Dushes Опубликовано 11 января, 2014 · Жалоба Здравствуйте, купили SE100 по рекомендации НАГ, ну значит воткнули в стойку, настроили доступ к нему через mnt порт, хочется сделать простые до безумия вещи как нам раньше казалось 1) поднять агрегацию с cisco 6500 на 6ть портов по LACP в одну группу, я так понимаю по другому протоколу с se100 агрегацию и не сделать 2) поднять 3 штуки interface vlan (в терминологии cisco), все эти три интерфейса в разных vlan прицепить к этой LACP группе 3) повешать на каждый из interface vlan по ip адресу (один смотрит на шлюз за которым абоненты, другие два смотрит на каждого из аплинков) 4) поднять две BGP сессий на каждый из аплинков 5) поднять NAT что бы натил клиентов которым не хватило адресов белых 6) шейпить клиентов подгружая скорость через radius, так называемый non DHCP метод вроде все с виду просто, но вот если с первым пунктом вроде все понятно, то уже со вторым пунктом стопор, хотя казалось бы до безумия простая операция видимо работая с cisco голова как то не верно стала думать и я не вижу чего то очень простого в идеологии SE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 11 января, 2014 (изменено) · Жалоба ну с 1 , 2 и 3 вопросом разобрался ) dot1q Link Group Aggregated PVCs Example The following example shows how to create the interfaces, vlans, vlan10, and vlan20, in the local context, assigns an IP address to each one, creates a dot1q link group, lg-vlans and binds it to the vlans interface. Then, the example shows how to configure two 802.1Q PVCs and binds them to the vlan10 and vlan20 interfaces. Finally, the FE or GE ports are configured and added to the link group. In a dual stack configuration, also use the ipv6 address command to assign the interfaces an IPv6 address; in an IPv6-only configuration, use the ipv6 address command instead of the ip address command. Create the link group interface and assign an IP address to it: [local]Redback(config)#context local [local]Redback(config-ctx)#interface vlans [local]Redback(config-if)#ip address 172.16.0.1/24 [local]Redback(config-if)#exit Create the link group and bind it to its interface: [local]Redback(config)#link-group lg-vlans dot1q [local]Redback(config-link-group)#bind interface vlans local Create the PVC interfaces and assign an IP address to each one: [local]Redback(config)#context local [local]Redback(config-ctx)#interface vlan10 [local]Redback(config-if)#ip address 172.16.1.1/24 [local]Redback(config-if)#exit [local]Redback(config-ctx)#interface vlan20 [local]Redback(config-if)#ip address 172.16.2.1/24 [local]Redback(config-if)#exit [local]Redback(config-ctx)#exit Create PVC 10 and bind it to its interface: [local]Redback(config)#link-group lg-vlans dot1q [local]Redback(config-link-group)#dot1q pvc 10 [local]Redback(config-link-pvc)#bind interface vlan10 local [local]Redback(config-link-pvc)#exit Create PVC 20 and bind it to its interface: [local]Redback(config-link-group)#dot1q pvc 20 [local]Redback(config-link-pvc)#bind interface vlan20 local [local]Redback(config-link-pvc)#exit [local]Redback(config-link-group)#exit Configure another FE port and add it to the link group: [local]Redback(config-config)#port ethernet 5/2 [local]Redback(config-port)#encapsulation dot1q [local]Redback(config-port)#no shutdown [local]Redback(config-port)#link-group lg-vlans [local]Redback(config-port)#exit Configure another FE port and add it to the link group: [local]Redback(config-config)#port ethernet 5/3 [local]Redback(config-port)#encapsulation dot1q [local]Redback(config-port)#no shutdown [local]Redback(config-port)#link-group lg-vlans [local]Redback(config-port)#exit Изменено 11 января, 2014 пользователем Dushes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 11 января, 2014 · Жалоба 4й пункт тоже победили там собственно все как у cisco нашел такую интересную презентацию http://www.tele-a.ru/files/se_CG-NAT.pdf кто нить покупал CG-NAT и для каких целей ? чего оно такого действительно нужного дает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 11 января, 2014 · Жалоба Я покупал. Для того, чтобы натить в пул с address pairing. Без cg этот режим не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 12 января, 2014 · Жалоба посмотрите еще в базе знаний НАГа про Ericsson SmartEdge есть неплохие примеры настройки http://shop.nag.ru/article/baza-znanij Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 12 января, 2014 · Жалоба Заметил в описании что без CG-NAT невозможно пропускать фрагментированные пакеты, насколько это критично ? и откуда вообще они появляются эти пакеты фрагментированные ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 12 января, 2014 · Жалоба Например из-за использования PPPoE или VPN. Пока PMTU Discovery не заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 12 января, 2014 (изменено) · Жалоба 5) пункт победить не удалось ( у нас какая проблема все интерфейсы в агрегации к агригированому линку привязаны разные interface vlan при попытки повешать на него нат пишет что борода https://www.dropbox.com/s/64romqpuqm0i6fn/Screenshot%202014-01-13%2005.06.04.png я так понял это на на сие девайсе никак не решается ? Изменено 12 января, 2014 пользователем Dushes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 20 января, 2014 · Жалоба Собрал тестовый стенд, но так зависти CG-NAT и не удается не скажете где проблема кроется ? [test]se100(config-ctx)#show configuration Building configuration... Current configuration: ! context test ! no ip domain-lookup ! nat logging-profile NAT-LOG-PROFILE dscp ef maximum ip-packet-size 1400 destination 10.100.31.254 port 8818 ! ! ip nat pool NAPT_POOL napt paired-mode logging paired-mode subscriber port-limit 3000 address x.x.220.17/32 ! nat policy NAPT enhanced ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAPT_ACL class NAPT_ACL_10_100_0_0 pool NAPT_POOL test timeout abandoned 3600 endpoint-independent filtering tcp endpoint-independent filtering udp inbound-refresh udp icmp-notification ! interface vlan3004 multibind ip address 10.100.31.253/30 ip pool 10.100.31.252/30 ! interface vlan982 ip address 195.191.220.17/23 no logging console ! policy access-list NAPT_ACL seq 10 permit ip 10.100.0.0 0.0.255.255 class NAPT_ACL_10_100_0_0 ! aaa authentication administrator local aaa authentication administrator maximum sessions 1 aaa authentication subscriber none ! ! subscriber name test_linux ip address 10.100.31.254 ! ip route 0.0.0.0/0 195.191.220.1 ! ! ! ! end [test]se100(config-ctx)#show configuration link-group Building configuration... Current configuration: ! ! link-group LACP dot1q lacp active dot1q pvc 982 bind interface vlan982 test dot1q pvc 3004 bind interface vlan3004 test ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/1 encapsulation dot1q link-group LACP ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/2 encapsulation dot1q link-group LACP ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/3 encapsulation dot1q link-group LACP ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/4 encapsulation dot1q link-group LACP ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/15 encapsulation dot1q link-group LACP ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/16 encapsulation dot1q link-group LACP ! end [test]se100#show licenses Software Feature License Configured -------------------------- ------------------ subscriber active 8000 YES subscriber bandwidth 60 YES subscriber active ipv6 64000 YES nat enhanced YES Total active subscriber license configured 8000 Total active IPV6 subscriber license configured 64000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 20 января, 2014 · Жалоба Вам надо два лага. 3(или 2) порта сделайте лаг на dot1q - это будет аплинк лаг. 3(или 4) порта access economical - downlink, сабскрайберы и нат для них вешается только на акцесс лаг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 20 января, 2014 · Жалоба те uplink и downlink в одном LAG для для SE100 это не возможно, я зря себе ломаю голову тем как это можно сделать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 20 января, 2014 · Жалоба если упрощенно, считайте что да. при некоторых условиях можно, у вас их нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deseven Опубликовано 20 января, 2014 · Жалоба Т.е. в итоге получается, что при реальных задачах железка рассчитана не на 6Гбит, а на 3Гбит? Весь этот маркетинг дурно пахнет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 20 января, 2014 · Жалоба deseven, а вы как хотели, если у него всего 6G интерфейсов. Вообще любая железка с 6G интерфейсами пропустить через себя больше 3G фулдуплекса не сможет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deseven Опубликовано 20 января, 2014 · Жалоба zstas была заявлена общая производительность в 12Гбит (6 туда и 6 обратно, фулдуплекс) это во всех презентациях пишут да ладно не сможет? мы собственно сейчас так и делаем (не на SE100 конечно), 2Гбита из инета, 2 Гбита юзерам (реально чуть меньше, с учетом исходящего трафа) - все по двум гигабитным линкам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 20 января, 2014 · Жалоба deseven, ну смотрите. есть железка с 2мя гигабитными портами. её можно загрузить 1 порт на 1гиг-ин 1гиг-аут. и второй порт на 1 гиг in, 1 гиг out. получается 4 гигабита halfduplex (маркетинговые гигабиты). или 2 гигабит full duplex. но транзитом сможет пройти только 1 гиг фулдуплекса (потому что 1 гиг который зашёл через один порт должен через другой порт выйти). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 20 января, 2014 · Жалоба zstas Если сделать агригацию аплинков и юзерей вместе в один LAG то можно добится чуть больше 3х гигов входящего, где то ( 5 вх и 1гиг исх, ) x2 = 12 (тех самых) а так как тут наложили такое ограничение которое не позволяет пользователей и аплинки в один LAG загонять получается его максимум (3 вх и 1гиг исх) x2 = 8 (печалька) tunny ну как я понял эти условия не использовать шейпинг и нат, просто BGP мы завели без проблем в одном LAG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deseven Опубликовано 20 января, 2014 · Жалоба 1 гиг который зашёл через один порт должен через другой порт выйти да с чего бы? пришел на один порт по одному влану, ушел по этому же порту по другому влану минус расходы на исходящий траф, конечно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 20 января, 2014 · Жалоба Dushes, ну это вам постараться надо, чтобы у вас соотношение трафика было 5:1. У нас 2:1 (в лучшем случае, в худшем 3:2), при этом максимум что можно было бы выжать - ещё 1 гиг. deseven, вы читаете что я пишу? 1 гб фулдуплекса. откуда там ещё место для другого влана? 12 гбит он прокачивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deseven Опубликовано 20 января, 2014 · Жалоба zstas А вы сами читаете что вы пишете? 1 гиг который зашёл через один порт должен через другой порт выйти Почему обязательно через другой? Ну зашло нам 1Гбит трафика, почему мы его по тому же порту куда-нибудь еще отправить не можем раз у нас фуллдуплекс? Откуда место? Ну так исходящая полоса на этом канале же почти вся свободна. Хорошо, прям целиком 1Гбит мы конечно же по тому же порту никуда отправить не можем, но пусть это будут 700-800Мбит, какая разница то? Если бы аплинки и абонентов можно было повесить на одну агрегацию, то мы в пике имели бы это: - получаем с аплинков 4Гбита, отдаем обратно 2Гбита - отдаем абонентам 4Гбита, получаем обратно 2Гбита Вот они, 12Гбит из презентаций. Но так делать нельзя, поэтому: - получаем с аплинков 3Гбита, отдаем обратно 1.5Гбита - отдаем абонентам 3Гбита, получаем обратно 1.5Гбита Выходит 9Гбит. Разница есть? Чтобы при такой схеме были все 12Гбит задействованы, нужно поднять соотношения rx/tx до 1/1, чего никогда не будет и быть не может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 января, 2014 · Жалоба если упрощенно, считайте что да. при некоторых условиях можно, у вас их нет А если не упрощать? Вроде бы же можно на access lag вешать dot1q pvc, а туда уже сервисы и просто интерфейсы. link-group test access encapsulation dot1q dot1q pvc 22 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 21 января, 2014 · Жалоба если упрощенно, считайте что да. при некоторых условиях можно, у вас их нет А если не упрощать? Вроде бы же можно на access lag вешать dot1q pvc, а туда уже сервисы и просто интерфейсы. link-group test access encapsulation dot1q dot1q pvc 22 ! access lag балансит по сабскрайберам tunny ну как я понял эти условия не использовать шейпинг и нат, просто BGP мы завели без проблем в одном LAG если не использовать сабскрайберов, можно все в одном dot1q гонять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 21 января, 2014 · Жалоба deseven, во-первых, хватит считать полудуплексами. в вашем примере выигрыш только 1 гбит. (о чем я собственно и писал выше). Но это всё абстрактный пример в вакууме - я не знаю кто в здравом уме будет такую железку так сильно нагружать. во-вторых, так сделать можно. например если использовать pppoe - то можно создать 6 контекстов - на каждый порт по аплинку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 21 января, 2014 · Жалоба zstasможно и без контекстов, просто повесить на каждый порт, и так отбалансятся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dushes Опубликовано 21 января, 2014 · Жалоба 1) лишний гигабит для не большого оператора это существенно 2) я не думаю что железка загнется от лишнего гига они же сами пишут что может 12 маршрутить 3) получается нет альтернативы прокачивать больше 3х гигов за вменяемые деньги у брэнда, те 3 гига стотит 300тр прокачивать к абоненту, а допоустим 4гига уже больше лимона, так как следущая модель SE600 (скажем не очень вменяемая ступенька роста ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...