Перейти к содержимому
Калькуляторы

Juniper MX+UTM5+freersdius=bras PPPoe+eoip

24 минуты назад, romar131184 сказал:

в том то и дело что это есть 
 

root@mx204# show access address-assignment
pool BRAS_POOL {
    family inet {
        network X.X.48.0/20;
        dhcp-attributes {
            maximum-lease-time 3600;
            name-server {
                8.8.8.8;
            }
            router {
                X.X.48.1;
            }
        }
    }
}

[edit]
 

а в врфе?

 

> show configuration access address-assignment pool nat-1 
family inet {
    network 100.64.0.0/20;
    range r1 {
        low 100.64.0.2;
        high 100.64.15.254;
    }
    dhcp-attributes {
        router {
            100.64.0.1;
        }
    }
}

> show configuration routing-instances mix access address-assignment pool nat-1 
family inet {
    network 100.64.0.0/20;
    range r1 {
        low 100.64.0.2;
        high 100.64.15.254;
    }
    dhcp-attributes {
        router {
            100.64.0.1;
        }
    }
}

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

root@mx204# run show system license
License usage:
                                 Licenses     Licenses    Licenses    Expiry
  Feature name                       used    installed      needed
  subscriber-accounting                 1            1           0    permanent
  subscriber-authentication             0            1           0    permanent
  subscriber-address-assignment         1            1           0    permanent
  subscriber-vlan                       0            1           0    permanent
  subscriber-ip                         0            1           0    permanent
  service-dc                            0            1           0    permanent
  service-accounting                    0            1           0    permanent
  service-qos                           0            1           0    permanent
  service-ancp                          0            1           0    permanent
  service-cbsp                          0            1           0    permanent
  scale-subscriber                      0        16000           0    permanent
  scale-l2tp                            0         1000           0    permanent


А разве он тогда на лицензию не будет ругаться?
subscriber-address-assignment         1            1           0    permanent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

26 минут назад, romar131184 сказал:

А разве он тогда на лицензию не будет ругаться?

почему он должен? как ты это понял? мне вот даже хочется логику понять в следствии которой ты решил что нужно больше одной лицензии.

у меня ровно столько же лицензий на коробке с которой конфиг выше дал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну ладно,что кричать то сразу )))) добавил в врф и действительно,все заработало )) спасибо за помощь,если что,сильно не ругайте,это мой первый джунипер ))

 

следующим шагом будет перетащить это все на vpls. тоесть я хочу на mx204 закончит vpls и на нем принять клиентов в QinQ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И еще такой вопрос,работает клиент IPoE,у клиента сменился мак,в фрирадиусе мы его меняем на новый,но сессия не поднимится пока жива сессия со старым маком,ее мы можем удалить командой dynamic-configuration session delete session-id XXX но сессия все равно не поднимается,предполагаю из за arp записи,а ее я что то удалить не могу,либо опять как то не так пытаюсь это сделать. Кто как борется с решением в данной ситуации?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, romar131184 сказал:

тоесть я хочу на mx204 закончит vpls и на нем принять клиентов в QinQ

PWHT

2 часа назад, romar131184 сказал:

работает клиент IPoE

 

2 часа назад, romar131184 сказал:

Кто как борется с решением в данной ситуации?

убить DHCP лизу либо послать radius POD 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, GrandPr1de said:

убить DHCP лизу 

А команду не подскажете? )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, romar131184 сказал:

А команду не подскажете? )

серьезно?)))))

clear dhcp server binding routing-instance _VRF_NAME_ xxx.xxx.xxx.xxx либо clear dhcp server binding xxx.xxx.xxx.xxx если сабскрибер в глобале

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 hours ago, GrandPr1de said:

серьезно?)))))

не поверите,серьезно ))) довольно непривычная железка после циски и эриксона ))) но думаю со времинем обучусь ))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@romar131184 

Держи 

 

monitor interface

show route | match

show route | find

show ethernet-switching table | match B4:2E:99:C2:72:EF (для коммутатора)

 

Если будешь подписывать интерфейсы очень удобно

show interfaces descriptions

 

в режиме конфигурации

show | display set

 

Я так отдельно собираю лог для ospf. 

Можно создавать по вкусу любой лог файл. 

set system syslog file ospf-event any notice
set system syslog file ospf-event match "(.*RPD_OSPF.*)"

run show log ospf-event (из режима конфигурации)

 

физически вырубить порт

set interfaces ge-1/1/1 disable 

commit

delete interfaces ge-1/1/1 disable

commit

 

проверить конфиг на ошибки

commit check

 

применить и откатить настройки обратно

commit confirmed минуты

если все норм то пишем снова commit

 

Это проста бомба 

rollback

 

Скопировать настройки интерфейса.

copy interfaces xe-0/0/0 to xe-0/0/1

 

Сохранить конфиг в отдельный  файл, потом его можно скачать с коробки

save имя файла

Wrote 12001 lines of configuration 

У знакомого было 50к строк. 

 

У меня есть очень здоровый кусок конфига в services и не удобно его смотреть можно спрятать этот кусок 

 

set services apply-flags omit

 

show 

и видеть его я буду вот так 

services { /* OMITTED */ };

 

В эту ветку можно зайти 

edit services

или отдельно уже посмотреть 

show services

 

При создании интерфейса интерфейсу присваивается SNMP  index т.е. если ты создал интерфейс xe-0/0/3 раньше xe-0/0/0, то у xe-0/0/3 индекс будет ниже чем у xe-0/0/0, но так же можно снимать статистику с юнитов т.е. интерфейсов по типу xe-0/0/0.1000

 

 

show interfaces statistics
Physical interface: xe-0/0/0, Enabled, Physical link is Up
  Interface index: 162, SNMP ifIndex: 523

 

Тут я могу ошибаться, понял как понял такое бывает 

 

show pfe route ip

 

Есть логика, конфиг который мы пишем информацию которую мы смотрим т.е. она читаемая для нас. 

А есть pfe 

Если трафик не предназначен для re то он проходит только через pfe 

Junos разжевывает для pfe весь наш конфиг в удобочитаемый для pfe и он уже трафик по этой конфигурации пропускает. 

Если для микротику дать 25 правил фаервола то он их построчно будет применять, а если дать джуну 25к правил фаервола то это будет одно правило(но это не точно). 

 

Тебе нужно самостоятельно этот вопрос понять я сам его не до конца его понял. 

 

З.Ы. В зависимости от коробки есть свои ограничения это уже индивидуально перед покупкой новой железки нужно это знать 

Пример у меня mic и на ней нат, но так же я хотел еще лить с этой же платы флоу + редиректить, из-за того, что re на mx80 один, можно делать только, что-то одно. 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pingz сказал:

Держи 

а можно было просто линк дать https://www.juniper.net/documentation/en_US/day-one-books/junos-beginners-guide.pdf

 

1 час назад, pingz сказал:

25к правил фаервола то это будет одно правило(но это не точно)

trie же ну

1 час назад, pingz сказал:

флоу

отлично инлайн jflow работает прям на пфе

1 час назад, pingz сказал:

редиректить

а вот это уже на RE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, pingz сказал:

show 

и видеть его я буду вот так  

services { /* OMITTED */ };

 

В эту ветку можно зайти 

edit services

или отдельно уже посмотреть 

show | display omit

2 часа назад, pingz сказал:

Junos разжевывает для pfe весь наш конфиг в удобочитаемый для pfe и он уже трафик по этой конфигурации пропускает. 

это не так. для pfe конфиг вообще не нужен, это базовые вещи из jncia, про Routing table, forwarding table, и где что и как передается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@GrandPr1de да на re, когда вы без ната, а когда у вас нат, то на mpc или как в моем случае mic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pingz сказал:

да на re, когда вы без ната

и С натом тоже, не надо людей в заблуждение вводить

1 час назад, pingz сказал:

mpc

всё таки на fpc что как бы равно pfe в широком смысле

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@GrandPr1de ок тогда не могли бы вы скинуть кусочек конфига для билда mx80 + ms-mic, nat + редирект на http страницу.

У меня есть коробка я затещю.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

50 минут назад, pingz сказал:

@GrandPr1de ок тогда не могли бы вы скинуть кусочек конфига для билда mx80 + ms-mic, nat + редирект на http страницу.

У меня есть коробка я затещю.

 

service-set HTTP-REDIRECT {
    service-set-options {
        routing-engine-services;
    }
    captive-portal-content-delivery-profile HTTP-REDIRECT;
    interface-service {
        service-interface si-7/2/0;
    }
}


service-set NAT-SERVICE-SET1 {
    tcp-mss 1210;
    nat-rules NAT-RULE1;
    next-hop-service {
        inside-service-interface sp-4/1/0.100;
        outside-service-interface sp-4/1/0.200;
    }
}


 

всё что нужно знать собсно

редирект на re, нат на сервисной плате

ток коробка постарше, но ничего не мешает сделать так же на мх80

тока я хз кто до сих пор продолжает юзать редиректы в 2020 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Товарищи,руки дошли до выуживания клиента из псевдопровода(PWHT) с PPPoE вроде бы все получилось на тестовой схеме,но если вы не возражаете,я выложу,вдруг глаз специалиста быстро заметит элементарную ощибку,о которой я знать не знаю ))

root@mx204# show interfaces ps0
anchor-point {
    lt-0/1/0;
}
flexible-vlan-tagging;
auto-configure {
    stacked-vlan-ranges {
        dynamic-profile svlan-pppoe-clients {
            accept [ pppoe inet any ];
            ranges {
                any,any;
            }
        }
    }
    remove-when-no-subscribers;
}
mac 00:11:22:33:44:55;
unit 0 {
    description TR-BGT;
    encapsulation ethernet-ccc;
}

[edit]


root@mx204# show dynamic-profiles svlan-pppoe-clients
routing-instances {
    "$junos-routing-instance" {
        interface "$junos-interface-name";
    }
}
interfaces {
    demux0 {
        unit "$junos-interface-unit" {
            vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
            demux-options {
                underlying-interface "$junos-interface-ifd-name";
            }
            family pppoe {
                access-concentrator PPPoE-Server;
                duplicate-protection;
                dynamic-profile PPPoE-PROFILE-1;
                service-name-table pppoe-table;
            }
        }
    }
}

[edit]


root@mx204# show dynamic-profiles PPPoE-PROFILE-1
routing-instances {
    "$junos-routing-instance" {
        interface "$junos-interface-name";
    }
}
interfaces {
    pp0 {
        unit "$junos-interface-unit" {
            ppp-options {
                chap;
                pap;
            }
            pppoe-options {
                underlying-interface "$junos-underlying-interface";
                server;
            }
            keepalives interval 10;
            family inet {
                filter {
                    input "$junos-input-filter";
                    output "$junos-output-filter";
                }
                unnumbered-address lo0.0;
            }
        }
    }
}



root@mx204# show protocols l2circuit
neighbor 10.255.255.10 {
    interface ps0.0 {
        virtual-circuit-id 131313;
        mtu 1508;
        ignore-mtu-mismatch;
        pseudowire-status-tlv;

 

 

а вот с ipoe бьюсь уже второй день,не выходит поднять клиента хоть убейся

root@mx204# show interfaces ps1
anchor-point {
    lt-0/1/0;
}
flexible-vlan-tagging;
auto-configure {
    stacked-vlan-ranges {
        dynamic-profile DYNINTF-2VLANS-DHCP {
            accept dhcp-v4;
            ranges {
                any,any;
            }
        }
    }
    remove-when-no-subscribers;
}
mac 00:11:22:33:44:55;
unit 0 {
    encapsulation ethernet-ccc;
}

[edit]



root@mx204# show protocols l2circuit
neighbor 10.255.255.10 {
    interface ps1.0 {
        virtual-circuit-id 131340;
        mtu 1508;
        ignore-mtu-mismatch;
        pseudowire-status-tlv;
    }
}

[edit]



root@mx204# show dynamic-profiles DYNINTF-2VLANS-DHCP
routing-instances {
    "$junos-routing-instance" {
        interface "$junos-interface-name";
    }
}
interfaces {
    "$junos-interface-ifd-name" {
        unit "$junos-interface-unit" {
            demux-source inet;
            vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
            family inet {
                unnumbered-address lo0.0;
            }
        }
    }
}

[edit]


root@mx204# show system services dhcp-local-server
pool-match-order {
    external-authority;
    option-82;
}
forward-snooped-clients configured-interfaces;
group 1 {
    authentication {
        username-include {
            user-prefix IPoE-MX-204;
            mac-address;
            option-82 circuit-id remote-id;
        }
    }
    dynamic-profile IP-DHCP-PROFILE;
    interface xe-0/1/4.40;
}
group 2 {
    authentication {
        username-include {
            user-prefix IPoE-MX-204;
            mac-address;
            option-82 circuit-id remote-id;
        }
    }
    dynamic-profile DYNINTF-2VLANS-DHCP;
    interface ps1.0;
}

[edit]

В врф пул сделан один в один. Похоже что svlan интерфейс не создается по какой то причине

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, romar131184 сказал:

быстро заметит элементарную ощибку

в чем проблема то? что-то не работает? :)

22 минуты назад, romar131184 сказал:

PPPoE-PROFILE-1

можно ещё no-traps добавитьь для фен шуя

 

23 минуты назад, romar131184 сказал:

mtu 1508; ignore-mtu-mismatch;

вот за такое хочется подзатыльник дать

выровняй мту уже между РЕ и брасом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, GrandPr1de said:

вот за такое хочется подзатыльник дать

выровняй мту уже между РЕ и брасом

Подзатыльник не надо,между PE и брасом все пучком ))) вот сам брас

xe-0/1/6 {
    flexible-vlan-tagging;
    mtu 2000;
    gigether-options {
        speed 1g;
    }
    unit 512 {
        vlan-id 512;
        family inet {
            mtu 1530;
            address 10.255.254.65/30;
        }
        family mpls;
    }
}


root@mx204# show protocols l2circuit
neighbor 10.255.255.10 {
    interface ps0.0 {
        virtual-circuit-id 131313;
        mtu 1508;
        ignore-mtu-mismatch;
        pseudowire-status-tlv;
    }

вот PE

 

 

/interface vlan
add interface=ether2 mtu=1530 name=eth2.512 vlan-id=512

/interface vpls
add advertised-l2mtu=1508 cisco-style=yes cisco-style-id=131313 disabled=no l2mtu=1508 mac-address=02:1A:36:DC:04:A9 mtu=1508 name=vpls1 remote-peer=10.255.255.1

Вроде все правильно ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, romar131184 сказал:

вот PE

мля, микротик

6 минут назад, romar131184 сказал:

все пучком

я про игнор мту мисматч говорю

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 minutes ago, GrandPr1de said:

мля, микротик

я про игнор мту мисматч говорю

 

 

Он самый ))) 

игнор мту мисматч убрал,no-traps повешал )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, pingz сказал:

 Если правильно понял это вот этот вариант? 

типо того, да

только вешается через dynamic-profile что б можно было его добавить\снять в любой момент

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день,товарищи )))

Вроде все получилось,сессии поднимаются и ipoe и pppoe,все крутится в vrf. все хорошо. Но теперь встал вопрос снимать счетчики с клиентских сессий,что бы по ним потом отрисовывать графики потребления трафика,кто как это делает,дайте наводку,в какую сторону рыть? пока что рою в сторону jflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, romar131184 сказал:

что бы по ним потом отрисовывать графики потребления трафика

радиус аккаунтинг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.