StSphinx

https://www.juniper.net/documentation/us/en/software/junos/subscriber-mgmt-sessions/topics/topic-map/radius-std-attributes-vsas-support.html Внимательно читайте документацию. Передача этого атрибута не поддерживается в CoA.

stacked-vlan-ranges { dynamic-profile QINQ-PROFILE { accept pppoe; ranges { 400-415,any; 996-998,any; } } } vlan-ranges { dynamic-profile VLAN-PROFILE { accept pppoe; ranges { 445-483; 1200-1219; } } } # QINQ-PROFILE interfaces { demux0 { no-traps; unit "$junos-interface-unit" { vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; } family pppoe { access-concentrator bng-3; duplicate-protection; dynamic-profile PPPoE_profile; service-name-table DEFAULT; short-cycle-protection; } } } } # VLAN-PROFILE interfaces { demux0 { no-traps; unit "$junos-interface-unit" { proxy-arp; vlan-id "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; } family pppoe { access-concentrator bng-3; duplicate-protection; dynamic-profile PPPoE_profile; service-name-table DEFAULT; short-cycle-protection; } } } } #PPPoE_profile routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { no-traps; ppp-options { chap; pap; mtu 1492; ipcp-suggest-dns-option; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 20; family inet { rpf-check; unnumbered-address "$junos-loopback-interface"; } } } } # sp_Inet variables { SPEED_IN default-value 1m; SPEED_OUT default-value 1m; INET_IN uid; INET_OUT uid; POLICER_IN uid; POLICER_OUT uid; } interfaces { demux0 { no-traps; unit "$junos-interface-unit" { family inet { filter { input "$INET_IN" precedence 75; output "$INET_OUT" precedence 75; } } } } } firewall { family inet { filter "$INET_IN" { interface-specific; term block_spoof { from { source-prefix-list { client-nets except; } } then { count spoof_in; discard; } } term speed_in { then { policer "$POLICER_IN"; service-accounting; service-filter-hit; accept; } } } filter "$INET_OUT" { interface-specific; term speed_out { then { policer "$POLICER_OUT"; service-accounting; service-filter-hit; accept; } } } } policer "$POLICER_IN" { filter-specific; if-exceeding { bandwidth-limit "$SPEED_IN"; burst-size-limit 1m; } then discard; } policer "$POLICER_OUT" { filter-specific; if-exceeding { bandwidth-limit "$SPEED_OUT"; burst-size-limit 1m; } then discard; } } Вот вам пример. Radius отдает имя vrf(LS:RI, нужен если сессию необходимо поместить не в GRT), имя профиля - sp_Inet(x,y) , где x,y - скорости в мегабитах и имя loopback интерфейса(нужен если сессию необходимо поместить не в GRT). Наименование соответствующих атрибутов, я думаю, без труда найдете на сайте Juniper. Они неплохо описаны. Все атрибуты vendor specific.

Приветствую, коллеги! Ковыряю я тут "стюардессу" - ASA5520(софт 9.1(5)21) на предмет назначения ACL через Radius. Пользователи подключаются через IPSec/L2TP, из Радиуса прилетает атрибут с именем ACL: Filter-ID=<ACL_NAME> В show vpn-sessiondb detail ra-ikev1-ipsec вижу, что ACL назначается, но увы, фактически не отрабатывает. Соответственно и счетчики hit нулевые. ACL простой до изнеможения: access-list acl1 extended permit ip any4 host 192.168.0.10 access-list acl1 extended permit ip any4 host 192.168.0.12 access-list acl1 extended deny ip any any Пробовал как standart так и extended ACL, роли не играет. Опция no sysopt connection permit-vpn присутствует. Кто решал подобную задачу, поделитесь мудростью пожалуйста.

Как вариант сделать: service = exec { priv-lvl = 15 } КМК c priv-lvl = 2 в принципе не будет доступен режим конфигурирования.

@VladOst, то что вы видите как раз следствие того, что в качестве шлюза у вас указан интерфейс. А у провайдера скорее всего на интерфейсе proxy arp. Никогда не указывайте в качестве шлюза интерфейс, если точно не знаете зачем это вам нужно. А лучше вообще никогда. У меня был клиент ровно с такой же проблемой. Спохватились когда на микроте было несколько тысяч arp записей и ему стало плохо.

С аргументацией не поспоришь. Увы, неформальное живое общение сложно заменить.

@DelSt, Мск категорически гибрид, удаленка - не?

Раз есть СКАТ, значит есть возможность сделать захват проблемного трафика. Сделайте, посмотрите что происходит с соединениями.

Конечно решение есть - не чините то, что не ломалось.

@alibek, а нет ли в настройках LACP что-то типа minimum-links ? У джуна, например, такое есть.

https://www.juniper.net/documentation/us/en/software/license/flex/flex-license-for-mx-series-routers-and-mpc-service-cards.pdf Вот тут есть информация по картам.

@QWE, тут в профильном чатике проскакивало: https://www.astarta-m.ru/sol_antifrod.php

Вы же, конечно, читали это: https://www.juniper.net/documentation/us/en/software/jweb-ex/jweb-ex-application-package/topics/task/ex-series-initial-configuration-setting-up-j-web.html

>> Какая разница кто я в этом случае? То есть, чисто гипотетически, вы можете быть человеком, который не совсем законно получил железо и теперь пытается это скрыть. Например. Ничего не утверждаю. Но таки обсуждение подобных тем, всегда занятие крайне спорное с моральной точки зрения.

@perfilov Как вариант, можно сначала отправить команду: terminal length 0 , а уж потом запрашивать mac таблицу.