purecopper

Активный участник
  • Публикаций

    276
  • Зарегистрирован

  • Посещение

Информация о purecopper

  • Звание
    Студент
  • День рождения

Контакты

  • ICQ
    0
  1. s.lobanov Как отписал выше, частично решаемо. На ревизии C1 решаемо. Функция rate-limit dhcp-запросов есть на свежих прошивках.
  2. s.lobanov Во время подобной проблемы общался с инженерами длинк. Делали и CPU ACL и "просто" ACL - не помогало ничего. Поднял переписку - точнее так. Спасает "просто" ACL на коммутаторе с проблемным абонентом (вырезаем весь ipv6). При этом на самом коммутаторе CPU utilization заметно увеличивается, но флуд дальше него не идет.
  3. Demiurgos ни через CPU ACL, ни через ACL не помогало.
  4. Ну, как уже сказали выше, возможен вариант фильтрации по ethertype на вышестоящем коммутаторе.
  5. На a1/b1 dhcpv6 не победить вообще никакими ACL. Не помогает даже фильтрация по ethertype. Единственное решение - C1 со свежими прошивками и config address_binding dhcp snooping ports
  6. Только Vmware Distributed switch. Он вроде мог QinQ. Но проще вынести QinQ на физический коммутатор.
  7. Коллеги, а кто-нибудь делал SPAN на MX? Возникла проблема - на зеркале вижу только ingress трафик. Настраиваю так: show forwarding-options analyzer MIRROR-UPLINK { input { ingress { interface ae1.15; interface xe-2/0/0.16; } egress { interface ae1.15; interface xe-2/0/0.16; } } output { interface xe-2/0/1.0; } } show interfaces xe-2/0/1 description MIRROR; disable; mtu 9192; encapsulation ethernet-bridge; unit 0; show bridge-domains MIRROR { interface xe-2/0/1.0; }
  8. Вам шашечки или ехать? вы объявили network /16, при этом пытаетесь скормить т.н. more-specific /24, да еще и indirect connected, т.е. static. Мне как-то давно попадалась статейка из серии "Best Practices" где через network анонсили сети как internal, но в той статейке это было применительно к direct connected сети, в то время как вы скармливаете static. Дык вот же оно у ТС: Вроде как оно должно улететь в IGP. Я могу ошибаться - сижу на джуне.
  9. QWE смысл - без команды redistribute распространить информацию о 172.18.0.0 в LSA 1.
  10. QWE там вроде как passive-interface default
  11. nousaibot После coa-disconnect устройство отправит новый discover и получит новый адрес.
  12. А coa disconnect разве не поможет?
  13. nousaibot 5 минут - нормальное решение для IPoE. У нас SE100 на 3 минутах нормально себя чувствовали.
  14. nousaibot Мы накладываем сервис типа INET-OFF chassis { aggregated-devices { ethernet { device-count 3; } } fpc 0 { pic 0 { inline-services { bandwidth 10g; <- так делать не надо ) } } } network-services enhanced-ip; } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect http://block.page; } } } profile P1 { cpcd-rules R1; } } service-set SS1 { service-set-options { subscriber-awareness; routing-engine-services; } captive-portal-content-delivery-profile P1; interface-service { service-interface si-0/0/0; } } } firewall { family inet { service-filter skip { term 1 { then skip; } } service-filter walled { term portal { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then skip; } term redirect { from { protocol tcp; destination-port [ 80 443 8080 ]; } then service; } term skip { then skip; } } dynamic-profile { INET_OFF { variables { filter_in uid; filter_in_v6 uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$filter_in" precedence 50; } service { input { service-set SS1 service-filter walled; } output { service-set SS1 service-filter skip; } } } } } } firewall { family inet { filter "$filter_in" { interface-specific; term 1 { from { protocol udp; port bootpc; } then accept; } term 2 { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then accept; } term 3 { from { destination-address { 8.8.8.8/32; 8.8.4.4/32; 77.88.8.8/32; 77.88.8.1/32; 77.88.8.88/32; 77.88.8.2/32; 77.88.8.7/32; 77.88.8.3/32; } protocol udp; port 53; } then accept; } term 4 { from { protocol tcp; destination-port 80; } then accept; } term 100 { then { reject administratively-prohibited; } } } } } } }