Jump to content
Калькуляторы

Juniper mx104 bras pppoe Не отрабатывает автоконфигурация, не отвечает на PADI

Добрый день, коллеги.

Пытаюсь настроить резервный bras на базе Juniper MX104.

 

Мне нужна конструкция, как в данный момент настроена на cisco asr:

interface TenGigabitEthernet0/1/0.1118
encapsulation dot1Q 1118 second-dot1q 80-110,130-199,2000-2999
pppoe enable group global-pppoe

Не понял как сконфигурить это статически в Junos, попытался сделать на автоконфигурации, следущим конфигом:

dynamic-profiles {
   pp0 {
       interfaces {
           pp0 {
               unit "$junos-interface-unit" {
                   ppp-options {
                       chap;
                   }
                   pppoe-options {
                       underlying-interface "$junos-underlying-interface";
                       server;
                   }
                   family inet {
                       unnumbered-address lo0.0;
                   }
               }
           }
       }
   }
   svlan-pppoe-clients {
       interfaces {
           demux0 {
               unit "$junos-interface-unit" {
                   vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
                   demux-options {
                       underlying-interface "$junos-interface-ifd-name";
                   }
                   family pppoe {
                       access-concentrator PPPoE-Server;
                       duplicate-protection;
                       dynamic-profile pp0;
                       service-name-table pppoe-table;
                   }
               }
           }
       }
   }
}
system {
   auto-configuration {
       traceoptions {
           file autoconf.log size 10m files 10;
           level verbose;
           flag all;
       }
   }
   processes {
       general-authentication-service {
           traceoptions {
               file gas.log size 10m files 10;
               flag all;
           }
       }
   }
}
access-profile aaa-profile;
interfaces {
   xe-2/0/1 {
       flexible-vlan-tagging;
       auto-configure {
           stacked-vlan-ranges {
               dynamic-profile svlan-pppoe-clients {
                   accept [ pppoe inet any ];
                   ranges {
                       1100-1120,80-110;
                   }
               }
           }
       }
       mac 00:1f:9e:b7:70:1b;
   }
}
   lo0 {
       unit 0 {
           family inet {
               address x.x.x.9/32;
           }
       }
   }
}
protocols {
   ppp-service {
       traceoptions {
           file pppserv.log size 10m files 10;
           level all;
           flag all;
       }
   }
   ppp {
       traceoptions {
           file ppp.log size 10m files 10;
           level all;
           flag all;
       }
   }
   pppoe {
       traceoptions {
           file pppoe.log size 10m files 10;
           level all;
           flag all;
       }
       service-name-tables pppoe-table {
           service any {
               terminate;
           }
           service empty {
               terminate;
           }
       }
   }
}
access {
   radius-server {
       172.17.75.30 {
           port 1812;
           accounting-port 1813;
           secret "xxx"; ## SECRET-DATA
           source-address 172.17.75.19;
       }
   }
   profile aaa-profile {
       accounting-order radius;
       authentication-order radius;
       domain-name-server {
           x.x.x.130;
       }
       domain-name-server-inet {
           x.x.x.130;
       }
       radius {
           authentication-server 172.17.75.30;
           accounting-server 172.17.75.30;
           options {
               nas-identifier 172.17.75.19;
           }
       }
       ##
       ## Warning: requires 'subscriber-accounting' license
       ##
       accounting {
           order radius;
           accounting-stop-on-failure;
           accounting-stop-on-access-deny;
           immediate-update;
           coa-immediate-update;
           update-interval 15;
       }
   }
}

 

До bras доходят PADI:

@mx104> monitor traffic interface xe-2/0/1 extensive layer2-headers
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on xe-2/0/1, capture size 1514 bytes

       18:d6:c7:5d:88:d7 > Broadcast, ethertype 802.1Q (0x8100), length 40: vlan 1118, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype PPPoE D, PPPoE PADI [service-Name] [Host-Uniq UTF8]
12:08:01.739551 bpf_flags 0x85,  In

Но в ответ ничего не отвечает, интерфейсов не создает, даже mac свой не светит в сеть. Ни одного пакета в сеть не передал.

@mx104> show interfaces xe-2/0/1 extensive
Physical interface: xe-2/0/1, Enabled, Physical link is Up
...
 Traffic statistics:
  Input  bytes  :                    0                    0 bps
  Output bytes  :                    0                    0 bps
  Input  packets:                    0                    0 pps
  Output packets:                    0                    0 pps
...
 MAC statistics:                      Receive         Transmit
   Total octets                       1232414                0
   Total packets                        10818                0
   Unicast packets                      10818                0
   Broadcast packets                     2699                0

 

auto-configuration traceoptions пишет:

Mar 17 12:14:48 autoconfd_if_l2_input: dropping request since resources are not available

Пробовал junos 16.1r4 и 17.1r1 (начиная с 16.1 доступен шейпинг на встроенных десятках).

 

Лицензий браса пока нет, но НАГ уверяет, что jun в течении 30 дней после первого запуска работоспособен, а включил я его 3 дня назад.

 

Прошу подсказать почему не работает, что не так в конфиге и как решить проблему?

 

Заранее спасибо.

Edited by MAXmks

Share this post


Link to post
Share on other sites

Тут описано как добовляется атрибуты костыль.

http://www.netup.ru/phpbb/viewtopic.php?t=9568&highlight=pppoe+juniper

 

 pppoe-demux {
       interfaces {
           demux0 {
               unit "$junos-interface-unit" {
                   vlan-id "$junos-vlan-id";
                   demux-options {
                       underlying-interface "$junos-interface-ifd-name";
                   }
                   family pppoe {
                       duplicate-protection;
                       dynamic-profile pppoe-clients;
                   }
               }
           }
       }
   }
  svc-pppoe-policer-10mb {
       interfaces {
           pp0 {
               unit "$junos-interface-unit" {
                   family inet {
                       filter {
                           input policer-10m-nat;
                           output policer-10m;
                       }
                   }
               }
           }
       }
   }

 

Нужно добавить

 

show system dynamic-profile-options
versioning;

 

нужна перезагрузка начинает работать demux.

 

Вывод дай

run show system license
License usage:
                                Licenses     Licenses    Licenses    Expiry
 Feature name                       used    installed      needed
 subscriber-accounting                 1            1           0    permanent
 subscriber-authentication             0            1           0    permanent
 subscriber-address-assignment         0            1           0    permanent
 subscriber-vlan                       0            1           0    permanent
 subscriber-ip                         0            1           0    permanent
 service-dc                            0            1           0    permanent
 service-accounting                    0            1           0    permanent
 service-qos                           0            1           0    permanent
 service-ancp                          0            1           0    permanent
 service-cbsp                          0            1           0    permanent
 scale-subscriber                      1         8000           0    permanent
 scale-l2tp                            0         1000           0    permanent
 scale-mobile-ip                       0         1000           0    permanent
 mx5-to-mx10-upgrade                   0            1           0    permanent
 mx10-to-mx40-upgrade                  0            1           0    permanent
 mx40-to-mx80-upgrade                  0            1           0    permanent

 

 

Лог авторизации

show system processes general-authentication-service
traceoptions {
   file general-auth.txt size 10m;
   flag all;
}

 

 

У тебя должно получится:

run show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: demux0.3221241317
Interface type: Dynamic
Underlying Interface: xe-0/0/0
Dynamic Profile Name: pppoe-demux
Dynamic Profile Version: 1
State: Active
Session ID: 29723
PFE Flow ID: 15900
VLAN Id: 3600
Login Time: 2017-03-16 15:46:08 UTC

Type: PPPoE
User Name: pppoe3
IP Address: 172.16.3.7
IP Netmask: 255.255.255.255
Primary DNS Address: x.x.x.10
Secondary DNS Address: x.x.x.253
Logical System: default
Routing Instance: default
Interface: pp0.3221241318
Interface type: Dynamic
Underlying Interface: demux0.3221241317
Dynamic Profile Name: pppoe-clients
Dynamic Profile Version: 1
MAC Address: fc:8b:97:55:6d:f2
Session Timeout (seconds): 86400
Idle Timeout (seconds): 600
Idle Timeout Ingress Only: FALSE
State: Active
Radius Accounting ID: 29724
Session ID: 29724
PFE Flow ID: 15901
VLAN Id: 3600
Login Time: 2017-03-16 15:46:08 UTC
Service Sessions: 1
Accounting interval: 600

  Service Session ID: 29725
  Service Session Name: svc-pppoe-policer-25mb
  Service Session Version: 1
  State: Active
  Family: inet
  IPv4 Input Filter Name: policer-25m-nat-pp0.3221241318-in
  IPv4 Output Filter Name: policer-25m-pp0.3221241318-out
  Service Activation time: 2017-03-16 15:46:09 UTC

Share this post


Link to post
Share on other sites

@mx104# run show system license
License usage:
                                Licenses     Licenses    Licenses    Expiry
 Feature name                       used    installed      needed
 subscriber-accounting                 1            0           1    invalid
 scale-subscriber                      0           10           0    permanent
 scale-l2tp                            0         1000           0    permanent
 scale-mobile-ip                       0         1000           0    permanent
 MX104-2x10Gig-port-0-1                0            1           0    permanent
 MX104-2x10Gig-port-2-3                0            1           0    permanent

Лицензии пока такие.

Jun ребучу.

Share this post


Link to post
Share on other sites

У тебя не хватает лицензии на Radius

Если ресет делать железки, то лицензии некоторые слетают.

Share this post


Link to post
Share on other sites

Ребут не помог.

 

На сколько я понимаю, что бы дело до радиуса дошло, надо как минимум обменяться контрольными пакетами pppoe, а значит надо как минимум ответить на PADI пакет PADO пакетом. А значит создать интерфейс и засветить в сеть mac адрес. Плюс как говорит Juniper триггером для создания интерфейса является именно PADI. Но вот PADI приходит и не происходит ничего. Или лицензия радиуса так же охватывает и автоконфигурацию интерфейсов?

 

В лог system processes general-authentication-service ничего не пишется, с момента перезагрузки:

Mar 17 13:13:40.127296 authd_unix_ipc_setup: jipc-enable-client-io done
Mar 17 13:13:40.127677 authd_tcp_ipc_setup: TCP ipc init is done, sockfd is 81
Mar 17 13:13:40.129033 sendAllAcctOnRequests sending ACCT_ON for profile aaa-profile, LS: default, RI: default
Mar 17 13:13:40.130311 authd_send_ssh_radius_acctg_state: Starting RADIUS ON accounting
Mar 17 13:13:40.130609 authd_radius_get_config:Using radius option config from access profile stanza
Mar 17 13:13:40.135095 authd_create_application_specific_radius_server: Evaluating RADIUS server 172.17.75.30 to add to the server list
Mar 17 13:13:40.135436 Evaluating RADIUS server 172.17.75.30 to add to the server list
Mar 17 13:13:40.137716 Verify source address ac114b13 in routing instance index=0
Mar 17 13:13:40.138097 authd_radius_server_add: server 172.17.75.30 retry 3, timeout 3
Mar 17 13:13:40.142671 Request queued successfully
Mar 17 13:13:40.143352 authd_send_ssh_radius_acctg_state: ACCT-ON/OFF req SENT for profile <aaa-profile>
Mar 17 13:13:40.144967 License registration complete
Mar 17 13:13:40.147554 Notification of libstats socket opening
Mar 17 13:13:40.155771 ### GRES: done:
Mar 17 13:13:52.149390 Radius result is CLIENT_REQ_TIMEOUT
Mar 17 13:13:52.150575 authd_radius_acctg_on_callback ACCT-ON failed, for profile <aaa-profile>; LR <default>; RI <default>: re-trying
Mar 17 13:13:52.150866 authd_send_ssh_radius_acctg_state: Starting RADIUS ON accounting
Mar 17 13:13:52.151156 authd_radius_get_config:Using radius option config from access profile stanza
Mar 17 13:13:52.151478 authd_create_application_specific_radius_server: Evaluating RADIUS server 172.17.75.30 to add to the server list
Mar 17 13:13:52.151766 Evaluating RADIUS server 172.17.75.30 to add to the server list
Mar 17 13:13:52.152052 Verify source address ac114b13 in routing instance index=0
Mar 17 13:13:52.152425 authd_radius_server_add: server 172.17.75.30 retry 3, timeout 3
Mar 17 13:13:52.152844 Request queued successfully
Mar 17 13:13:52.153144 authd_send_ssh_radius_acctg_state: ACCT-ON/OFF req SENT for profile <aaa-profile>
Mar 17 13:13:57.828045 Radius result is CLIENT_REQ_STATUS_SUCCESS
Mar 17 13:13:59.466242 authd_radius_acctg_on_callback: Acct on ack received for profile aaa-profile, LI: default, RI: default

 

Лог автоконфигурации:

Mar 17 13:39:05 Try to connect w/BBE
Mar 17 13:39:05 Unable to connect to socket for send to sdb_bbed: No such file or directory
Mar 17 13:39:05 sdb_bbe_server_send_queue_flush
Mar 17 13:39:05 closing SDB_BBE connection
Mar 17 13:39:07 Try to connect w/BBE
Mar 17 13:39:07 Unable to connect to socket for send to sdb_bbed: No such file or directory
Mar 17 13:39:07 sdb_bbe_server_send_queue_flush
Mar 17 13:39:07 closing SDB_BBE connection
Mar 17 13:39:07 autoconfd_if_l2_input: dropping request since resources are not available

 

лог configuration protocols pppoe traceoptions

Mar 17 13:15:32.697102 xe-2/0/0: changed=1 flags=c000
Mar 17 13:15:32.697451 updateMajorDevice:MTU : 1514
Mar 17 13:15:32.697865 updateMajorDevice: xe-2/0/1
Mar 17 13:15:32.698166 xe-2/0/1: changed=1 flags=c100
Mar 17 13:15:32.698486 updateMajorDevice:MTU : 1522

 

лог messages:

Mar 17 13:41:30  mx104 alarmd[2181]: Alarm cleared: License color=YELLOW, class=CHASSIS, reason=Per Subscriber Radius Accounting usage requires a license
Mar 17 13:41:30  mx104 craftd[1938]: Minor alarm cleared, [b]Per Subscriber Radius Accounting usage requires a license[/b]
Mar 17 13:41:30  mx104 craftd[1938]:  Minor alarm set, [b]Per Subscriber Radius Accounting usage requires a license[/b]
Mar 17 13:41:30  mx104 alarmd[2181]: Alarm set: License color=YELLOW, class=CHASSIS, reason=[b]Per Subscriber Radius Accounting usage requires a license[/b]

Share this post


Link to post
Share on other sites

У тебя не хватает лицензии на Radius

Если ресет делать железки, то лицензии некоторые слетают.

Я думал циска впереди планеты всей, по степени охренения, ан нет...

Share this post


Link to post
Share on other sites

У тебя не хватает лицензии на Radius

Если ресет делать железки, то лицензии некоторые слетают.

Я думал циска впереди планеты всей, по степени охренения, ан нет...

 

Лицензии только на количество сабскрайберов(сабскрайбером является и денамически созданный vlan) и на порты.

 

ТС разберись с лицензиями посмотри какие у меня есть.

 

Когда у меня слетали лицензии было вот так. Сессия кстати создавалась сервисы не навешивались.

 show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
subscriber-accounting 1 1 0 permanent
subscriber-authentication 0 1 0 permanent
subscriber-address-assignment 0 1 0 permanent
subscriber-vlan 0 1 0 permanent
subscriber-ip 0 1 0 permanent
scale-subscriber 1 8000 0 permanent
scale-l2tp 0 1000 0 permanent
scale-mobile-ip 0 1000 0 permanent
mx5-to-mx10-upgrade 0 1 0 permanent
mx10-to-mx40-upgrade 0 1 0 permanent
mx40-to-mx80-upgrade 0 1 0 permanent

 

З.Ы. хочешь скину лог авторизации он очень трудно читабелен я сам в нем с трудом разбираюсь.

З.З.Ы. ТС попроси открыть закрытую ветку, тебе будет проще, там есть, что почитать.

Share this post


Link to post
Share on other sites

З.Ы. хочешь скину лог авторизации он очень трудно читабелен я сам в нем с трудом разбираюсь.

Хочу, спасибо.

 

З.З.Ы. ТС попроси открыть закрытую ветку, тебе будет проще, там есть, что почитать.

Это которая в важных темах?

 Оборудование Juniper Network. Отзывы, реальная производительность.

Эту я читал, не нашел ответов. Стоит туда вопрос перенести?

 

По теме, с автоконфигурацией так ничего и не вышло. Слетевших лицензий у меня вроде как нет. Или я не знаю как это увидеть.

 

Попытался сделать статический интерфейс с QinQ, в джун съел конфиг такой конструкции:

xe-2/0/2 {
   traceoptions {
       flag all;
   }
   hierarchical-scheduler;
   flexible-vlan-tagging;
   encapsulation flexible-ethernet-services;
   mac 00:1f:9e:b7:70:1b;
   unit 1118 {
       vlan-tags outer 1118 inner-range 80-110;
       family pppoe {
           duplicate-protection;
           dynamic-profile pp0;
       }
   }
}

 

Но вел при этом себя забавно, входящие трафик засовывал правильно svlan 1118 cvlan 100

       18:d6:c7:5d:88:d7 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 40: vlan 1118, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype PPPoE D, PPPoE PADI [service-Name] [Host-Uniq UTF8]

 

А вот исходящий засовывал в cvlan 80 svlan 1118 ))

 

       08:b2:58:27:ee:4c > 18:d6:c7:5d:88:d7, ethertype 802.1Q (0x8100), length 65: vlan 80, p 6, ethertype PPPoE D, PPPoE PADO [AC-Name "mx104"] [Host-Uniq UTF8] [service-Name] [AC-Cookie UTF8]

 

Но хотя бы он отвечает на PADI безо всяких лицензий.

 

В итоге я сделал статический интерфейс с QinQ и одним вланом внутри.

 

xe-2/0/2 {
   traceoptions {
       flag all;
   }
   hierarchical-scheduler;
   flexible-vlan-tagging;
   encapsulation flexible-ethernet-services;
   mac 00:1f:9e:b7:70:1b;
   unit 1118 {
       vlan-tags outer 1118 inner 100;
       family pppoe {
           duplicate-protection;
           dynamic-profile pp0;
       }
   }
}

 

И обмен пакетами пошел

@mx104> show pppoe statistics
Active PPPoE sessions: 0
 PacketType                       Sent         Received
   PADI                              0               96
   PADO                             96                0
   PADR                              0               96
   PADS                             96                0
   PADT                              0                0
   Service name error                0                0
   AC system error                  96                0
   Generic error                     0                0
   Malformed packets                 0                0
   Unknown packets                   0                0

 

Дальше можно разбираться что за ошибка AC system error

 

Вот что пишет pppoe debug

@mx104> show log pppoe.log | last 100
...
Mar 17 18:49:38.868361 sendDynamicProfileRequest: Dynamic Profile Add request for sdbId=163 profile=pp0
Mar 17 18:49:38.868689 config_bits=0x1 0 0 0
Mar 17 18:49:38.869488 sendDynamicProfileRequest: Dynamic Profile Add request FAILED for sdbId=163 result=107, err=Operation not permitted
Mar 17 18:49:38.869811 terminateSession: iflName= Terminate Reason=6
Mar 17 18:49:38.870124 eraStopEvent: eraStopEvents=159
Mar 17 18:49:38.870461 if xe-2/0/2.1118 session id 163 del

 

Исходя из этого лога можно предположить, что он не смог подгрузить dynamic profile pp0 и создать интерфейс, так? Если так, то видимо это таже причина по которой не отрабатывает автоконфигурация.

 

Но меня и в целом не устраивает конструкция с 1 (одним) C-VLAN, у меня их до 1000 на 1 S-VLAN.

А значит надо разбираться в чем дело с автоконфигурацией.

 

Вывод дай

run show system license

License usage:

                                 Licenses     Licenses    Licenses    Expiry

  Feature name                       used    installed      needed

  subscriber-accounting                 1            1           0    permanent

  subscriber-authentication             0            1           0    permanent

  subscriber-address-assignment         0            1           0    permanent

  subscriber-vlan                       0            1           0    permanent

  subscriber-ip                         0            1           0    permanent

  service-dc                            0            1           0    permanent

  service-accounting                    0            1           0    permanent

  service-qos                           0            1           0    permanent

  service-ancp                          0            1           0    permanent

  service-cbsp                          0            1           0    permanent

 

У меня нет этих лицензий, может ли автоконфигурация зависить от какой-то из них, например от subscriber-vlan ??

Edited by MAXmks

Share this post


Link to post
Share on other sites

С телефона

Есть закрытая ветка форума джуна на наге, так же по ерексону.

 

http://forum.nag.ru/forum/index.php?showforum=52

 

При статической записей не будет работать СоА могу ошибается. Точнее без демукс не работает, демукс не работает без динамического создания интерфейса.

 

По вланам скорей всего проблема в лицензии.

 

Если брали у нага брали Джун попросите лицензий попробовать.

 

Я сам qnq не побывал. Попробуй собрать без qnq статическими записями, чтобы сервисы поднять.

Share this post


Link to post
Share on other sites

Автоконфиурцию победил.

Для этого пришлось включить:

system {

services {

subscriber-management {

}

enable;

 

Примечательно, что не встретил я ни одного мануала, или конфига в сети, где бы говорилось, что это обязательно.

Более того исходя из http://www.juniper.net/documentation/en_US/junos/topics/task/configuration/subscriber-management-enhanced-initial-setup.html этой ссылки, видно что фича появилась в Junos начиная с "Junos OS Release 15.1R3 or later". А автоконфигурация, на сколько я помню с 9 с копейками ветки.

Share this post


Link to post
Share on other sites

Спасибо, мне удалось поднять сервис благодаря этой ветке.

Share this post


Link to post
Share on other sites

коллеги, поделитесь пожалуйста конфигом и  радиус атребутами для МХ80.

рррое сесеия поднимается, ип получаем, а вот скорость не режется.

заранее спасибо!

Share this post


Link to post
Share on other sites

Биллинг Гидра, а там FreeRadius

 вопрос сейчас не биллинга, а конфига под жуник

Share this post


Link to post
Share on other sites

@Login_sbl Давайте порассуждаем

 

На решение вашего вопроса мне известно минимум 3-4 варианта + те варианты которые я не знаю. 

 

Смысл сейчас выкладывать куски конфига, которые у вас не заведутся? 

 

Я вам скинул ссылку там приведен один из вариантов конфига, когда радиус биллинга не может передать тегированные атрибуты. Поэтому человек досылает атрибуты через CoA, после того, как сессия собралась. 

Да вариант не из элегантных, но в таком варианте все описано на коробке, от биллинга только требуется передать 1 строку. 

 

 

https://nag.ru/upload/article-files/toi-vblazhkun-2012-05-24-v-0-5.pdf

 

Соберите зеркало между клиентом и брасом встаньте ваершарком посмотрите на пакеты. 

 

Это пример. Если вы прочитаете старые мои сообщения выше вы должны понять логику. 

 

В моем случае радиус отдает строчку ERX-Service-Activate&#58;1 = "svc-pppoe-policer-10m" и на существующий demux интерфейс вешается новый профайл в котором уже есть фильтр, шейпер, сервис и все, что вам нужно. 

 

Я не смог найти оригинальную строчку с джуна напишу как помню(могу ошибатся). 

Суть такая: 

Радиус отдает строчку типа ERX-Service-Activate&#58;1 = "123,323,321,451,532,564,533" и каждая цифра это динамические атрибуты для сессий , которые не прописаны на коробке, точнее прописаны, но вот в таком формате:

 

unit "$junos-interface-unit" {
                   vlan-id "$junos-vlan-id";
                   demux-options {
                       underlying-interface "$junos-interface-ifd-name";

Через "$". 

 

 

З.Ы. на наге есть закрытый раздел juniper. 

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this