Перейти к содержимому
Калькуляторы

Star1609

Пользователи
  • Публикации

    25
  • Зарегистрирован

  • Посещение

Все публикации пользователя Star1609


  1. Сделал nat через next hop но теперь проблема , pp0 интерфейс даже не подысатся в лог ничего не пишет Пробую так : PPPOE-test { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input INPUT-NAT; } unnumbered-address lo0.0; } } } } } filter INPUT-NAT { term 10 { from { source-address { 10.1.0.0/16; } } then { routing-instance NAT-VRF; } } term 20 { then accept; } } Если у кого то заработала такая схема поделитесь информацией если не жалко
  2. admin> show interfaces pp0.1073741824 extensive Logical interface pp0.1073741824 (Index 335) (SNMP ifIndex 539) (Generation 144) Flags: Up Point-To-Point SNMP-Traps 0x0 Encapsulation: PPPoE PPPoE: State: SessionUp, Session ID: 1, Session AC name: TENET_SERVER, Remote MAC address: 60:eb:69:5c:74:a5, Underlying interface: ge-1/1/2.0 (Index 334) Bandwidth: 1000mbps Traffic statistics: Input bytes : 54109 Output bytes : 13256 Input packets: 263 Output packets: 65 Local statistics: Input bytes : 1391 Output bytes : 389 Input packets: 47 Output packets: 10 Transit statistics: Input bytes : 52718 856 bps Output bytes : 12867 0 bps Input packets: 216 1 pps Output packets: 55 0 pps Keepalive settings: Interval 30 seconds, Up-count 1, Down-count 3 LCP state: Opened NCP state: inet: Opened, inet6: Not-configured, iso: Not-configured, mpls: Not-configured CHAP state: Success PAP state: Closed Protocol inet, MTU: 1480, Generation: 163, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: INPUT-10M-pp0.1073741824-in Output Filters: OUTPUT-10M-pp0.1073741824-out Addresses, Flags: Is-Primary Destination: Unspecified, Local: 10.1.1.1, Broadcast: Unspecified, Generation: 144
  3. фильтр такой же пытаюсь подсунуть INPUT-10M и OUTPUT-10M который описал в конфиге тут же чуть выше , в post-service-filter на input конфигурится но не сработатывает , теость сессия PPPoE вообще не подымается у абонента, в output собственно там где нам и нужно пост сервис фильтры в джуносе нет возможности применять
  4. Есть интересная статья на хабре про NAT и juniper. Может кто то и читал http://habrahabr.ru/post/209298/ Все конечно интересно с точки зрения натрирования и есть перспективы натирования вместе с IPv6. Но вот, когда дело до дела доходит и нужно нарезать скорость то обязательно вылазят какие-то "Грабли!". Вот берем пример конфига динамического профайла , тут все в принципе срабатывает на ура dynamic-profiles { PPPOE-profile { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } } unnumbered-address lo0.0; } } } } } } firewall { family inet { filter INPUT-10M { interface-specific; term 10 { then { policer 10M; accept; } } } filter OUTPUT-10M { interface-specific; term 10 { then { policer 10M; accept; } } } policer 10M { if-exceeding { bandwidth-limit 10m; burst-size-limit 100k; } then discard; } Абоненту выдаем адрес , накатываем фильтр , скорость шейпится в обе стороны нормально. Но мы усложним задачу , будем выдавать абоненту серые адреса и натить их для начала в пул реальных IPv4 dynamic-profiles { PPPOE-profile { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } service { input { service-set NAT; } output { service-set NAT; } } unnumbered-address lo0.0; } } } } } } И настройка сервиса NAT services { nat { pool NAT-POOL { address XXX.XXX.XXX.XXX/30; port { automatic { random-allocation; } } } rule NAT-RULE1 { match-direction input; term 10 { from { source-address { 10.1.0.0/16; } } then { translated { source-pool NAT-POOL; translation-type { napt-44; } } } } } } service-set NAT { nat-rules NAT-RULE1; interface-service { service-interface ms-0/2/0; } } } Пробуем шейпить и ... #show firewall Policers: Name Bytes Packets 10M-10-pp0.1073741829-in 1467741 995 Filter: OUTPUT-10M-pp0.1073741829-out Policers: Name Bytes Packets 10M-10-pp0.1073741829-out 0 0 Видим, что уже трафик в по OUTPUT-10M не бегает. Но быть может манюал подсказывает что фильтры нужно цеплять на service как post-service-filter. Но и тут сразу облом http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/configuration-statement/post-service-filter-edit-dynamic-profiles.html На output не прицепишь и на pp0 не работает. Вот и задаешься вопросом "шейпинга" это вообще возможно в таком случае ?
  5. Мы как раз говорили о том чтобы динамически фильтр и полисер создавать при поднятии интерфейса, а подсовывать не хочется
  6. На форуме уже был похожий конфиг тут http://forum.nag.ru/forum/index.php?showtopic=79020&st=40&p=909822&hl=dynamic-profiles&fromsearch=1entry909822 то там непонятно каким образом svc-global-pppoe накатывается или он как отдельный профайл используется , на железке 11.4 прошшивка что тоже интересный момент
  7. Да именнно так ! Динамически создавать полисеры для PPPOE
  8. Я так понял никто не знает ?
  9. Может это боян, но все же .... В логе при конекте абонента: pppoed: Mis-configuration, user defined variables not allowed in client profile: PPPOE-TEST Хочется получать от радиуса на имя фильтра на input и output а конкретно значения шейперов, как можно обойти это ? Может только юзая встроенные переменые джуноса ? Model: mx5-t Версия прошивки: Junos: 13.3R1.8 Вот такой конфиг динамического профайла: show dynamic-profiles PPPOE-TEST variables { BW; BURST; input-filter equals "$BW"; output-filter equals "$BW"; POLICER equals "$BW"; } interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$input-filter" precedence 100; output "$output-filter" precedence 100; } unnumbered-address lo0.0; } } } } firewall { family inet { filter "$input-filter" { interface-specific; term 10 { from { service-filter-hit; } then accept; } term 20 { then { policer "$POLICER"; service-accounting; service-filter-hit; } } } filter "$output-filter" { interface-specific; term 10 { from { service-filter-hit; } then accept; } term 20 { then { policer "$POLICER"; service-accounting; service-filter-hit; } } } } policer "$POLICER" { logical-interface-policer; if-exceeding { bandwidth-limit "$BW"; burst-size-limit "$BURST"; } then discard; } }
  10. Есть железка juniper MX5-T , пытаюсь терментировать pppoe включился ноутом в ge1/1/1 шлю PADI и получаю PADO и error 651 В лог ничего не пищет , на радус сервер ничего не отправляет (смотрю tcpdump) , логирование настроено в конфиге ниже. Куда смотреть в чем ошибся ? На ней лицензии: admin> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 0 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent scale-subscriber 0 1000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent Licenses installed: License identifier: E000185416 License version: 2 Features: subscriber-accounting - Per Subscriber Radius Accounting permanent subscriber-authentication - Per Subscriber Radius Authentication permanent subscriber-address-assignment - Radius/SRC Address Pool Assignment permanent subscriber-vlan - Dynamic Auto-sensed Vlan permanent subscriber-ip - Dynamic and Static IP permanent КОНФИГ: dynamic-profiles { PPPOE-test { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { unnumbered-address lo0.0; } } } } } } interfaces { ge-1/1/1 { unit 0 { encapsulation ppp-over-ether; pppoe-underlying-options { dynamic-profile PPPOE-tenet; } } fxp0 { unit 0 { family inet { address 192.168.10.1/24; } } } access { radius-server { 192.168.10.2 secret "$9$avZi.FnCOBE69vLx-g4"; ## SECRET-DATA } group-profile DNS { ppp { primary-dns 8.8.8.8; } } profile RAD_tenet { accounting-order radius; authentication-order radius; radius { authentication-server 192.168.10.2; accounting-server 192.168.10.2; } accounting { order radius; accounting-stop-on-failure; accounting-stop-on-access-deny; immediate-update; update-interval 10; statistics volume-time; } } } Логи собираются так system { syslog { user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; } } } }
  11. Есть juniper mx-5t нужно для тестирования активировать subscriber-accounting лицензию хотябы до перезагрузки Вывод такой: admin> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 0 1 invalid scale-subscriber 0 1000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent mx5-to-mx10-upgrade 1 0 1 29 days mx10-to-mx40-upgrade 1 0 1 29 days mx40-to-mx80-upgrade 1 0 1 29 days Licenses installed: none admin> request system license update trial Trying to update trial license keys from https://ae1.juniper.net, use 'show system license' to check status. Ничего собсвенно не меняется , можно как то subscriber-accounting пощупать ? есть ли способ ее активировать временно ?
  12. Да это в том случае когда бюджет позволяет отдельно выделять деньги . Но у нас совершенно другой подход а если еще речь идет о провинциальном украинском секторе то как говорится нужна железка чтобы умела делать все в плане функциональности , имела огромную плотность портов и стоила не дорого . В итоге выделяют деньги под 2-3 устройства ограниченного бюджета с возможностью принять fw от 6 крупных провайдеров и еще пропустить через себя mpls трафик и обеспечить vpls услуги для абонентов подключить все остальные устройства агрегации и еще в добавок датацентр.
  13. Сколько всего на глаза попадалось - у подавляющего большинства практически одни и те же общие схемы, отличие в которых в основном только в примерах упомянутых моделей оборудования и относительных масштабах схем. Есть специализированные центры, которые как раз этим и занимаются целенаправлено. На базе этих центров обычно и проводятся сертификационные экзамены от различных вендоров. Вопрос интересен тем что большинство провайдеров позиционирует железо для провайдеров в классы aggregate, core ,border,access в общем концепция похожа как у juniper и cisco , на некоторых схемах присутвуют border на некотор современных представлениях они стали отсутвовать , так как такие железки такие как juniper серии T , cisco серии CRS позиционируют как универсальные которые могут выступать как в роли edge-border так и core. На схемах 5ти летней давности видно как на border выделяли такое железо как 7600 и juniper mx ,которые в состоянии роутить трафик силами своего DFC и иметь более 400 тыс строчек fib, а оборудование на ядро типа 6500 имело 200 тыс строчек на DFC и имело большую портовую емкость. Интересно отметить что схемы с бордер маршрутизатором иногда присутвуют и сегодня и можно подумать что это очередной маркетинговый ход чтобы продать еще одну железку. И всего один человек вменяемо сказал что некоторые платформы могут отличаться наличием дополнительных функций.
  14. судя по последнему поста топикстартера - делаю ставку на диплом ибо на лицо полное непонимание составляющих элементов сети любого isp Если ты покажешь мне иснтитут на просторах СНГ где обучают с парты до уровня интегратора сетей провайдеров или дают теорию и практику на уровне CCIE, я бы возхвалял его до своих плследних лет и советовал туда идти всем своим знакомым. Пока что определится с общей концепцией построения тяжело так как каждый производитель предлагает свою идеалогию так еше ко всему каждый год схема отличается. В общем пока что определился с концепцией в виде двух уровней , уровней ядра и агрегации как сделанно на примере Ростелеком. В их сети ядро куда включаются аплинки пиры датацентры состоит из маршрутизаторов T1600 , MX960 , а остальное оборудование cisco catalyst выненсено на агрегацию кто вам такое сказал что Росстелеком все ядро на Джуне строит? п.с вы себя к CCIE приравниваете? Вот прув линк что ростелеком строит свою сеть на джуне http://www.rostelecom.ru/about/net/mpls/ Чтобы говорить что кто-то себя к CCIE приравнивает нужно иметь на руках сертификат, у меня на руках егу нету , есть практика и теория и опыт работы с протоколами, за плечами CCNP, есть опыт работы в провайдерах и энтерпрайзе знания архитектуры старых моделей серий 7600 и 6500, и в частности CCIE не является показателем если бы "не студенты 5го курса" открывали бы книгу по подготовке к экзамену то они бы увидели что описание оборудования и конкретных примеров сети там нет. Тема создана с целью разобраться в проектированим сетей больших провайдеров и обсудить железо провайдерского класса его архитектуру , функционал и способности. Если есть что инересное подчеркнуть или добавить будем рады , если хочется написать что то другое или померятся уровнем познаний то это в другую тему.
  15. судя по последнему поста топикстартера - делаю ставку на диплом ибо на лицо полное непонимание составляющих элементов сети любого isp Если ты покажешь мне иснтитут на просторах СНГ где обучают с парты до уровня интегратора сетей провайдеров или дают теорию и практику на уровне CCIE, я бы возхвалял его до своих плследних лет и советовал туда идти всем своим знакомым. Пока что определится с общей концепцией построения тяжело так как каждый производитель предлагает свою идеалогию так еше ко всему каждый год схема отличается. В общем пока что определился с концепцией в виде двух уровней , уровней ядра и агрегации как сделанно на примере Ростелеком. В их сети ядро куда включаются аплинки пиры датацентры состоит из маршрутизаторов T1600 , MX960 , а остальное оборудование cisco catalyst выненсено на агрегацию
  16. Наконец-то выияснили что отличие железок типа каталист 6500 имеют отличия от серии CRS, ASR, или в джунипер T в наличии спец фитч таких как VPLS поддержку плат с интерфейсами STM для реализации SDH и пр. Может теперь время выяснить в чем выигрыш от их использования а то пока все и на езернете прекрасно работает.
  17. эт кто такое сказал? бордеры сейчас актуальны как никогда. И какой в них смысл ? Чем они лучше той же циски 6800 серии которая в состоянии уместить в своей памяти несколько милионов маршрутов BGP и FIB более чем на полный FW ? Притом в MPLS тоже есть поддержка.
  18. Опять же вопрос в этой теме хотелось бо услыщать ту разнцу между железками класса бордеров и железками класса уровня ядра на сегодняшний день , ведь получается в итоге производительность сегодняшних железок такова что нет попросту в бордерах вообще смысла мы попросту в ядро включаем внешние каналы и работаем без проблем. Ведь получается что только раньше имел смысл покупать бордер и ядро , так как тогда была разница, бордер -это много памяти дополнительные фитчи , ядро - много портов , размер tcam способный держать кучу тысяч маков. Что же сегодня? какой смысл в бордерах ?
  19. Мне одному кажется, что пахнет дипломной работой? Особенно в глаза бросаются 7600 и 6500, восприятие о которых явно основано на т.н. "брошюрах" (к слову, пожалуй единственное существенное отличие 7600 от 6500 в том, что в нее можно пихать ES карту), а в контексте сетей на 100k+ абонентов они и вовсе выглядят морально и технически устаревшими. Ну а что до mpls... его повсеместное использование значительно облегчило жизнь, и позволило избежать множества напряженных моментов. Ну да, все с чего-то начинали. Только вот в какой-то момент сталкиваешся с ситуациями, когда типичные решения и схемы перестают работать или становятся крайне неэффективными, и начинаешь потихонечку рвать волосы на пятой точке. Ну а когда волос не остается, морально готовишся к тому чтобы в корне поменять дизайн сети, и тратишь бесконечное множество своего драгоценного времени на проектирование этого самого дизайна, детально изучая мировой опыт, технологические нюансы и прочее. ну если опустить часть про микротик, то не все так печально. Наконец то вижу правильное направление мысли абсолютно согласен что 7600 серия то для нужд провайдера устарела и сейчас попросту не имеет смысл а 6500 серия в принципе тоже сегодня позиционируется на сегмент корпоративного сектора. Но нужно понимать что все это железо есть и выкидывать его бредовая затея... речь идет о том что когда создавал тему я хотел раскрыть целесообразность применения таких железок как например cisco CRC , cisco ASR , juniper серий T, E, MX. Да бы разобраться и во всех плюсах и минусах той или иной схемы построения и самих желехок ... А то согласитесь все можно как я и говорил на 6500 каталистах поднять и главное работать оно будет ! Но смысл как лучше ? И не просто внедрить несколько сотен тонн в очередной холодильник а в железо которое будет как иметь потенциал так и быть целесообразным с точки зрения затрат
  20. Естественно не с нуля в наличии дюжена каталистов серии 6500 , речь как раз о том как интегрировать новое железо и при этом иметь резервацию на уровне линков и устройств а также избавится от узких мест, скажу что даже самой обычной мыслью было включить эти каталисты в фулл мешш и раскдать все линки от внешних провайдеров между 6500 цисками , где по сути каждое устройство имеет одинаковый логическое предназночение а по IBGP и мы имеем полную свзясность и оптимальную таблицу роутинга на каждом каталисте
  21. Согласен в том случае если сеть строится с нуля и в том случае когда заказчик тоесть мы иностранная компания с огромным бюджетом, но в наших реалиях в итоге на отдельную железку повесить внешние каналы и паритеты нет никакого смысла даже если у нас огромный исход трафика , как говорится врубили все в ядро и пляшем , экономим деньги на бордере да еще и трафик не ганяем лишний раз через устройство
  22. Занимаюсь построением сетей около 5 лет , столкнулся с интересной задачей и собственно такой же мыслью интересовался давно, а собственно как у нас изменяется построение сети когда мы переходим от концепции локальных сетей к построения интернета. До этого довелось пройти долгие годы освоения материалов ,CCNP,CCIP,CCIE где очень хорошо рассказывают смысл работы протоколов OSPF,BGP,MPLS, технологий VRF и QOS. Но вот когда речь идет о построении сети с колличесвом абонентов 200 тыс и более начинаешь понимать что даже материал из курса дизайна CCDE кажется тебе бы поможет но в реалиях у нас на просторах СНГ выглядет даже не много смешным со стороны руководства в плане затрат и реализации . В итоге в голове начинаешь держать разные схемы как например схема с камусным дезайном где, бордер и серверная ферма и распредиленная сеть включается в ядро, или совершенно другая схема где есть устройства которые обьединяют функции ядра с бордером м схема соединения устройств представяет из себя кольцо или фул меш в которые включаются как коммутаторы распредиления так и внешние линки при том бордеры как таковые могут даже не сущестовать. Хотелось бы понять имеют ли какой то смысл сейчас покупать такие бордер железки как сisco 7600 маршрутизаторы juniper T серии MX960 или cisco ASR и CRC ... ведь по сути всю сеть можно собрать на cisco catalyst 6500 серии как например делает корбина. Ведь как показала практика разница между 7600 и 6500 нету и 6500 в стостоянии принять несколько full view. И интересно как вписывается на сегодняшний день MPLS, ведь в терории используют его как протокол связи например тех же банков и корпоративов или уже есть те кто и абонентский трафик роутит таким образом. В общем если не сложно тем людям которые имели и имеют дела с крупными сетями поделиться хотя бы немного своим опытом в области современного дизайна сетей , естественно подробностей и корпоративных секретов выдавать не прошу)
  23. Установил продукт nfdump (Version: 1.6.10p1) на платформу centos6.Также перловые скрипты для графиков nfsen но об этом сейчас речь не идет. Проблему заметил на nfcapd , если быть точнее при чтении файлов записи с помощью nfdump за пять минут вижу просто несусветные цифры в выводе например : nfdump -r nfcapd.201310281535 -s record 'in if 73 ' Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2013-10-28 15:35:02.380 295.447 GRE x.x.x.x -> x.x.x.x:0 3.7 G 5.0 T 38 2013-10-28 15:35:02.380 294.998 GRE x.x.x.x -> x.x.x.x:0 1.4 G 2.0 T 35 ... и тд... total bytes: 555.7 T, total packets: 785.9 G, avg bps: 2.3 T, Цифры 557,7 терабайт и 2,3 т в секунду в тысяча раз больше того что вписывается в реалии моей сети, при том что интерфейс у меня 40 гигабит максимум он при том что будет загружен на полный ход обработает 40 гигбит *300 сек = 1200 гигабит или 150 гигабайт Есть еще коллектор на flow-tools там показывает ближе на правду. Со стороны сенсора стоит циско бордер 7606 (720sup ios 12.2(33)SRD4) Конфигурация cisco для отдачи netflow ip flow-export destination x.x.x.x 9995 ip flow-export version 5 mls netflow usage notify 90 120 mls nde sender version 5 mls sampling time-based 4096 mls netflow usage notify 90 120 ip flow-aggregation cache destination-prefix (интерфейсы не привожу) на них ip flow ingress Так запущен в системе процесс /usr/local/bin/nfcapd -w -D -p 9995 -u netflow -g apache -B 2000000 -S 1 -P /usr/local/nfsen/var/run/p9995.pid -z -I cubik -l /usr/local/nfsen/profiles-data/live/ Пробовал выставлять -s (сэмпл рейт) вручную от 1 до 8192 но результатов ни каких так и выдает результат в районе 500 терабайт, пробовал аналогично другие интерфейсы в фильтре указать там аналогично , бегает реально до гигабита а светит мне что там 70 террабит трафика и 700 гигабит в секунду. В общем если были у кого такие приколы поделитесь а то уже руки лезут начать копаться в сурс кодах
  24. Есть такая фитча в протоколе DHCP как smart relay. В кратце работает она так: есть праймери адрес на влане (SVI) есть секондари. При релее на DHCP server в поле agent-ид подставляется в первом случае ип первого раза если на 3 запроса дискавери мы не получаем от DHCP оффер то мы подставляем адрес второго интерфейса в поле агента , и так далее . Нужно это если присутствует какая то проверка в конфиге dhcp сервера например на маску мак адресов и описано несколько сетей. Вопрос есть ли эта функция анологичная ciso smart relay на extreme networks ? Или ее можно реализовать например с помощью полиси при релеене?