
  connections icmp maximum 10
! Default class
  ignore
  admission-control tcp
  admission-control udp
  admission-control icmp
  endpoint-independent filtering udp
  inbound-refresh udp
  icmp-notification
! Named classes
  access-group NAT-ACL
   class NAT-CL-1
    pool NAT_POOL pppoe
    timeout tcp 180
    timeout udp 60
    timeout fin-reset 60
    timeout icmp 10
    timeout syn 60
    admission-control icmp
    endpoint-independent filtering udp
    inbound-refresh udp
    icmp-notification
   class NO-NAT
    ignore
    inbound-refresh udp
    icmp-notification

Интересная особенность: если в конфиг вставить endpoint-independent filtering tcp, у абонентов отваливается скайп, но гугл сервисы не стартуют все равно. Версия прошивки 12.1.1.12p12-Release. Заранее спасибо.

Edited March 15, 2018 by Tornight

[zstas]

у вас гуголь кэш стоит?

[Tornight]

4 минуты назад, zstas сказал:

у вас гуголь кэш стоит?

временно отключили, тоже связывали проблемы с ним.

[zstas]

у вас наверное маршрутизация до гоголь кэша поломана.

у нас была такая проблема, когда клиенты за одним RR (туда маршрут сетей кэша не попадал) не могли достучаться до гоголь кэша - и соотвественно несколько минут ждали, потом гоголь сам их редиректил на другой кэш.

 

проверьте натовские сети ваши нормально ли маршрутизируются до гоголь кэша и обратно.

[Tornight]

У нас всего один блок /28 адресов для ната, это все одна сеть. Когда выпадает из этого пула абону реальник, тогда все работает.

[Tornight]

Кому интересно. Трафик ни в какую не хотел ходить в подсеть 172.217.х.х, только яндекс ДНС резолвил на другие айпи, на него наш админ и сделал форвард. Костыль, но все же. Почему трафик из одной подсети нормально ходит, а из другой нет, до сих неясно.

[Nightik]

Здравствуйте! Подскажите пожалуйста где найти документацию на SmarEdge 1200, или может есть кого нибудь скиньте пожалуйста.Спасибо