Smart Edge 100 NAT. Что я делаю не так? Помогите пожалуйста

[kmk08]

Настраиваю smart edge 100 + Ланбиллинг по dhcp opt.82

Проблема: абонента не выпускает в инет. При авторизации, абонент пингует dhcp, шлюз, интерфейсы на эрикссоне, только вот вышестоящий маршрутизатор не пингует.

При авторизации субскрайбер на эрике выглядит так:

10:bf:48:64:a3:63

Session state Up

Circuit 2/1 vlan-id 25 clips 131171

Internal Circuit 2/1:511:63:31/7/2/99

Interface bound CLIENTS

Current port-limit unlimited

Session time left 86039

Protocol Stack IPV4

dhcp max-addrs 1 (applied)

context-name LBILL (applied)

dhcp vendor class id MSFT 5.0 (applied)

dhcp option client id 0x3d070110bf4864a363 (applied)

dhcp option hostname 0x0c0549542d8f8a (applied)

timeout absolute 86400 (applied)

acct-interim-interval 600 (applied)

qos-policing-policy qos-default-in (applied)

qos-metering-policy qos-default-out (applied)

nat policy-name LB-NAT (applied)

qos-dynamic-param (applied)

police-class-rate LCLASS rate-absolute 10240 (applied)

police-class-burst LCLASS 1536000 (applied)

meter-class-rate LCLASS rate-absolute 10240 (applied)

meter-class-burst LCLASS 1536000 (applied)

IP host entries installed by DHCP: (max_addr 1 cur_entries 1)

10.199.1.3 10:bf:48:64:a3:63

 

Sh arp:

Host Hardware address Ttl Type Circuit

10.0.10.1 f8:f0:82:10:1a:ac 640 ARPA 2/1 vlan-id 25

10.0.10.2 00:30:88:1d:11:46 - ARPA 2/1 vlan-id 25

10.0.255.1 00:1c:c4:7b:52:ac 842 ARPA 2/2 vlan-id 10

10.0.255.2 00:30:88:1d:11:47 - ARPA 2/2 vlan-id 10

10.199.1.1 00:00:00:00:00:00 - None Multi-Bound

10.199.1.3 f8:f0:82:10:1a:ac 2744 ARPA 2/1 vlan-id 25 clips 131173

91.xx.xx.90 00:0c:cf:de:b4:1b 3573 ARPA 2/2 vlan-id 4094

91.xx.xx.91 00:30:88:1d:11:47 - ARPA 2/2 vlan-id 4094

Конфиг smart edge:

aaa global authentication subscriber radius context local

aaa global accounting subscriber radius context local

aaa global update subscriber 10

aaa global reject empty-username

aaa global session-id-count

!

!

service multiple-contexts

!

service inter-context routing

!

!

!

!

!

!

!

!

!

flow ip profile netflow

active-timeout 15

!

!

asp group test

asp-count 1

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

context local

!

no ip domain-lookup

!

interface mgmt

ip address 192.168.1.202/24

logging console

!

enable encrypted 1

!

aaa authentication administrator local

radius accounting server 10.0.255.1 encrypted-key

!

administrator admin encrypted 1

privilege max 15

no timeout session idle

!

!

subscriber default

service ssh server

!

!

!

!

context LBILL

!

no ip domain-lookup

!

ip nat pool NAT-POOL3 napt multibind

address 91.xxx.xxx.92/32 port-block 1 to 15

!

nat policy LB-NAT

! Default class

ignore

icmp-notification

! Named classes

access-group LGROUP

class LCLASS

pool NAT-POOL3 local

timeout tcp 18000

timeout udp 60

timeout fin-reset 60

timeout icmp 30

timeout syn 60

icmp-notification

!

interface CLIENTS multibind

ip address 10.199.1.1/24

dhcp proxy 253

giaddr 10.199.1.1

!

interface CLIENTS2 multibind

ip address 10.200.1.1/24

dhcp proxy 253

!

interface DOWNL

description l3-relay

ip address 10.0.10.2/30

!

interface UPL

ip address 10.0.255.2/24

ip source-address radius dhcp-server

!

interface uplink

ip address 91.xxx.xxx.91/28

no logging console

!

policy access-list LGROUP

seq 10 permit ip 10.0.0.0 0.0.0.255 class LCLASS

seq 20 permit ip 192.168.0.0 0.0.255.255 class LCLASS

seq 30 permit ip 172.16.0.0 0.15.255.255 class LCLASS

!

policy access-list http-test

seq 10 permit tcp any any eq www class redirect

!

http-redirect profile CABINET

url "http://10.0.255.1/admin/config.php"

message "Redirecting"

timeout 30

enable authentication local

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa accounting subscriber radius

aaa accounting event dhcp

radius accounting server 10.0.255.1 encrypted-key

radius coa server 10.0.255.1 encrypted-key

!

radius server 10.0.255.1 encrypted-key

radius max-retries 5

radius timeout 30

!

subscriber default

dhcp max-addrs 1

!

ip route 0.0.0.0/0 91.xxx.xxx.90

ip route 10.199.1.0/24 10.0.10.1

ip route 10.200.1.0/24 10.0.10.1

service ssh

service telnet

!

dhcp relay server 10.0.255.1

!

!

!

!

! ** End Context **

logging debug

logging debug active

logging tdm console

logging active

logging standby short

!

!

!

!

forward policy CABINET

ip access-group http-test LBILL

class redirect

redirect destination local

!

qos policy qos-default-in policing radius-guided

ip access-group LGROUP LBILL

class LCLASS

rate 2000 burst 250000 excess-burst 375000

rate-calculation exclude layer-2-overhead

!

qos policy qos-default-out metering radius-guided

ip access-group LGROUP LBILL

class LCLASS

rate 2000 burst 250000 excess-burst 375000

rate-calculation exclude layer-2-overhead

!

!

!

!

system clock timezone msk 3 0

!

!

http-redirect server

port 80 8080

!

!

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

!

card carrier 2

mic 1 ge-2-port

mic 2 ge-2-port

!

port ethernet 2/1

description LAN_connected

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 25

bind interface DOWNL LBILL

service clips dhcp context LBILL

!

port ethernet 2/2

description ip Uplink

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 10

bind interface UPL LBILL

dot1q pvc 4094

bind interface uplink LBILL

!

service auto-system-recovery

!

system hostname LANBILLING_SE100

!

no timeout session idle

!

!

!

pppoe services all-domains

pppoe service-name accept-all

!

end

Edited January 24, 2014 by kmk08

[vex]

Не пингуется 91.xxx.xxx.90? А прямо из контекста LBILL пингуется? Покажите show nat policy и show ip route nat.

[kmk08]

Не пингуется 91.xxx.xxx.90? А прямо из контекста LBILL пингуется? Покажите show nat policy и show ip route nat.

С эриксона пингуется 91.xxx.xxx.90, и вообще инет он видит, только не видит инета абонент.

Policy-Grid Rules Slot-Mask Binds Policy-Name

0x00000005 0 0x0000000c 1 LB-NAT

 

Policy name : LB-NAT

Policy grid : 0x5

Number of rules : 0

Slot mask : 0xc

Number of binds : 1

 

sh ip ro nat молчит

[vex]

У Вас, если не ошибаюсь, в

!
nat policy LB-NAT
! Default class
ignore
icmp-notification
! Named classes
access-group LGROUP
class LCLASS
pool NAT-POOL3 local
timeout tcp 18000
timeout udp 60
timeout fin-reset 60
timeout icmp 30
timeout syn 60
icmp-notification
!

строка

pool NAT-POOL3 local

ссылается на контекст локал. Попробуйте поправить на

pool NAT-POOL3 LBILL

и запросить снова sh ip ro nat.

[irihorn95]

Ты создал nat acl но не применил их к интерфейсам. Эриксонами не пользовался, но на цисках надо указывать на интерфейсе в сторону клиентов nat in, а в сторону аплинка nat out. Команда не точная, т.к. точно не помню.

[vex]

Ты создал nat acl но не применил их к интерфейсам. Эриксонами не пользовался, но на цисках надо указывать на интерфейсе в сторону клиентов nat in, а в сторону аплинка nat out. Команда не точная, т.к. точно не помню.

 

К интерфейсам и не надо, если полиси вешается на сабскрайбера. ACL определяет класс, класс указывается в полиси и вся конструкция целиком вешается либо на интерфейс, либо на абонента. На Эриксоне своя атмосфера, ггг.

 

 

Не могу писать больше, лимит.

 

По-прежнему нет инета у абонентов? Переподнимите сессию.

 

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

Если для 91.xxx.xxx.91/28 есть, то и для нат-пула сделайте, не повредит.

[zstas]

А на следующем после эриксона маршрутизаторе настроена маршрутизация на этот ип? (91.xxx.xxx.92/32)

[kmk08]

![/code] строка

pool NAT-POOL3 local

ссылается на контекст локал. Попробуйте поправить на

pool NAT-POOL3 LBILL

и запросить снова sh ip ro nat.

> NAT 91.xx.xx.92/32 0.0.0.1 4 0 00:00:53

> 0.0.0.2

> 0.0.0.3

> 0.0.0.4

> 0.0.0.5

> 0.0.0.6

> 0.0.0.7

> 0.0.0.8

> 0.0.0.9

> 0.0.0.10

> 0.0.0.11

> 0.0.0.12

> 0.0.0.13

> 0.0.0.14

> 0.0.0.15

> 0.0.0.16

 

В инет еще не пускает.

 

 

А на следующем после эриксона маршрутизаторе настроена маршрутизация на этот ип? (91.xxx.xxx.92/32)

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

 

На вышестоящем роутере арпы идут такие прописал маршрут, но все равно не паускает

Internet 91.xx.xx.91 4 0030.881d.1147 ARPA GigabitEthernet0/1. 4094

Protocol Address Age (min) Hardware Addr Type Interface

Internet 91.xx.xx.92 42 0030.881d.1147 ARPA GigabitEthernet0/1. 4094

 

Трасса останавливается на вышестоящем роутере при трассировке 91.xx.xx.92

Edited January 24, 2014 by kmk08

[zstas]

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

Нужно, иначе как он узнает за каким маршрутизатором этот ип. Вы извне попробуйте трассировку сделать - она до эрикссона должна доходить.