Перейти к содержимому
Калькуляторы

Acatel SR7750 IPoE/PPPoE

Кто нибудь сталкивался с реализацией функционала PPPoE/IPoE на данном железе? Поделитесь опытом пожалуйста. Какова реальная производительность, есть ли смысл рассматривать данные железки в качестве BRAS? Попытался накопать хоть какую-нибудь внятную информацию по настройкам PPPoE и IPoE, как то совсем все грустно, никакой внятной информации найти не удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Производительность зависит от набивки. На реальных тестах 40G FullDuplex (64к ipoe или 64k pppoe) гоняли, проблем не наблюдалось.

Есть фукнционал srrp, позволяет сделать резерв для IPOE абонентов без обрыва связи.

NAT, вроде, из коробки не умеет, но есть специальная карточка, которая может докучи и DPI функционал обеспечить.

Документация называется 7750 SR OS Triple Play Guide, там написано как настраивать.

Аккаунтинг либо в радиус, либо в текстовые файлы на флешке.

Есть возможность динамически изменять атрибуты приходящие от радиуса, т.к. в маршрутизатор встроен Python интерпретатор, бывает полезно когда зоопарк BNG.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Производительность зависит от набивки. На реальных тестах 40G FullDuplex (64к ipoe или 64k pppoe) гоняли, проблем не наблюдалось.

Есть фукнционал srrp, позволяет сделать резерв для IPOE абонентов без обрыва связи.

NAT, вроде, из коробки не умеет, но есть специальная карточка, которая может докучи и DPI функционал обеспечить.

Документация называется 7750 SR OS Triple Play Guide, там написано как настраивать.

Аккаунтинг либо в радиус, либо в текстовые файлы на флешке.

Есть возможность динамически изменять атрибуты приходящие от радиуса, т.к. в маршрутизатор встроен Python интерпретатор, бывает полезно когда зоопарк BNG.

 

Спасибо за ответ. Документ просмотрел, после остальных платформ чувствую, что понять идеологию Алкателя будет не совсем просто, правильно ли я понимаю, что в терминах Alcatel IPOE это IES?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответ. Документ просмотрел, после остальных платформ чувствую, что понять идеологию Алкателя будет не совсем просто, правильно ли я понимаю, что в терминах Alcatel IPOE это IES?

Internet Enhanced Service (IES) - L3 сервис, таблица маршрутизации которого совпадает с глобальной таблицей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь сталкивался с реализацией функционала PPPoE/IPoE на данном железе? Поделитесь опытом пожалуйста. Какова реальная производительность, есть ли смысл рассматривать данные железки в качестве BRAS? Попытался накопать хоть какую-нибудь внятную информацию по настройкам PPPoE и IPoE, как то совсем все грустно, никакой внятной информации найти не удалось.

Могу ответить на конкретные опросы по платформе. Опишите задачу.

Сейчас максимально на шасси 128К подписчиков (200К хостов) - можно в миксе IPoE/PPPoE. 64К на линейную карту (IOM/IMM), I/O карты - 50 или 100 гигов (всё работает на wire speed)

Документация доступна, но для примеров неплохо посмотреть Advanced Configuration Guide v3.

Изменено пользователем JoeDoe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем большое за советы. Покрутил железку, в целом пока впечатления достаточно приятные, но есть ряд вопросов, на которые не удалось найти ответа.

В настоящий момент тестирую схему с терминирование IPOE абонентов через MSAP и есть несколько вопросов.

1) Каким образом можно реализовать схему с HTTP редиректом? Суть следующая, необходимо чтобы неавторизованных клиентов перенаправляло на портал авторизации на котором бы они могли ввести свои credentials для доступа, а клиентов с отрицательным балансом отправляло на страницу с уведомлением о блокировки акаунта. Как мне подсказывает логика то для реализации данной схемы мне необходимо первых абонентов создать некий инстанс (SAP или MSAP) c определенным sla-profile и данных абонентов отправлять туда, но вот каким методом их туда отправить не ясно. Для второго случая, я так понимаю, что при отрицательном балансе абоненту должен по CoA или в access-acepte назначаться дополнительный ip-filter с редиректом в VSA атрибуте Alc-Subscriber-Filter, но не понятен синтаксис данного атрибута. Может кто нибудь подсказать?

2) В процессе тестирования HTTP редиректа на MSAP, не получается достигнуть редиректа, вроде бы делал все по гайду, но что то видимо не так.

Настройки фильтра

 

ip-filter 10 create
           entry 10 create
               match protocol udp
                   dst-port eq 53
               exit 
               action forward
           exit 
           entry 20 create
               match protocol tcp
                   dst-ip 188.254.58.117/32
               exit 
               action forward
           exit 
           entry 30 create
               match protocol icmp
               exit 
               action forward
           exit 
           entry 40 create
               match protocol tcp
                   dst-port eq 80
               exit 
               action http-redirect "http://nag.ru"
           exit 
       exit 

[b]Настройки service ies 100[/b]

subscriber-interface "sub-int-1" create
               address 172.20.1.1/24
               dhcp
                   gi-address 172.20.1.1
               exit
               group-interface "group-int-1" create
                   dhcp
                       server 192.168.10.1 
                       trusted
                       lease-populate 10
                       no shutdown
                   exit
                   authentication-policy "radius-1"
                   oper-up-while-empty
               exit
           exit
           no shutdown
[b]Настройки MSAP[/b]
description "VPLS for Capture SAPs"
           stp
               shutdown
           exit
           sap 1/1/2:* capture-sap create
               description "capture SAP for MSAP creation on port 1/1/2"
               trigger-packet arp dhcp
               msap-defaults
                   policy "msap-default"
               exit
               authentication-policy "radius-1"
           exit
           no shutdown

[b]Sla-profile который назначается абоненту  через радиус[/b]

 sla-profile "sla-profile-2M" create
           ingress
               qos 50 shared-queuing
               exit
               ip-filter 10
           exit
           egress
               qos 50 
               exit
               no qos-marking-from-sap
           exit
       exit


[b]Статистика по абоненту[/b]
A:BNG# show service id 100 subscriber-hosts detail 

=============================================================
Subscriber Host table
=============================================================
Sap                    Subscriber                
 IP Address                                     
   MAC Address          PPPoE-SID Origin       Fwding State
-------------------------------------------------------------
[1/1/2:50]             00:0e:35:6b:76:50
 172.20.1.200
   00:0e:35:6b:76:50    N/A       DHCP         Fwding
-------------------------------------------------------------
Subscriber-interface  : sub-int-1
Group-interface       : group-int-1
Sub Profile           : sub-profile-default
SLA Profile           : sla-profile-2M
App Profile           : N/A
Egress Q-Group        : N/A
Egress Vport          : N/A
Acct-Session-Id       : 0F728A00000073523C1274
Acct-Q-Inst-Session-Id: 0F728A00000074523C1274
Address Origin        : DHCP
OT HTTP Rdr IP-FltrId : N/A
OT HTTP Rdr Status    : N/A
OT HTTP Rdr Fltr Src  : N/A
-------------------------------------------------------------
Number of subscriber hosts : 1
=============================================================
[

При этом фильтр отрабатывает, доступ по icmp есть, доступ на сайт есть, но вот никуда ничего не редиректиться :(

 

Возможно я что то упускаю и делаю не так, просьба подсказать.

Изменено пользователем BackUP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте заменить цитаты code и сохранятся табы и пробелы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте заменить цитаты code и сохранятся табы и пробелы

 

Спасибо, поправил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Каким образом можно реализовать схему с HTTP редиректом? Суть следующая, необходимо чтобы неавторизованных клиентов перенаправляло на портал авторизации на котором бы они могли ввести свои credentials для доступа, а клиентов с отрицательным балансом отправляло на страницу с уведомлением о блокировки акаунта. Как мне подсказывает логика то для реализации данной схемы мне необходимо первых абонентов создать некий инстанс (SAP или MSAP) c определенным sla-profile и данных абонентов отправлять туда, но вот каким методом их туда отправить не ясно. Для второго случая, я так понимаю, что при отрицательном балансе абоненту должен по CoA или в access-acepte назначаться дополнительный ip-filter с редиректом в VSA атрибуте Alc-Subscriber-Filter, но не понятен синтаксис данного атрибута. Может кто нибудь подсказать?

2) В процессе тестирования HTTP редиректа на MSAP, не получается достигнуть редиректа, вроде бы делал все по гайду, но что то видимо не так.

...

При этом фильтр отрабатывает, доступ по icmp есть, доступ на сайт есть, но вот никуда ничего не редиректиться :(

 

Возможно я что то упускаю и делаю не так, просьба подсказать.

Для разных http-redirect-ов используйте разные профили и меняйте их через CoA. Alc-Subscriber-Filter тут не поможет - через него нельзя передавать action http-redirect. Для проверки ваших фильтров поставьте log в entry - увидите достигает ли его. Также проверьте, что нет entry в cpm-filter срезающей HTTP SYN. Ну и главное: http-redirect не работает на SR1/ESS1 и разных там 7710. Плюс, пишите всегда версию софта и модель рутера, а то сложно советы давать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста, не удаётся достигнуть редиректа в схеме IPoE.

Железка 7750SRc12, софт 12.0.R9

Схема такая - все клиенты приходят в одном VLAN в VPRN интерфейс, на subscriber-interface висит group-interface с SAP, где уже висит дефолтный sla-profile, в котором Ingress ACL с переадресацией.

Необходимо всех клиентов принимать на один интерфейс, давать им адреса с локального DHCP сервера коробки, натить и пускать в интернет после авторизации на веб-портале.

ACL планируется перевешивать через RADIUS, начальная авторизация с SAP проходит, вендор-специфики отдают нужные sub и sla-profile.

Работает всё кроме переадресации - причём я вижу в счетчиках profile что есть совпадение с entry переаднресации, но фактически её нет.

В логе acl запись срабатывания с Action: Forward - это нормально?

Есть ещё подозрение, может внутри VPRN не работает данная фича без каких-то доп шаманств?

 

ip-filter 100 create
           description "redirect" 
           entry 10 create
               match protocol udp
                   dst-port eq 53
               exit 
           action nat nat-policy "users-nat-policy"
           exit                      
           entry 20 create
               match protocol tcp
                   dst-ip 1.1.1.1/32
                   dst-port eq 80
               exit 
               log 101
           action nat nat-policy "users-nat-policy"
           exit 
           entry 21 create
               match protocol tcp
                   dst-ip 1.1.1.1/32
                   dst-port eq 443
               exit 
               log 101
           action nat nat-policy "users-nat-policy"
           exit 
           entry 30 create
               match protocol tcp
                   dst-port eq 80
               exit 
               log 101
               action http-redirect "https://portal"
           exit 
       exit      

sla-profile "sla-profile-1" create
           description "redirect-sla-prof"
           ingress
               ip-filter 100
           exit
       exit
       sub-profile "sub-profile-1" create
       exit
       sub-ident-policy "sub-ident-1" create
           sub-profile-map
               use-direct-map-as-default
           exit
           sla-profile-map
               use-direct-map-as-default
           exit
       exit                        

subscriber-interface "free-users" create
               address 172.23.128.1/17
               group-interface "free-users-gr" create
                   dhcp
                       server 172.32.30.1 
                       trusted
                       lease-populate 32000
                       gi-address 172.23.128.1
                       no shutdown
                   exit
                   authentication-policy "portal"
                   oper-up-while-empty
                   sap 1/1/1:128 create
                       sub-sla-mgmt
                           def-sub-id use-auto-id
                           def-sub-profile "sub-profile-1"
                           def-sla-profile "sla-profile-1"
                           sub-ident-policy "sub-ident-1"
                           multi-sub-sap 32000
                           no shutdown
                       exit
                   exit
               exit                

Изменено пользователем skliffi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разобрались!

Огромное спасибо гуру Alu Роману.

Хитрость в том, что обязательно нужно прописать IP на system interface роутера, иначе переадресация работать не будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разобрались!

Огромное спасибо гуру Alu Роману.

Хитрость в том, что обязательно нужно прописать IP на system interface роутера, иначе переадресация работать не будет

Только странно, почему он меня с утра по-раньше про AA redirect пытал.

Или я со сна не въехал.

c12 точно поминал.

 

П.С. Кстати я не вижу arp-populate на вашем group-interface.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

П.С. Кстати я не вижу arp-populate на вашем group-interface.

 

спасибо, добавил.

В итоге сейчас конфиг переделан под capture-sap в VPLS, и у меня вопрос - там же не будет никаких лимитов по максимальному числу клиентов в одном VLAN? Т.е. если 5-10 тысяч допустим придёт, он им всем создаст subscriber'a в VPRN?

Катастрофически не успеваю все маны перечитать, приходится спрашивать

vpls 10 customer 1 create
           stp
               shutdown
           exit
           sap 1/1/1:* capture-sap create
               trigger-packet dhcp
               msap-defaults
                   group-interface "free-users-gr"
                   policy "policy"
                   service 128
               exit
               authentication-policy "portal"
           exit
           no shutdown
       exit
vprn 128 customer 1 create
subscriber-interface "free-users" create
               allow-unmatching-subnets
               address 172.23.128.1/17
               group-interface "free-users-gr" create
                   dhcp
                       server 172.32.30.1 
                       trusted
                       lease-populate 32000
                       gi-address 172.23.128.1
                       no shutdown
                   exit
                   authentication-policy "portal"
                   oper-up-while-empty
               exit
           exit

Изменено пользователем skliffi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собсно дальше встаёт вопрос, как сделать чтобы это были разные subscriber, в текущем конфиге все абоненты получаются как один subscriber.

И не дропаются после того как отключились из сети

Изменено пользователем skliffi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам не надо читать всю документацию - достаточно посмотреть Advanced Configuration Guide.

В вашем случае - глава Managed SAPs with Routed CO.

Получите её в приват.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.