MAXmks Posted March 17, 2017 (edited) · Report post Добрый день, коллеги. Пытаюсь настроить резервный bras на базе Juniper MX104. Мне нужна конструкция, как в данный момент настроена на cisco asr: interface TenGigabitEthernet0/1/0.1118 encapsulation dot1Q 1118 second-dot1q 80-110,130-199,2000-2999 pppoe enable group global-pppoe Не понял как сконфигурить это статически в Junos, попытался сделать на автоконфигурации, следущим конфигом: dynamic-profiles { pp0 { interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { chap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } family inet { unnumbered-address lo0.0; } } } } } svlan-pppoe-clients { interfaces { demux0 { unit "$junos-interface-unit" { vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; } family pppoe { access-concentrator PPPoE-Server; duplicate-protection; dynamic-profile pp0; service-name-table pppoe-table; } } } } } } system { auto-configuration { traceoptions { file autoconf.log size 10m files 10; level verbose; flag all; } } processes { general-authentication-service { traceoptions { file gas.log size 10m files 10; flag all; } } } } access-profile aaa-profile; interfaces { xe-2/0/1 { flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile svlan-pppoe-clients { accept [ pppoe inet any ]; ranges { 1100-1120,80-110; } } } } mac 00:1f:9e:b7:70:1b; } } lo0 { unit 0 { family inet { address x.x.x.9/32; } } } } protocols { ppp-service { traceoptions { file pppserv.log size 10m files 10; level all; flag all; } } ppp { traceoptions { file ppp.log size 10m files 10; level all; flag all; } } pppoe { traceoptions { file pppoe.log size 10m files 10; level all; flag all; } service-name-tables pppoe-table { service any { terminate; } service empty { terminate; } } } } access { radius-server { 172.17.75.30 { port 1812; accounting-port 1813; secret "xxx"; ## SECRET-DATA source-address 172.17.75.19; } } profile aaa-profile { accounting-order radius; authentication-order radius; domain-name-server { x.x.x.130; } domain-name-server-inet { x.x.x.130; } radius { authentication-server 172.17.75.30; accounting-server 172.17.75.30; options { nas-identifier 172.17.75.19; } } ## ## Warning: requires 'subscriber-accounting' license ## accounting { order radius; accounting-stop-on-failure; accounting-stop-on-access-deny; immediate-update; coa-immediate-update; update-interval 15; } } } До bras доходят PADI: @mx104> monitor traffic interface xe-2/0/1 extensive layer2-headers Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay. Address resolution timeout is 4s. Listening on xe-2/0/1, capture size 1514 bytes 18:d6:c7:5d:88:d7 > Broadcast, ethertype 802.1Q (0x8100), length 40: vlan 1118, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype PPPoE D, PPPoE PADI [service-Name] [Host-Uniq UTF8] 12:08:01.739551 bpf_flags 0x85, In Но в ответ ничего не отвечает, интерфейсов не создает, даже mac свой не светит в сеть. Ни одного пакета в сеть не передал. @mx104> show interfaces xe-2/0/1 extensive Physical interface: xe-2/0/1, Enabled, Physical link is Up ... Traffic statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps ... MAC statistics: Receive Transmit Total octets 1232414 0 Total packets 10818 0 Unicast packets 10818 0 Broadcast packets 2699 0 auto-configuration traceoptions пишет: Mar 17 12:14:48 autoconfd_if_l2_input: dropping request since resources are not available Пробовал junos 16.1r4 и 17.1r1 (начиная с 16.1 доступен шейпинг на встроенных десятках). Лицензий браса пока нет, но НАГ уверяет, что jun в течении 30 дней после первого запуска работоспособен, а включил я его 3 дня назад. Прошу подсказать почему не работает, что не так в конфиге и как решить проблему? Заранее спасибо. Edited March 17, 2017 by MAXmks Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 17, 2017 · Report post Тут описано как добовляется атрибуты костыль. http://www.netup.ru/phpbb/viewtopic.php?t=9568&highlight=pppoe+juniper pppoe-demux { interfaces { demux0 { unit "$junos-interface-unit" { vlan-id "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; } family pppoe { duplicate-protection; dynamic-profile pppoe-clients; } } } } } svc-pppoe-policer-10mb { interfaces { pp0 { unit "$junos-interface-unit" { family inet { filter { input policer-10m-nat; output policer-10m; } } } } } } Нужно добавить show system dynamic-profile-options versioning; нужна перезагрузка начинает работать demux. Вывод дай run show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 0 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent service-dc 0 1 0 permanent service-accounting 0 1 0 permanent service-qos 0 1 0 permanent service-ancp 0 1 0 permanent service-cbsp 0 1 0 permanent scale-subscriber 1 8000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent mx5-to-mx10-upgrade 0 1 0 permanent mx10-to-mx40-upgrade 0 1 0 permanent mx40-to-mx80-upgrade 0 1 0 permanent Лог авторизации show system processes general-authentication-service traceoptions { file general-auth.txt size 10m; flag all; } У тебя должно получится: run show subscribers extensive Type: VLAN Logical System: default Routing Instance: default Interface: demux0.3221241317 Interface type: Dynamic Underlying Interface: xe-0/0/0 Dynamic Profile Name: pppoe-demux Dynamic Profile Version: 1 State: Active Session ID: 29723 PFE Flow ID: 15900 VLAN Id: 3600 Login Time: 2017-03-16 15:46:08 UTC Type: PPPoE User Name: pppoe3 IP Address: 172.16.3.7 IP Netmask: 255.255.255.255 Primary DNS Address: x.x.x.10 Secondary DNS Address: x.x.x.253 Logical System: default Routing Instance: default Interface: pp0.3221241318 Interface type: Dynamic Underlying Interface: demux0.3221241317 Dynamic Profile Name: pppoe-clients Dynamic Profile Version: 1 MAC Address: fc:8b:97:55:6d:f2 Session Timeout (seconds): 86400 Idle Timeout (seconds): 600 Idle Timeout Ingress Only: FALSE State: Active Radius Accounting ID: 29724 Session ID: 29724 PFE Flow ID: 15901 VLAN Id: 3600 Login Time: 2017-03-16 15:46:08 UTC Service Sessions: 1 Accounting interval: 600 Service Session ID: 29725 Service Session Name: svc-pppoe-policer-25mb Service Session Version: 1 State: Active Family: inet IPv4 Input Filter Name: policer-25m-nat-pp0.3221241318-in IPv4 Output Filter Name: policer-25m-pp0.3221241318-out Service Activation time: 2017-03-16 15:46:09 UTC Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MAXmks Posted March 17, 2017 · Report post @mx104# run show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 0 1 invalid scale-subscriber 0 10 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent MX104-2x10Gig-port-0-1 0 1 0 permanent MX104-2x10Gig-port-2-3 0 1 0 permanent Лицензии пока такие. Jun ребучу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 17, 2017 · Report post У тебя не хватает лицензии на Radius Если ресет делать железки, то лицензии некоторые слетают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MAXmks Posted March 17, 2017 · Report post Ребут не помог. На сколько я понимаю, что бы дело до радиуса дошло, надо как минимум обменяться контрольными пакетами pppoe, а значит надо как минимум ответить на PADI пакет PADO пакетом. А значит создать интерфейс и засветить в сеть mac адрес. Плюс как говорит Juniper триггером для создания интерфейса является именно PADI. Но вот PADI приходит и не происходит ничего. Или лицензия радиуса так же охватывает и автоконфигурацию интерфейсов? В лог system processes general-authentication-service ничего не пишется, с момента перезагрузки: Mar 17 13:13:40.127296 authd_unix_ipc_setup: jipc-enable-client-io done Mar 17 13:13:40.127677 authd_tcp_ipc_setup: TCP ipc init is done, sockfd is 81 Mar 17 13:13:40.129033 sendAllAcctOnRequests sending ACCT_ON for profile aaa-profile, LS: default, RI: default Mar 17 13:13:40.130311 authd_send_ssh_radius_acctg_state: Starting RADIUS ON accounting Mar 17 13:13:40.130609 authd_radius_get_config:Using radius option config from access profile stanza Mar 17 13:13:40.135095 authd_create_application_specific_radius_server: Evaluating RADIUS server 172.17.75.30 to add to the server list Mar 17 13:13:40.135436 Evaluating RADIUS server 172.17.75.30 to add to the server list Mar 17 13:13:40.137716 Verify source address ac114b13 in routing instance index=0 Mar 17 13:13:40.138097 authd_radius_server_add: server 172.17.75.30 retry 3, timeout 3 Mar 17 13:13:40.142671 Request queued successfully Mar 17 13:13:40.143352 authd_send_ssh_radius_acctg_state: ACCT-ON/OFF req SENT for profile <aaa-profile> Mar 17 13:13:40.144967 License registration complete Mar 17 13:13:40.147554 Notification of libstats socket opening Mar 17 13:13:40.155771 ### GRES: done: Mar 17 13:13:52.149390 Radius result is CLIENT_REQ_TIMEOUT Mar 17 13:13:52.150575 authd_radius_acctg_on_callback ACCT-ON failed, for profile <aaa-profile>; LR <default>; RI <default>: re-trying Mar 17 13:13:52.150866 authd_send_ssh_radius_acctg_state: Starting RADIUS ON accounting Mar 17 13:13:52.151156 authd_radius_get_config:Using radius option config from access profile stanza Mar 17 13:13:52.151478 authd_create_application_specific_radius_server: Evaluating RADIUS server 172.17.75.30 to add to the server list Mar 17 13:13:52.151766 Evaluating RADIUS server 172.17.75.30 to add to the server list Mar 17 13:13:52.152052 Verify source address ac114b13 in routing instance index=0 Mar 17 13:13:52.152425 authd_radius_server_add: server 172.17.75.30 retry 3, timeout 3 Mar 17 13:13:52.152844 Request queued successfully Mar 17 13:13:52.153144 authd_send_ssh_radius_acctg_state: ACCT-ON/OFF req SENT for profile <aaa-profile> Mar 17 13:13:57.828045 Radius result is CLIENT_REQ_STATUS_SUCCESS Mar 17 13:13:59.466242 authd_radius_acctg_on_callback: Acct on ack received for profile aaa-profile, LI: default, RI: default Лог автоконфигурации: Mar 17 13:39:05 Try to connect w/BBE Mar 17 13:39:05 Unable to connect to socket for send to sdb_bbed: No such file or directory Mar 17 13:39:05 sdb_bbe_server_send_queue_flush Mar 17 13:39:05 closing SDB_BBE connection Mar 17 13:39:07 Try to connect w/BBE Mar 17 13:39:07 Unable to connect to socket for send to sdb_bbed: No such file or directory Mar 17 13:39:07 sdb_bbe_server_send_queue_flush Mar 17 13:39:07 closing SDB_BBE connection Mar 17 13:39:07 autoconfd_if_l2_input: dropping request since resources are not available лог configuration protocols pppoe traceoptions Mar 17 13:15:32.697102 xe-2/0/0: changed=1 flags=c000 Mar 17 13:15:32.697451 updateMajorDevice:MTU : 1514 Mar 17 13:15:32.697865 updateMajorDevice: xe-2/0/1 Mar 17 13:15:32.698166 xe-2/0/1: changed=1 flags=c100 Mar 17 13:15:32.698486 updateMajorDevice:MTU : 1522 лог messages: Mar 17 13:41:30 mx104 alarmd[2181]: Alarm cleared: License color=YELLOW, class=CHASSIS, reason=Per Subscriber Radius Accounting usage requires a license Mar 17 13:41:30 mx104 craftd[1938]: Minor alarm cleared, [b]Per Subscriber Radius Accounting usage requires a license[/b] Mar 17 13:41:30 mx104 craftd[1938]: Minor alarm set, [b]Per Subscriber Radius Accounting usage requires a license[/b] Mar 17 13:41:30 mx104 alarmd[2181]: Alarm set: License color=YELLOW, class=CHASSIS, reason=[b]Per Subscriber Radius Accounting usage requires a license[/b] Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted March 17, 2017 · Report post У тебя не хватает лицензии на Radius Если ресет делать железки, то лицензии некоторые слетают. Я думал циска впереди планеты всей, по степени охренения, ан нет... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 17, 2017 · Report post У тебя не хватает лицензии на Radius Если ресет делать железки, то лицензии некоторые слетают. Я думал циска впереди планеты всей, по степени охренения, ан нет... Лицензии только на количество сабскрайберов(сабскрайбером является и денамически созданный vlan) и на порты. ТС разберись с лицензиями посмотри какие у меня есть. Когда у меня слетали лицензии было вот так. Сессия кстати создавалась сервисы не навешивались. show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 0 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent scale-subscriber 1 8000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent mx5-to-mx10-upgrade 0 1 0 permanent mx10-to-mx40-upgrade 0 1 0 permanent mx40-to-mx80-upgrade 0 1 0 permanent З.Ы. хочешь скину лог авторизации он очень трудно читабелен я сам в нем с трудом разбираюсь. З.З.Ы. ТС попроси открыть закрытую ветку, тебе будет проще, там есть, что почитать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MAXmks Posted March 17, 2017 (edited) · Report post З.Ы. хочешь скину лог авторизации он очень трудно читабелен я сам в нем с трудом разбираюсь. Хочу, спасибо. З.З.Ы. ТС попроси открыть закрытую ветку, тебе будет проще, там есть, что почитать. Это которая в важных темах? Оборудование Juniper Network. Отзывы, реальная производительность. Эту я читал, не нашел ответов. Стоит туда вопрос перенести? По теме, с автоконфигурацией так ничего и не вышло. Слетевших лицензий у меня вроде как нет. Или я не знаю как это увидеть. Попытался сделать статический интерфейс с QinQ, в джун съел конфиг такой конструкции: xe-2/0/2 { traceoptions { flag all; } hierarchical-scheduler; flexible-vlan-tagging; encapsulation flexible-ethernet-services; mac 00:1f:9e:b7:70:1b; unit 1118 { vlan-tags outer 1118 inner-range 80-110; family pppoe { duplicate-protection; dynamic-profile pp0; } } } Но вел при этом себя забавно, входящие трафик засовывал правильно svlan 1118 cvlan 100 18:d6:c7:5d:88:d7 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 40: vlan 1118, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype PPPoE D, PPPoE PADI [service-Name] [Host-Uniq UTF8] А вот исходящий засовывал в cvlan 80 svlan 1118 )) 08:b2:58:27:ee:4c > 18:d6:c7:5d:88:d7, ethertype 802.1Q (0x8100), length 65: vlan 80, p 6, ethertype PPPoE D, PPPoE PADO [AC-Name "mx104"] [Host-Uniq UTF8] [service-Name] [AC-Cookie UTF8] Но хотя бы он отвечает на PADI безо всяких лицензий. В итоге я сделал статический интерфейс с QinQ и одним вланом внутри. xe-2/0/2 { traceoptions { flag all; } hierarchical-scheduler; flexible-vlan-tagging; encapsulation flexible-ethernet-services; mac 00:1f:9e:b7:70:1b; unit 1118 { vlan-tags outer 1118 inner 100; family pppoe { duplicate-protection; dynamic-profile pp0; } } } И обмен пакетами пошел @mx104> show pppoe statistics Active PPPoE sessions: 0 PacketType Sent Received PADI 0 96 PADO 96 0 PADR 0 96 PADS 96 0 PADT 0 0 Service name error 0 0 AC system error 96 0 Generic error 0 0 Malformed packets 0 0 Unknown packets 0 0 Дальше можно разбираться что за ошибка AC system error Вот что пишет pppoe debug @mx104> show log pppoe.log | last 100 ... Mar 17 18:49:38.868361 sendDynamicProfileRequest: Dynamic Profile Add request for sdbId=163 profile=pp0 Mar 17 18:49:38.868689 config_bits=0x1 0 0 0 Mar 17 18:49:38.869488 sendDynamicProfileRequest: Dynamic Profile Add request FAILED for sdbId=163 result=107, err=Operation not permitted Mar 17 18:49:38.869811 terminateSession: iflName= Terminate Reason=6 Mar 17 18:49:38.870124 eraStopEvent: eraStopEvents=159 Mar 17 18:49:38.870461 if xe-2/0/2.1118 session id 163 del Исходя из этого лога можно предположить, что он не смог подгрузить dynamic profile pp0 и создать интерфейс, так? Если так, то видимо это таже причина по которой не отрабатывает автоконфигурация. Но меня и в целом не устраивает конструкция с 1 (одним) C-VLAN, у меня их до 1000 на 1 S-VLAN. А значит надо разбираться в чем дело с автоконфигурацией. Вывод дай run show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 0 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent service-dc 0 1 0 permanent service-accounting 0 1 0 permanent service-qos 0 1 0 permanent service-ancp 0 1 0 permanent service-cbsp 0 1 0 permanent У меня нет этих лицензий, может ли автоконфигурация зависить от какой-то из них, например от subscriber-vlan ?? Edited March 17, 2017 by MAXmks Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 17, 2017 · Report post С телефона Есть закрытая ветка форума джуна на наге, так же по ерексону. http://forum.nag.ru/forum/index.php?showforum=52 При статической записей не будет работать СоА могу ошибается. Точнее без демукс не работает, демукс не работает без динамического создания интерфейса. По вланам скорей всего проблема в лицензии. Если брали у нага брали Джун попросите лицензий попробовать. Я сам qnq не побывал. Попробуй собрать без qnq статическими записями, чтобы сервисы поднять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MAXmks Posted March 20, 2017 · Report post Автоконфиурцию победил. Для этого пришлось включить: system { services { subscriber-management { } enable; Примечательно, что не встретил я ни одного мануала, или конфига в сети, где бы говорилось, что это обязательно. Более того исходя из http://www.juniper.net/documentation/en_US/junos/topics/task/configuration/subscriber-management-enhanced-initial-setup.html этой ссылки, видно что фича появилась в Junos начиная с "Junos OS Release 15.1R3 or later". А автоконфигурация, на сколько я помню с 9 с копейками ветки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ag_nxss Posted April 14, 2020 · Report post Спасибо, мне удалось поднять сервис благодаря этой ветке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Login_sbl Posted May 11, 2020 · Report post коллеги, поделитесь пожалуйста конфигом и радиус атребутами для МХ80. рррое сесеия поднимается, ип получаем, а вот скорость не режется. заранее спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 12, 2020 · Report post @Login_sbl билинг какой? Билинг поддерживает тегированые атрибуты? Если не поддерживает тегированые атрибуты почитай это http://www.netup.ru/phpbb/viewtopic.php?f=1&t=9568 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Login_sbl Posted May 13, 2020 · Report post Биллинг Гидра, а там FreeRadius вопрос сейчас не биллинга, а конфига под жуник Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 13, 2020 · Report post @Login_sbl Давайте порассуждаем На решение вашего вопроса мне известно минимум 3-4 варианта + те варианты которые я не знаю. Смысл сейчас выкладывать куски конфига, которые у вас не заведутся? Я вам скинул ссылку там приведен один из вариантов конфига, когда радиус биллинга не может передать тегированные атрибуты. Поэтому человек досылает атрибуты через CoA, после того, как сессия собралась. Да вариант не из элегантных, но в таком варианте все описано на коробке, от биллинга только требуется передать 1 строку. https://nag.ru/upload/article-files/toi-vblazhkun-2012-05-24-v-0-5.pdf Соберите зеркало между клиентом и брасом встаньте ваершарком посмотрите на пакеты. Это пример. Если вы прочитаете старые мои сообщения выше вы должны понять логику. В моем случае радиус отдает строчку ERX-Service-Activate:1 = "svc-pppoe-policer-10m" и на существующий demux интерфейс вешается новый профайл в котором уже есть фильтр, шейпер, сервис и все, что вам нужно. Я не смог найти оригинальную строчку с джуна напишу как помню(могу ошибатся). Суть такая: Радиус отдает строчку типа ERX-Service-Activate:1 = "123,323,321,451,532,564,533" и каждая цифра это динамические атрибуты для сессий , которые не прописаны на коробке, точнее прописаны, но вот в таком формате: unit "$junos-interface-unit" { vlan-id "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; Через "$". З.Ы. на наге есть закрытый раздел juniper. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...