Star1609

Сделал nat через next hop но теперь проблема , pp0 интерфейс даже не подысатся в лог ничего не пишет Пробую так : PPPOE-test { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input INPUT-NAT; } unnumbered-address lo0.0; } } } } } filter INPUT-NAT { term 10 { from { source-address { 10.1.0.0/16; } } then { routing-instance NAT-VRF; } } term 20 { then accept; } } Если у кого то заработала такая схема поделитесь информацией если не жалко

admin> show interfaces pp0.1073741824 extensive Logical interface pp0.1073741824 (Index 335) (SNMP ifIndex 539) (Generation 144) Flags: Up Point-To-Point SNMP-Traps 0x0 Encapsulation: PPPoE PPPoE: State: SessionUp, Session ID: 1, Session AC name: TENET_SERVER, Remote MAC address: 60:eb:69:5c:74:a5, Underlying interface: ge-1/1/2.0 (Index 334) Bandwidth: 1000mbps Traffic statistics: Input bytes : 54109 Output bytes : 13256 Input packets: 263 Output packets: 65 Local statistics: Input bytes : 1391 Output bytes : 389 Input packets: 47 Output packets: 10 Transit statistics: Input bytes : 52718 856 bps Output bytes : 12867 0 bps Input packets: 216 1 pps Output packets: 55 0 pps Keepalive settings: Interval 30 seconds, Up-count 1, Down-count 3 LCP state: Opened NCP state: inet: Opened, inet6: Not-configured, iso: Not-configured, mpls: Not-configured CHAP state: Success PAP state: Closed Protocol inet, MTU: 1480, Generation: 163, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: INPUT-10M-pp0.1073741824-in Output Filters: OUTPUT-10M-pp0.1073741824-out Addresses, Flags: Is-Primary Destination: Unspecified, Local: 10.1.1.1, Broadcast: Unspecified, Generation: 144

фильтр такой же пытаюсь подсунуть INPUT-10M и OUTPUT-10M который описал в конфиге тут же чуть выше , в post-service-filter на input конфигурится но не сработатывает , теость сессия PPPoE вообще не подымается у абонента, в output собственно там где нам и нужно пост сервис фильтры в джуносе нет возможности применять

Есть интересная статья на хабре про NAT и juniper. Может кто то и читал http://habrahabr.ru/post/209298/ Все конечно интересно с точки зрения натрирования и есть перспективы натирования вместе с IPv6. Но вот, когда дело до дела доходит и нужно нарезать скорость то обязательно вылазят какие-то "Грабли!". Вот берем пример конфига динамического профайла , тут все в принципе срабатывает на ура dynamic-profiles { PPPOE-profile { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } } unnumbered-address lo0.0; } } } } } } firewall { family inet { filter INPUT-10M { interface-specific; term 10 { then { policer 10M; accept; } } } filter OUTPUT-10M { interface-specific; term 10 { then { policer 10M; accept; } } } policer 10M { if-exceeding { bandwidth-limit 10m; burst-size-limit 100k; } then discard; } Абоненту выдаем адрес , накатываем фильтр , скорость шейпится в обе стороны нормально. Но мы усложним задачу , будем выдавать абоненту серые адреса и натить их для начала в пул реальных IPv4 dynamic-profiles { PPPOE-profile { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } service { input { service-set NAT; } output { service-set NAT; } } unnumbered-address lo0.0; } } } } } } И настройка сервиса NAT services { nat { pool NAT-POOL { address XXX.XXX.XXX.XXX/30; port { automatic { random-allocation; } } } rule NAT-RULE1 { match-direction input; term 10 { from { source-address { 10.1.0.0/16; } } then { translated { source-pool NAT-POOL; translation-type { napt-44; } } } } } } service-set NAT { nat-rules NAT-RULE1; interface-service { service-interface ms-0/2/0; } } } Пробуем шейпить и ... #show firewall Policers: Name Bytes Packets 10M-10-pp0.1073741829-in 1467741 995 Filter: OUTPUT-10M-pp0.1073741829-out Policers: Name Bytes Packets 10M-10-pp0.1073741829-out 0 0 Видим, что уже трафик в по OUTPUT-10M не бегает. Но быть может манюал подсказывает что фильтры нужно цеплять на service как post-service-filter. Но и тут сразу облом http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/configuration-statement/post-service-filter-edit-dynamic-profiles.html На output не прицепишь и на pp0 не работает. Вот и задаешься вопросом "шейпинга" это вообще возможно в таком случае ?

Мы как раз говорили о том чтобы динамически фильтр и полисер создавать при поднятии интерфейса, а подсовывать не хочется

На форуме уже был похожий конфиг тут http://forum.nag.ru/forum/index.php?showtopic=79020&st=40&p=909822&hl=dynamic-profiles&fromsearch=1entry909822 то там непонятно каким образом svc-global-pppoe накатывается или он как отдельный профайл используется , на железке 11.4 прошшивка что тоже интересный момент

Да именнно так ! Динамически создавать полисеры для PPPOE

Я так понял никто не знает ?

Может это боян, но все же .... В логе при конекте абонента: pppoed: Mis-configuration, user defined variables not allowed in client profile: PPPOE-TEST Хочется получать от радиуса на имя фильтра на input и output а конкретно значения шейперов, как можно обойти это ? Может только юзая встроенные переменые джуноса ? Model: mx5-t Версия прошивки: Junos: 13.3R1.8 Вот такой конфиг динамического профайла: show dynamic-profiles PPPOE-TEST variables { BW; BURST; input-filter equals "$BW"; output-filter equals "$BW"; POLICER equals "$BW"; } interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$input-filter" precedence 100; output "$output-filter" precedence 100; } unnumbered-address lo0.0; } } } } firewall { family inet { filter "$input-filter" { interface-specific; term 10 { from { service-filter-hit; } then accept; } term 20 { then { policer "$POLICER"; service-accounting; service-filter-hit; } } } filter "$output-filter" { interface-specific; term 10 { from { service-filter-hit; } then accept; } term 20 { then { policer "$POLICER"; service-accounting; service-filter-hit; } } } } policer "$POLICER" { logical-interface-policer; if-exceeding { bandwidth-limit "$BW"; burst-size-limit "$BURST"; } then discard; } }

Кто то в курсе ?

Есть железка juniper MX5-T , пытаюсь терментировать pppoe включился ноутом в ge1/1/1 шлю PADI и получаю PADO и error 651 В лог ничего не пищет , на радус сервер ничего не отправляет (смотрю tcpdump) , логирование настроено в конфиге ниже. Куда смотреть в чем ошибся ? На ней лицензии: admin> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 0 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent scale-subscriber 0 1000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent Licenses installed: License identifier: E000185416 License version: 2 Features: subscriber-accounting - Per Subscriber Radius Accounting permanent subscriber-authentication - Per Subscriber Radius Authentication permanent subscriber-address-assignment - Radius/SRC Address Pool Assignment permanent subscriber-vlan - Dynamic Auto-sensed Vlan permanent subscriber-ip - Dynamic and Static IP permanent КОНФИГ: dynamic-profiles { PPPOE-test { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { unnumbered-address lo0.0; } } } } } } interfaces { ge-1/1/1 { unit 0 { encapsulation ppp-over-ether; pppoe-underlying-options { dynamic-profile PPPOE-tenet; } } fxp0 { unit 0 { family inet { address 192.168.10.1/24; } } } access { radius-server { 192.168.10.2 secret "$9$avZi.FnCOBE69vLx-g4"; ## SECRET-DATA } group-profile DNS { ppp { primary-dns 8.8.8.8; } } profile RAD_tenet { accounting-order radius; authentication-order radius; radius { authentication-server 192.168.10.2; accounting-server 192.168.10.2; } accounting { order radius; accounting-stop-on-failure; accounting-stop-on-access-deny; immediate-update; update-interval 10; statistics volume-time; } } } Логи собираются так system { syslog { user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; } } } }

Есть juniper mx-5t нужно для тестирования активировать subscriber-accounting лицензию хотябы до перезагрузки Вывод такой: admin> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 0 1 invalid scale-subscriber 0 1000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent mx5-to-mx10-upgrade 1 0 1 29 days mx10-to-mx40-upgrade 1 0 1 29 days mx40-to-mx80-upgrade 1 0 1 29 days Licenses installed: none admin> request system license update trial Trying to update trial license keys from https://ae1.juniper.net, use 'show system license' to check status. Ничего собсвенно не меняется , можно как то subscriber-accounting пощупать ? есть ли способ ее активировать временно ?

Да это в том случае когда бюджет позволяет отдельно выделять деньги . Но у нас совершенно другой подход а если еще речь идет о провинциальном украинском секторе то как говорится нужна железка чтобы умела делать все в плане функциональности , имела огромную плотность портов и стоила не дорого . В итоге выделяют деньги под 2-3 устройства ограниченного бюджета с возможностью принять fw от 6 крупных провайдеров и еще пропустить через себя mpls трафик и обеспечить vpls услуги для абонентов подключить все остальные устройства агрегации и еще в добавок датацентр.

Сколько всего на глаза попадалось - у подавляющего большинства практически одни и те же общие схемы, отличие в которых в основном только в примерах упомянутых моделей оборудования и относительных масштабах схем. Есть специализированные центры, которые как раз этим и занимаются целенаправлено. На базе этих центров обычно и проводятся сертификационные экзамены от различных вендоров. Вопрос интересен тем что большинство провайдеров позиционирует железо для провайдеров в классы aggregate, core ,border,access в общем концепция похожа как у juniper и cisco , на некоторых схемах присутвуют border на некотор современных представлениях они стали отсутвовать , так как такие железки такие как juniper серии T , cisco серии CRS позиционируют как универсальные которые могут выступать как в роли edge-border так и core. На схемах 5ти летней давности видно как на border выделяли такое железо как 7600 и juniper mx ,которые в состоянии роутить трафик силами своего DFC и иметь более 400 тыс строчек fib, а оборудование на ядро типа 6500 имело 200 тыс строчек на DFC и имело большую портовую емкость. Интересно отметить что схемы с бордер маршрутизатором иногда присутвуют и сегодня и можно подумать что это очередной маркетинговый ход чтобы продать еще одну железку. И всего один человек вменяемо сказал что некоторые платформы могут отличаться наличием дополнительных функций.

судя по последнему поста топикстартера - делаю ставку на диплом ибо на лицо полное непонимание составляющих элементов сети любого isp Если ты покажешь мне иснтитут на просторах СНГ где обучают с парты до уровня интегратора сетей провайдеров или дают теорию и практику на уровне CCIE, я бы возхвалял его до своих плследних лет и советовал туда идти всем своим знакомым. Пока что определится с общей концепцией построения тяжело так как каждый производитель предлагает свою идеалогию так еше ко всему каждый год схема отличается. В общем пока что определился с концепцией в виде двух уровней , уровней ядра и агрегации как сделанно на примере Ростелеком. В их сети ядро куда включаются аплинки пиры датацентры состоит из маршрутизаторов T1600 , MX960 , а остальное оборудование cisco catalyst выненсено на агрегацию кто вам такое сказал что Росстелеком все ядро на Джуне строит? п.с вы себя к CCIE приравниваете? Вот прув линк что ростелеком строит свою сеть на джуне http://www.rostelecom.ru/about/net/mpls/ Чтобы говорить что кто-то себя к CCIE приравнивает нужно иметь на руках сертификат, у меня на руках егу нету , есть практика и теория и опыт работы с протоколами, за плечами CCNP, есть опыт работы в провайдерах и энтерпрайзе знания архитектуры старых моделей серий 7600 и 6500, и в частности CCIE не является показателем если бы "не студенты 5го курса" открывали бы книгу по подготовке к экзамену то они бы увидели что описание оборудования и конкретных примеров сети там нет. Тема создана с целью разобраться в проектированим сетей больших провайдеров и обсудить железо провайдерского класса его архитектуру , функционал и способности. Если есть что инересное подчеркнуть или добавить будем рады , если хочется написать что то другое или померятся уровнем познаний то это в другую тему.