BackUP Опубликовано 27 августа, 2013 · Жалоба Кто нибудь сталкивался с реализацией функционала PPPoE/IPoE на данном железе? Поделитесь опытом пожалуйста. Какова реальная производительность, есть ли смысл рассматривать данные железки в качестве BRAS? Попытался накопать хоть какую-нибудь внятную информацию по настройкам PPPoE и IPoE, как то совсем все грустно, никакой внятной информации найти не удалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 27 августа, 2013 · Жалоба Производительность зависит от набивки. На реальных тестах 40G FullDuplex (64к ipoe или 64k pppoe) гоняли, проблем не наблюдалось. Есть фукнционал srrp, позволяет сделать резерв для IPOE абонентов без обрыва связи. NAT, вроде, из коробки не умеет, но есть специальная карточка, которая может докучи и DPI функционал обеспечить. Документация называется 7750 SR OS Triple Play Guide, там написано как настраивать. Аккаунтинг либо в радиус, либо в текстовые файлы на флешке. Есть возможность динамически изменять атрибуты приходящие от радиуса, т.к. в маршрутизатор встроен Python интерпретатор, бывает полезно когда зоопарк BNG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BackUP Опубликовано 28 августа, 2013 · Жалоба Производительность зависит от набивки. На реальных тестах 40G FullDuplex (64к ipoe или 64k pppoe) гоняли, проблем не наблюдалось. Есть фукнционал srrp, позволяет сделать резерв для IPOE абонентов без обрыва связи. NAT, вроде, из коробки не умеет, но есть специальная карточка, которая может докучи и DPI функционал обеспечить. Документация называется 7750 SR OS Triple Play Guide, там написано как настраивать. Аккаунтинг либо в радиус, либо в текстовые файлы на флешке. Есть возможность динамически изменять атрибуты приходящие от радиуса, т.к. в маршрутизатор встроен Python интерпретатор, бывает полезно когда зоопарк BNG. Спасибо за ответ. Документ просмотрел, после остальных платформ чувствую, что понять идеологию Алкателя будет не совсем просто, правильно ли я понимаю, что в терминах Alcatel IPOE это IES? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sio Опубликовано 29 августа, 2013 · Жалоба Спасибо за ответ. Документ просмотрел, после остальных платформ чувствую, что понять идеологию Алкателя будет не совсем просто, правильно ли я понимаю, что в терминах Alcatel IPOE это IES? Internet Enhanced Service (IES) - L3 сервис, таблица маршрутизации которого совпадает с глобальной таблицей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 29 августа, 2013 (изменено) · Жалоба Кто нибудь сталкивался с реализацией функционала PPPoE/IPoE на данном железе? Поделитесь опытом пожалуйста. Какова реальная производительность, есть ли смысл рассматривать данные железки в качестве BRAS? Попытался накопать хоть какую-нибудь внятную информацию по настройкам PPPoE и IPoE, как то совсем все грустно, никакой внятной информации найти не удалось. Могу ответить на конкретные опросы по платформе. Опишите задачу. Сейчас максимально на шасси 128К подписчиков (200К хостов) - можно в миксе IPoE/PPPoE. 64К на линейную карту (IOM/IMM), I/O карты - 50 или 100 гигов (всё работает на wire speed) Документация доступна, но для примеров неплохо посмотреть Advanced Configuration Guide v3. Изменено 30 августа, 2013 пользователем JoeDoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BackUP Опубликовано 20 сентября, 2013 (изменено) · Жалоба Спасибо всем большое за советы. Покрутил железку, в целом пока впечатления достаточно приятные, но есть ряд вопросов, на которые не удалось найти ответа. В настоящий момент тестирую схему с терминирование IPOE абонентов через MSAP и есть несколько вопросов. 1) Каким образом можно реализовать схему с HTTP редиректом? Суть следующая, необходимо чтобы неавторизованных клиентов перенаправляло на портал авторизации на котором бы они могли ввести свои credentials для доступа, а клиентов с отрицательным балансом отправляло на страницу с уведомлением о блокировки акаунта. Как мне подсказывает логика то для реализации данной схемы мне необходимо первых абонентов создать некий инстанс (SAP или MSAP) c определенным sla-profile и данных абонентов отправлять туда, но вот каким методом их туда отправить не ясно. Для второго случая, я так понимаю, что при отрицательном балансе абоненту должен по CoA или в access-acepte назначаться дополнительный ip-filter с редиректом в VSA атрибуте Alc-Subscriber-Filter, но не понятен синтаксис данного атрибута. Может кто нибудь подсказать? 2) В процессе тестирования HTTP редиректа на MSAP, не получается достигнуть редиректа, вроде бы делал все по гайду, но что то видимо не так. Настройки фильтра ip-filter 10 create entry 10 create match protocol udp dst-port eq 53 exit action forward exit entry 20 create match protocol tcp dst-ip 188.254.58.117/32 exit action forward exit entry 30 create match protocol icmp exit action forward exit entry 40 create match protocol tcp dst-port eq 80 exit action http-redirect "http://nag.ru" exit exit [b]Настройки service ies 100[/b] subscriber-interface "sub-int-1" create address 172.20.1.1/24 dhcp gi-address 172.20.1.1 exit group-interface "group-int-1" create dhcp server 192.168.10.1 trusted lease-populate 10 no shutdown exit authentication-policy "radius-1" oper-up-while-empty exit exit no shutdown [b]Настройки MSAP[/b] description "VPLS for Capture SAPs" stp shutdown exit sap 1/1/2:* capture-sap create description "capture SAP for MSAP creation on port 1/1/2" trigger-packet arp dhcp msap-defaults policy "msap-default" exit authentication-policy "radius-1" exit no shutdown [b]Sla-profile который назначается абоненту через радиус[/b] sla-profile "sla-profile-2M" create ingress qos 50 shared-queuing exit ip-filter 10 exit egress qos 50 exit no qos-marking-from-sap exit exit [b]Статистика по абоненту[/b] A:BNG# show service id 100 subscriber-hosts detail ============================================================= Subscriber Host table ============================================================= Sap Subscriber IP Address MAC Address PPPoE-SID Origin Fwding State ------------------------------------------------------------- [1/1/2:50] 00:0e:35:6b:76:50 172.20.1.200 00:0e:35:6b:76:50 N/A DHCP Fwding ------------------------------------------------------------- Subscriber-interface : sub-int-1 Group-interface : group-int-1 Sub Profile : sub-profile-default SLA Profile : sla-profile-2M App Profile : N/A Egress Q-Group : N/A Egress Vport : N/A Acct-Session-Id : 0F728A00000073523C1274 Acct-Q-Inst-Session-Id: 0F728A00000074523C1274 Address Origin : DHCP OT HTTP Rdr IP-FltrId : N/A OT HTTP Rdr Status : N/A OT HTTP Rdr Fltr Src : N/A ------------------------------------------------------------- Number of subscriber hosts : 1 ============================================================= [ При этом фильтр отрабатывает, доступ по icmp есть, доступ на сайт есть, но вот никуда ничего не редиректиться :( Возможно я что то упускаю и делаю не так, просьба подсказать. Изменено 20 сентября, 2013 пользователем BackUP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 20 сентября, 2013 · Жалоба попробуйте заменить цитаты code и сохранятся табы и пробелы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BackUP Опубликовано 20 сентября, 2013 · Жалоба попробуйте заменить цитаты code и сохранятся табы и пробелы Спасибо, поправил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 22 сентября, 2013 · Жалоба 1) Каким образом можно реализовать схему с HTTP редиректом? Суть следующая, необходимо чтобы неавторизованных клиентов перенаправляло на портал авторизации на котором бы они могли ввести свои credentials для доступа, а клиентов с отрицательным балансом отправляло на страницу с уведомлением о блокировки акаунта. Как мне подсказывает логика то для реализации данной схемы мне необходимо первых абонентов создать некий инстанс (SAP или MSAP) c определенным sla-profile и данных абонентов отправлять туда, но вот каким методом их туда отправить не ясно. Для второго случая, я так понимаю, что при отрицательном балансе абоненту должен по CoA или в access-acepte назначаться дополнительный ip-filter с редиректом в VSA атрибуте Alc-Subscriber-Filter, но не понятен синтаксис данного атрибута. Может кто нибудь подсказать? 2) В процессе тестирования HTTP редиректа на MSAP, не получается достигнуть редиректа, вроде бы делал все по гайду, но что то видимо не так. ... При этом фильтр отрабатывает, доступ по icmp есть, доступ на сайт есть, но вот никуда ничего не редиректиться :( Возможно я что то упускаю и делаю не так, просьба подсказать. Для разных http-redirect-ов используйте разные профили и меняйте их через CoA. Alc-Subscriber-Filter тут не поможет - через него нельзя передавать action http-redirect. Для проверки ваших фильтров поставьте log в entry - увидите достигает ли его. Также проверьте, что нет entry в cpm-filter срезающей HTTP SYN. Ну и главное: http-redirect не работает на SR1/ESS1 и разных там 7710. Плюс, пишите всегда версию софта и модель рутера, а то сложно советы давать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skliffi Опубликовано 21 июня, 2016 (изменено) · Жалоба Подскажите пожалуйста, не удаётся достигнуть редиректа в схеме IPoE. Железка 7750SRc12, софт 12.0.R9 Схема такая - все клиенты приходят в одном VLAN в VPRN интерфейс, на subscriber-interface висит group-interface с SAP, где уже висит дефолтный sla-profile, в котором Ingress ACL с переадресацией. Необходимо всех клиентов принимать на один интерфейс, давать им адреса с локального DHCP сервера коробки, натить и пускать в интернет после авторизации на веб-портале. ACL планируется перевешивать через RADIUS, начальная авторизация с SAP проходит, вендор-специфики отдают нужные sub и sla-profile. Работает всё кроме переадресации - причём я вижу в счетчиках profile что есть совпадение с entry переаднресации, но фактически её нет. В логе acl запись срабатывания с Action: Forward - это нормально? Есть ещё подозрение, может внутри VPRN не работает данная фича без каких-то доп шаманств? ip-filter 100 create description "redirect" entry 10 create match protocol udp dst-port eq 53 exit action nat nat-policy "users-nat-policy" exit entry 20 create match protocol tcp dst-ip 1.1.1.1/32 dst-port eq 80 exit log 101 action nat nat-policy "users-nat-policy" exit entry 21 create match protocol tcp dst-ip 1.1.1.1/32 dst-port eq 443 exit log 101 action nat nat-policy "users-nat-policy" exit entry 30 create match protocol tcp dst-port eq 80 exit log 101 action http-redirect "https://portal" exit exit sla-profile "sla-profile-1" create description "redirect-sla-prof" ingress ip-filter 100 exit exit sub-profile "sub-profile-1" create exit sub-ident-policy "sub-ident-1" create sub-profile-map use-direct-map-as-default exit sla-profile-map use-direct-map-as-default exit exit subscriber-interface "free-users" create address 172.23.128.1/17 group-interface "free-users-gr" create dhcp server 172.32.30.1 trusted lease-populate 32000 gi-address 172.23.128.1 no shutdown exit authentication-policy "portal" oper-up-while-empty sap 1/1/1:128 create sub-sla-mgmt def-sub-id use-auto-id def-sub-profile "sub-profile-1" def-sla-profile "sla-profile-1" sub-ident-policy "sub-ident-1" multi-sub-sap 32000 no shutdown exit exit exit Изменено 21 июня, 2016 пользователем skliffi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skliffi Опубликовано 24 июня, 2016 · Жалоба Разобрались! Огромное спасибо гуру Alu Роману. Хитрость в том, что обязательно нужно прописать IP на system interface роутера, иначе переадресация работать не будет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 26 июня, 2016 · Жалоба Разобрались! Огромное спасибо гуру Alu Роману. Хитрость в том, что обязательно нужно прописать IP на system interface роутера, иначе переадресация работать не будет Только странно, почему он меня с утра по-раньше про AA redirect пытал. Или я со сна не въехал. c12 точно поминал. П.С. Кстати я не вижу arp-populate на вашем group-interface. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skliffi Опубликовано 27 июня, 2016 (изменено) · Жалоба П.С. Кстати я не вижу arp-populate на вашем group-interface. спасибо, добавил. В итоге сейчас конфиг переделан под capture-sap в VPLS, и у меня вопрос - там же не будет никаких лимитов по максимальному числу клиентов в одном VLAN? Т.е. если 5-10 тысяч допустим придёт, он им всем создаст subscriber'a в VPRN? Катастрофически не успеваю все маны перечитать, приходится спрашивать vpls 10 customer 1 create stp shutdown exit sap 1/1/1:* capture-sap create trigger-packet dhcp msap-defaults group-interface "free-users-gr" policy "policy" service 128 exit authentication-policy "portal" exit no shutdown exit vprn 128 customer 1 create subscriber-interface "free-users" create allow-unmatching-subnets address 172.23.128.1/17 group-interface "free-users-gr" create dhcp server 172.32.30.1 trusted lease-populate 32000 gi-address 172.23.128.1 no shutdown exit authentication-policy "portal" oper-up-while-empty exit exit Изменено 27 июня, 2016 пользователем skliffi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skliffi Опубликовано 30 июня, 2016 (изменено) · Жалоба Собсно дальше встаёт вопрос, как сделать чтобы это были разные subscriber, в текущем конфиге все абоненты получаются как один subscriber. И не дропаются после того как отключились из сети Изменено 30 июня, 2016 пользователем skliffi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 30 июня, 2016 · Жалоба Вам не надо читать всю документацию - достаточно посмотреть Advanced Configuration Guide. В вашем случае - глава Managed SAPs with Routed CO. Получите её в приват. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...