purecopper

Трафик от вас пойдет через того, где full . Входящий будет по двум аплинкам.

orlik inline он же вроде только с MS-MPC.

Мы netflow снимаем с зеркала. Очень уж sampling напрягает FPC.

Извиняюсь, а дернуть arp и fdb таблицы по SNMP не вариант?

hsvt Приветствую. Сделал fake ip + static arp. Всё работает.

Коллеги приветствую. А кто-нибудь использует MS-MIC для ната? Пытаюсь настроить, но что-то не получается. Сейчас конфигурация выглядит так: show chassis fpc 1 pic 0 { inline-services { bandwidth 10g; } adaptive-services { service-package layer-3; } } show interfaces ms-1/0/0 unit 10 { family inet; service-domain inside; } unit 20 { family inet; service-domain outside; } show services nat pool NAT { address 1.1.1.0/24; port { automatic { random-allocation; } secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300; } address-allocation round-robin; } rule NAT-1 { match-direction input; term t1 { from { source-address { 10.228.8.0/22; } } then { translated { source-pool NAT; translation-type { napt-44; } address-pooling paired; } } } } show firewall family inet filter NAT interface-specific; term 10 { from { source-address { 10.228.8.0/22; } destination-address { 10.228.0.0/16; } } then accept; } term 100 { from { source-address { 10.228.8.0/22; } } then { routing-instance NAT; } } term 200 { then accept; } show dynamic-profiles NAT interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input NAT precedence 100; } } } } } show routing-instances NAT instance-type virtual-router; interface ms-1/0/0.10; routing-options { static { route 0.0.0.0/0 next-hop ms-1/0/0.10; route 10.228.8.0/24 next-table inet.0; } } Абонент с профилем NAT: run show subscribers Interface IP Address/VLAN ID User Name LS:RI demux0.3221225496 1000 default:default demux0.3221225496 10.228.10.254 ge-0/0/1:1000&000403E80018&010B7465737473776974636832 default:default Service Session ID: 12 Service Session Name: NAT Service Session Version: 1 State: Active Family: inet IPv4 Input Filter Name: NAT-demux0.3221225478-in Service Activation time: 2017-11-01 17:53:05 EET Со всеми этими настройками нат не случается. Точнее так . Нат происходит. На бордере при пинге 8.8.8.8 есть пакет исходящий из пула 1.1.1.0/24 на 8.8.8.8. От 8.8.8.8 есть ответ, а до клиента он не доходит. Проблема решена. Ошибся в маске в routing-instance.

Да, должны решить проблему

s.lobanov Как отписал выше, частично решаемо. На ревизии C1 решаемо. Функция rate-limit dhcp-запросов есть на свежих прошивках.

s.lobanov Во время подобной проблемы общался с инженерами длинк. Делали и CPU ACL и "просто" ACL - не помогало ничего. Поднял переписку - точнее так. Спасает "просто" ACL на коммутаторе с проблемным абонентом (вырезаем весь ipv6). При этом на самом коммутаторе CPU utilization заметно увеличивается, но флуд дальше него не идет.

Demiurgos ни через CPU ACL, ни через ACL не помогало.

Ну, как уже сказали выше, возможен вариант фильтрации по ethertype на вышестоящем коммутаторе.

На a1/b1 dhcpv6 не победить вообще никакими ACL. Не помогает даже фильтрация по ethertype. Единственное решение - C1 со свежими прошивками и config address_binding dhcp snooping ports

Только Vmware Distributed switch. Он вроде мог QinQ. Но проще вынести QinQ на физический коммутатор.

Коллеги, а кто-нибудь делал SPAN на MX? Возникла проблема - на зеркале вижу только ingress трафик. Настраиваю так: show forwarding-options analyzer MIRROR-UPLINK { input { ingress { interface ae1.15; interface xe-2/0/0.16; } egress { interface ae1.15; interface xe-2/0/0.16; } } output { interface xe-2/0/1.0; } } show interfaces xe-2/0/1 description MIRROR; disable; mtu 9192; encapsulation ethernet-bridge; unit 0; show bridge-domains MIRROR { interface xe-2/0/1.0; }

Вам шашечки или ехать? вы объявили network /16, при этом пытаетесь скормить т.н. more-specific /24, да еще и indirect connected, т.е. static. Мне как-то давно попадалась статейка из серии "Best Practices" где через network анонсили сети как internal, но в той статейке это было применительно к direct connected сети, в то время как вы скармливаете static. Дык вот же оно у ТС: Вроде как оно должно улететь в IGP. Я могу ошибаться - сижу на джуне.

QWE смысл - без команды redistribute распространить информацию о 172.18.0.0 в LSA 1.

QWE там вроде как passive-interface default

nousaibot После coa-disconnect устройство отправит новый discover и получит новый адрес.

А coa disconnect разве не поможет?

nousaibot 5 минут - нормальное решение для IPoE. У нас SE100 на 3 минутах нормально себя чувствовали.

nousaibot Мы накладываем сервис типа INET-OFF chassis { aggregated-devices { ethernet { device-count 3; } } fpc 0 { pic 0 { inline-services { bandwidth 10g; <- так делать не надо ) } } } network-services enhanced-ip; } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect http://block.page; } } } profile P1 { cpcd-rules R1; } } service-set SS1 { service-set-options { subscriber-awareness; routing-engine-services; } captive-portal-content-delivery-profile P1; interface-service { service-interface si-0/0/0; } } } firewall { family inet { service-filter skip { term 1 { then skip; } } service-filter walled { term portal { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then skip; } term redirect { from { protocol tcp; destination-port [ 80 443 8080 ]; } then service; } term skip { then skip; } } dynamic-profile { INET_OFF { variables { filter_in uid; filter_in_v6 uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$filter_in" precedence 50; } service { input { service-set SS1 service-filter walled; } output { service-set SS1 service-filter skip; } } } } } } firewall { family inet { filter "$filter_in" { interface-specific; term 1 { from { protocol udp; port bootpc; } then accept; } term 2 { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then accept; } term 3 { from { destination-address { 8.8.8.8/32; 8.8.4.4/32; 77.88.8.8/32; 77.88.8.1/32; 77.88.8.88/32; 77.88.8.2/32; 77.88.8.7/32; 77.88.8.3/32; } protocol udp; port 53; } then accept; } term 4 { from { protocol tcp; destination-port 80; } then accept; } term 100 { then { reject administratively-prohibited; } } } } } } }

nousaibot да пожалуйста Junos: 15.1R5-S4.2

nousaibot нзчт :)

nousaibot Да пожалуйста. Здесь используется opt82, но её можно убрать show system services dhcp-local-server inactive: dhcpv6 { authentication { password 12345; username-include { delimiter "&"; user-prefix ipv6subscriber; interface-name; } } overrides { delegated-pool v6-pd-pool; } group ipv6-stacked-subscribers { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } } pool-match-order { ip-address-first; } duplicate-clients-in-subnet incoming-interface; authentication { password 123; username-include { delimiter "&"; option-82 circuit-id remote-id; interface-name; } } overrides { client-discover-match incoming-interface; } group 1 { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } show access address-assignment pool 192-168-1-0 { family inet { network 192.168.1.0/22; range 1 { low 192.168.1.2; high 192.168.1.254; } dhcp-attributes { maximum-lease-time 180; domain-name ivstar.local; name-server { 192.168.2.2; 192.168.2.3; } router { 192.168.1.1; } } } } Абоненту отдаем Framed-IP-Address и Framed-IP-Netmask

nousaibot у нас ipoe на dhcp-local-server с авторизацией в радиусе по SVID-VID. Кмк, это наиболее оптимальная схема.