[no0okie]

Здравствуйте. Взяли SE100 на тест, не могу разобраться с простейшей схемой работы по PPPoE.

eth 1/1 подключен к серверу (интерфейс mgmt)

eth 2/1 подключен к вышестоящему маршрутизатору (интерфейс uplink)

eth 2/2 подключен к тестовому абоненту (интерфейс pppoe)

 

При подключении абонента test нет доступа в интернет, пингуется только 10.128.0.1

С самого SE100 пингуется все. Помогите, что я делаю не так?

 

Вырезки из конфигурации:

!
aaa last-resort context local 
!
no service multiple-contexts
!
!
context local
domain domain advertise
! 
no ip domain-lookup
!
ip nat pool nat-pool napt multibind
 address 192.168.0.200/32 port-block 1 to 15
!
nat policy nat-policy
 connections tcp maximum 2000
 connections udp maximum 2000
 connections icmp maximum 20
! Default class
 pool nat-pool local
 icmp-notification
!
interface mgmt
 description management
 ip address 192.168.1.1/24
!
interface pppoe multibind
 ip address 10.128.0.1/24
!
interface uplink
 ip address 192.168.0.200/24
no logging console
!
policy access-list acl-in
 seq 10 permit ip any 10.128.0.0 0.0.255.255 class cls-local
 seq 20 permit ip any any class cls-inet
!
policy access-list acl-out
 seq 10 permit ip 10.128.0.0 0.0.255.255 any class cls-local
 seq 20 permit ip any any class cls-inet
!
!
subscriber default
  qos policy policing default-in
  qos policy metering default-out
  nat policy-name nat-policy
  dhcp max-addrs 50
  ip interface name pppoe
  ppp mtu 1492
  dns primary 8.8.8.8
  dns secondary 8.8.4.4
!
subscriber name test
  password test
  ip address 10.128.0.10
!
ip route 0.0.0.0/0 192.168.0.1
service ssh server
!
! ** End Context **
!
qos policy default-in policing 
ip access-group acl-in local
 class cls-local
  rate 50000 burst 6250000
 class cls-inet
  rate 64 burst 8000
rate-calculation exclude layer-2-overhead
!
qos policy default-out metering 
ip access-group acl-out local
 class cls-local
  rate 50000 burst 6250000
 class cls-inet
  rate 64 burst 8000
rate-calculation exclude layer-2-overhead
!
!
port ethernet 1/1 
! XCRP management port on slot 1
no shutdown
bind interface mgmt local
!
port ethernet 2/1 
no shutdown
bind interface uplink local
!
port ethernet 2/2 
no shutdown
encapsulation pppoe
bind authentication chap pap context local maximum 8000
!
pppoe services marked-domains
pppoe service-name accept-all
pppoe tag ac-name RET
!

Изменено 29 октября, 2013 пользователем no0okie

[zstas]

а маршрутизация в обратную сторону настроена? статика?

[no0okie]

а маршрутизация в обратную сторону настроена? статика?

Все что настроено из маршрутизации: ip route 0.0.0.0/0 192.168.0.1

мне казалось этого достаточно, нет?

[zstas]

а, вижу, вы натите в тот же ип, который у вас на интерфейсе uplink

покажите show subs act

[no0okie]

а, вижу, вы натите в тот же ип, который у вас на интерфейсе uplink

покажите show subs act

#show subs act
test
       Session state Up
       Circuit   2/2 pppoe 14
       Internal Circuit   2/2:511:63:31/6/2/14
       Interface bound  pppoe
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 10.128.0.10 (applied)
       ip interface pppoe (applied from sub_default)
       ppp mtu 1492 (applied from sub_default)
       dns primary 8.8.8.8 (applied from sub_default)
       dns secondary 8.8.4.4 (applied from sub_default)
       qos-policing-policy default-in (applied from sub_default)
       qos-metering-policy default-out (applied from sub_default)

 

Видимо это последнее мое сообщение на сегодня(

[zstas]

nat policy не применился

 

надо наверное смотреть

debug subscriber username test

[vurd]

>а, вижу, вы натите в тот же ип, который у вас на интерфейсе uplink

 

Так делать нельзя, нужно брать другую подсеть, не находящуюся на интерфейсах. Это ограничение.

[config]

>а, вижу, вы натите в тот же ип, который у вас на интерфейсе uplink

 

Так делать нельзя, нужно брать другую подсеть, не находящуюся на интерфейсах. Это ограничение.

 

Подправлю если позволите, нельзя брать тот-же IP. Сеть может быть одна.

[no0okie]

>а, вижу, вы натите в тот же ип, который у вас на интерфейсе uplink

 

Так делать нельзя, нужно брать другую подсеть, не находящуюся на интерфейсах. Это ограничение.

 

Подправлю если позволите, нельзя брать тот-же IP. Сеть может быть одна.

 

Переделал на следующую конфигурацию, результат тот же - пингуются все интерфейсы маршрутизатора, компьютер стоящий за mgmt, но в вышестоящую сеть пакеты не проходят:

!
ip nat pool nat-pool napt multibind
 address 91.x.y.3/32 port-block 1 to 15
!
nat policy nat-policy
 connections tcp maximum 2000
 connections udp maximum 2000
 connections icmp maximum 20
! Default class
 pool nat-pool local
 icmp-notification
!
interface uplink
 ip address 91.x.y.2/24
no logging console
!
subscriber default
  qos policy policing default-in
  qos policy metering default-out
  nat policy-name nat-policy
  dhcp max-addrs 50
  ip interface name pppoe
  ppp mtu 1492
  dns primary 8.8.8.8
  dns secondary 8.8.4.4
!
subscriber name test
  password test
  ip address 10.128.0.10/24
!
ip route 0.0.0.0/0 91.x.y.1
!

 

Результат show subs act:

test
       Session state Up
       Circuit   2/2 pppoe 3
       Internal Circuit   2/2:511:63:31/6/2/3
       Interface bound  pppoe
       Current port-limit unlimited
       Protocol Stack IPV4
       ip address 10.128.0.10 (applied)
       ip interface pppoe (applied from sub_default)
       ppp mtu 1492 (applied from sub_default)
       dns primary 8.8.8.8 (applied from sub_default)
       dns secondary 8.8.4.4 (applied from sub_default)
       qos-policing-policy default-in (applied from sub_default)
       qos-metering-policy default-out (applied from sub_default)
       nat policy-name nat-policy (applied from sub_default)

 

Результат sh card all nat pool det:

Slot 2 Ingress:
NAPT pool grid 0x00000005, ctx 0x40080001,   vers 1, num records 2
 Translations: all 8192, alloc 6656, unassign 6592, excluded 0
               static 0 del 0
 Class reference counter: 1
 Logging profile1 address:   0x00000000   grid: 0
 Logging profile2 address:   0x00000000   grid: 0
 Pool address:               0x70165e80
 First Unassign translation: 0x506bb380
 First Delete translation:   00000000
 Ctx feat blk:
     ret hash nat 0x0 napt 0xf06d26c0
     out hash nat 0xd06edb00 napt 0xd06f1b20
Record table:
 Start IP addr    Port:start/stop    All/Alloc/Excl   Mask addr  Size Vers
                  Excl:from/to
 91.197.190.12        04096/08191   4096  4096     0  0xd00786a0     4   1
                      00000/00000  00000/00000  00000/00000  00000/00000
 91.197.190.12        08192/12287   4096  2560     0  0xf01558c0     4   1
                      00000/00000  00000/00000  00000/00000  00000/00000

[config]

Думаю аплинковая коробка не знает арпа для вашего хоста, .3/32 , так как данная сеть к нему directly а редбек не отвечает арпом на nat адреса.

Одним словом созидайте арп запись для своего .3/32.

[no0okie]

Думаю аплинковая коробка не знает арпа для вашего хоста, .3/32 , так как данная сеть к нему directly а редбек не отвечает арпом на nat адреса.

Одним словом созидайте арп запись для своего .3/32.

 

Спасибо! Записи "ip arp 91.x.y.3 MAC alias" хватило) Странно что не увидел это ни в одном из множества примеров по сети

[no0okie]

Новый вопрос)

 

!
subscriber profile profile-10m
  qos policy policing 10m-in
  qos policy metering 10m-out
!
subscriber name test
  password test
  ip address 10.128.0.10/24
  profile profile-10m
!
qos policy 10m-in policing
ip access-group acl-in local
 class cls-local
  rate 50000 burst 6250000
 class cls-inet
  rate 10000 burst 1250000
rate-calculation exclude layer-2-overhead
!
qos policy 10m-out metering
ip access-group acl-out local
 class cls-local
  rate 50000 burst 6250000
 class cls-inet
  rate 10000 burst 1250000
rate-calculation exclude layer-2-overhead
!

При этих настройках speedtest.net показывает не более 1 Мбит/с входящей и 16 Мбит/с исходящей скорости. Опять где то что то пропустил?)

[config]

А где классы ваши и как burst считаете?

[no0okie]

А где классы ваши и как burst считаете?

 

!
policy access-list acl-in
 seq 10 permit ip any 10.128.0.0 0.0.255.255 class cls-local
 seq 20 permit ip any any class cls-inet
!
policy access-list acl-out
 seq 10 permit ip 10.128.0.0 0.0.255.255 any class cls-local
 seq 20 permit ip any any class cls-inet
!

 

burst = rate(byte) * k/8,

при k= 1 - 1,5

для excess-burst k = 2

 

rate 10000 burst 1875000 excess-burst 3750000 

ping 22 скорость входящая 0,99 Мбит/с, исходящая 25,87 Мбит/с

 

rate 10000 burst 1875000 excess-burst 3750000 

ping 22 скорость входящая 0,93 Мбит/с, исходящая 24,8 Мбит/с

 

rate 10000 burst 1250000

ping 22 скорость входящая 1,06 Мбит/с, исходящая 23,79 Мбит/с