Jump to content
Калькуляторы

Smart Edge 100 NAT. Что я делаю не так? Помогите пожалуйста

Настраиваю smart edge 100 + Ланбиллинг по dhcp opt.82

Проблема: абонента не выпускает в инет. При авторизации, абонент пингует dhcp, шлюз, интерфейсы на эрикссоне, только вот вышестоящий маршрутизатор не пингует.

При авторизации субскрайбер на эрике выглядит так:

10:bf:48:64:a3:63

Session state Up

Circuit 2/1 vlan-id 25 clips 131171

Internal Circuit 2/1:511:63:31/7/2/99

Interface bound CLIENTS

Current port-limit unlimited

Session time left 86039

Protocol Stack IPV4

dhcp max-addrs 1 (applied)

context-name LBILL (applied)

dhcp vendor class id MSFT 5.0 (applied)

dhcp option client id 0x3d070110bf4864a363 (applied)

dhcp option hostname 0x0c0549542d8f8a (applied)

timeout absolute 86400 (applied)

acct-interim-interval 600 (applied)

qos-policing-policy qos-default-in (applied)

qos-metering-policy qos-default-out (applied)

nat policy-name LB-NAT (applied)

qos-dynamic-param (applied)

police-class-rate LCLASS rate-absolute 10240 (applied)

police-class-burst LCLASS 1536000 (applied)

meter-class-rate LCLASS rate-absolute 10240 (applied)

meter-class-burst LCLASS 1536000 (applied)

IP host entries installed by DHCP: (max_addr 1 cur_entries 1)

10.199.1.3 10:bf:48:64:a3:63

 

Sh arp:

Host Hardware address Ttl Type Circuit

10.0.10.1 f8:f0:82:10:1a:ac 640 ARPA 2/1 vlan-id 25

10.0.10.2 00:30:88:1d:11:46 - ARPA 2/1 vlan-id 25

10.0.255.1 00:1c:c4:7b:52:ac 842 ARPA 2/2 vlan-id 10

10.0.255.2 00:30:88:1d:11:47 - ARPA 2/2 vlan-id 10

10.199.1.1 00:00:00:00:00:00 - None Multi-Bound

10.199.1.3 f8:f0:82:10:1a:ac 2744 ARPA 2/1 vlan-id 25 clips 131173

91.xx.xx.90 00:0c:cf:de:b4:1b 3573 ARPA 2/2 vlan-id 4094

91.xx.xx.91 00:30:88:1d:11:47 - ARPA 2/2 vlan-id 4094

Конфиг smart edge:

aaa global authentication subscriber radius context local

aaa global accounting subscriber radius context local

aaa global update subscriber 10

aaa global reject empty-username

aaa global session-id-count

!

!

service multiple-contexts

!

service inter-context routing

!

!

!

!

!

!

!

!

!

flow ip profile netflow

active-timeout 15

!

!

asp group test

asp-count 1

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

context local

!

no ip domain-lookup

!

interface mgmt

ip address 192.168.1.202/24

logging console

!

enable encrypted 1

!

aaa authentication administrator local

radius accounting server 10.0.255.1 encrypted-key

!

administrator admin encrypted 1

privilege max 15

no timeout session idle

!

!

subscriber default

service ssh server

!

!

!

!

context LBILL

!

no ip domain-lookup

!

ip nat pool NAT-POOL3 napt multibind

address 91.xxx.xxx.92/32 port-block 1 to 15

!

nat policy LB-NAT

! Default class

ignore

icmp-notification

! Named classes

access-group LGROUP

class LCLASS

pool NAT-POOL3 local

timeout tcp 18000

timeout udp 60

timeout fin-reset 60

timeout icmp 30

timeout syn 60

icmp-notification

!

interface CLIENTS multibind

ip address 10.199.1.1/24

dhcp proxy 253

giaddr 10.199.1.1

!

interface CLIENTS2 multibind

ip address 10.200.1.1/24

dhcp proxy 253

!

interface DOWNL

description l3-relay

ip address 10.0.10.2/30

!

interface UPL

ip address 10.0.255.2/24

ip source-address radius dhcp-server

!

interface uplink

ip address 91.xxx.xxx.91/28

no logging console

!

policy access-list LGROUP

seq 10 permit ip 10.0.0.0 0.0.0.255 class LCLASS

seq 20 permit ip 192.168.0.0 0.0.255.255 class LCLASS

seq 30 permit ip 172.16.0.0 0.15.255.255 class LCLASS

!

policy access-list http-test

seq 10 permit tcp any any eq www class redirect

!

http-redirect profile CABINET

url "http://10.0.255.1/admin/config.php"

message "Redirecting"

timeout 30

enable authentication local

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa accounting subscriber radius

aaa accounting event dhcp

radius accounting server 10.0.255.1 encrypted-key

radius coa server 10.0.255.1 encrypted-key

!

radius server 10.0.255.1 encrypted-key

radius max-retries 5

radius timeout 30

!

subscriber default

dhcp max-addrs 1

!

ip route 0.0.0.0/0 91.xxx.xxx.90

ip route 10.199.1.0/24 10.0.10.1

ip route 10.200.1.0/24 10.0.10.1

service ssh

service telnet

!

dhcp relay server 10.0.255.1

!

!

!

!

! ** End Context **

logging debug

logging debug active

logging tdm console

logging active

logging standby short

!

!

!

!

forward policy CABINET

ip access-group http-test LBILL

class redirect

redirect destination local

!

qos policy qos-default-in policing radius-guided

ip access-group LGROUP LBILL

class LCLASS

rate 2000 burst 250000 excess-burst 375000

rate-calculation exclude layer-2-overhead

!

qos policy qos-default-out metering radius-guided

ip access-group LGROUP LBILL

class LCLASS

rate 2000 burst 250000 excess-burst 375000

rate-calculation exclude layer-2-overhead

!

!

!

!

system clock timezone msk 3 0

!

!

http-redirect server

port 80 8080

!

!

port ethernet 1/1

! XCRP management port on slot 1

no shutdown

!

card carrier 2

mic 1 ge-2-port

mic 2 ge-2-port

!

port ethernet 2/1

description LAN_connected

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 25

bind interface DOWNL LBILL

service clips dhcp context LBILL

!

port ethernet 2/2

description ip Uplink

no shutdown

medium-type copper

encapsulation dot1q

dot1q pvc 10

bind interface UPL LBILL

dot1q pvc 4094

bind interface uplink LBILL

!

service auto-system-recovery

!

system hostname LANBILLING_SE100

!

no timeout session idle

!

!

!

pppoe services all-domains

pppoe service-name accept-all

!

end

Edited by kmk08

Share this post


Link to post
Share on other sites

Не пингуется 91.xxx.xxx.90? А прямо из контекста LBILL пингуется? Покажите show nat policy и show ip route nat.

Share this post


Link to post
Share on other sites

Не пингуется 91.xxx.xxx.90? А прямо из контекста LBILL пингуется? Покажите show nat policy и show ip route nat.

С эриксона пингуется 91.xxx.xxx.90, и вообще инет он видит, только не видит инета абонент.

Policy-Grid Rules Slot-Mask Binds Policy-Name

0x00000005 0 0x0000000c 1 LB-NAT

 

Policy name : LB-NAT

Policy grid : 0x5

Number of rules : 0

Slot mask : 0xc

Number of binds : 1

 

sh ip ro nat молчит

Share this post


Link to post
Share on other sites

У Вас, если не ошибаюсь, в

!
nat policy LB-NAT
! Default class
ignore
icmp-notification
! Named classes
access-group LGROUP
class LCLASS
pool NAT-POOL3 local
timeout tcp 18000
timeout udp 60
timeout fin-reset 60
timeout icmp 30
timeout syn 60
icmp-notification
!

строка

pool NAT-POOL3 local

ссылается на контекст локал. Попробуйте поправить на

pool NAT-POOL3 LBILL

и запросить снова sh ip ro nat.

Share this post


Link to post
Share on other sites

Ты создал nat acl но не применил их к интерфейсам. Эриксонами не пользовался, но на цисках надо указывать на интерфейсе в сторону клиентов nat in, а в сторону аплинка nat out. Команда не точная, т.к. точно не помню.

Share this post


Link to post
Share on other sites

Ты создал nat acl но не применил их к интерфейсам. Эриксонами не пользовался, но на цисках надо указывать на интерфейсе в сторону клиентов nat in, а в сторону аплинка nat out. Команда не точная, т.к. точно не помню.

 

К интерфейсам и не надо, если полиси вешается на сабскрайбера. ACL определяет класс, класс указывается в полиси и вся конструкция целиком вешается либо на интерфейс, либо на абонента. На Эриксоне своя атмосфера, ггг.

 

 

Не могу писать больше, лимит.

 

По-прежнему нет инета у абонентов? Переподнимите сессию.

 

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

Если для 91.xxx.xxx.91/28 есть, то и для нат-пула сделайте, не повредит.

Share this post


Link to post
Share on other sites

А на следующем после эриксона маршрутизаторе настроена маршрутизация на этот ип? (91.xxx.xxx.92/32)

Share this post


Link to post
Share on other sites

![/code] строка

pool NAT-POOL3 local

ссылается на контекст локал. Попробуйте поправить на

pool NAT-POOL3 LBILL

и запросить снова sh ip ro nat.

> NAT 91.xx.xx.92/32 0.0.0.1 4 0 00:00:53

> 0.0.0.2

> 0.0.0.3

> 0.0.0.4

> 0.0.0.5

> 0.0.0.6

> 0.0.0.7

> 0.0.0.8

> 0.0.0.9

> 0.0.0.10

> 0.0.0.11

> 0.0.0.12

> 0.0.0.13

> 0.0.0.14

> 0.0.0.15

> 0.0.0.16

 

В инет еще не пускает.

 

 

А на следующем после эриксона маршрутизаторе настроена маршрутизация на этот ип? (91.xxx.xxx.92/32)

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

 

На вышестоящем роутере арпы идут такие прописал маршрут, но все равно не паускает

Internet 91.xx.xx.91 4 0030.881d.1147 ARPA GigabitEthernet0/1. 4094

Protocol Address Age (min) Hardware Addr Type Interface

Internet 91.xx.xx.92 42 0030.881d.1147 ARPA GigabitEthernet0/1. 4094

 

Трасса останавливается на вышестоящем роутере при трассировке 91.xx.xx.92

Edited by kmk08

Share this post


Link to post
Share on other sites

на вышестоящем маршрутизаторе не настроен маршрут на 91.xxx.xxx.92 нужно ли?

Нужно, иначе как он узнает за каким маршрутизатором этот ип. Вы извне попробуйте трассировку сделать - она до эрикссона должна доходить.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this