romar131184 Опубликовано 3 августа, 2020 · Жалоба Добрый вечер,коллеги. Прошу помощи. у кого нибудь есть рабочая связка bras PPPoe+eoip на базе Juniper MX в связке с UTM5 и freersdius? Получил на тест Juniper MX204. хочется сделать на нем BGP в routing-instanse плюс bras pppoe и eoip,клиенты будут приземляться на vpls посаженом на самом брасе. C BGP вроде разобрался,вопросов нет,а вот клиента все никак не могу авторизовать.точнее авторизовать получилось,но не получается наложить фильтры на пропускную способность клиента,а так же поселить его в в ту vrf где живет BGP. может кто подскажет примерами конфигов и какие радиус атрибуты нужно выставить в UTM5 что бы джунипер их подхватил,буду очень признателен. С Juniper никогда не работал,поэтому еще не до конца понимаю как с ним правильно работать,заранее прошу прощения за может быть глупые вопросы,повторюсь,с juniper мало опыта )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 августа, 2020 · Жалоба @romar131184 Это про pppoe про eoip там же ищи http://www.netup.ru/phpbb/viewtopic.php?f=1&t=9568 Есть закрытая ветка по Juniper там то же есть информация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 3 августа, 2020 · Жалоба А как в эту ветку попасть? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 августа, 2020 · Жалоба @romar131184 https://forum.nag.ru/index.php?/topic/77159-oborudovanie-juniper-network-otzyvy-realnaya-proizvoditelnost/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 4 августа, 2020 · Жалоба А зачем pppoe то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 4 августа, 2020 · Жалоба потому как сейчас работают 3 se100. 2 из них как брасы и собирают уже существующих pppoe и clips клиентов,а один как border. хотелось бы заменить все это одним MX204. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 4 августа, 2020 · Жалоба @romar131184 по опыту чем ближе pppoe сервер к клиенту тем лучше Хотя ipoe лучше в 2020, но всё зависит от бюджета Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 4 августа, 2020 · Жалоба В дальнейшем все pppoe клиенты плавно перейдут на ipoe,но это будет долгий процесс. Поэтому сейчас нужна поддержка pppoe. Но суть не в методе авторизации,нужно сессию клиента как то засунуть в роутинг инстанс где живёт интернет,в глобальной таблице будет ходить mpls. Хотя для ppp клиентов можно оставить брас на se100,со временем они исчезнут,а ipoe пересадить на джунипер.но от этого не легче... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 10 августа, 2020 · Жалоба В 04.08.2020 в 16:42, romar131184 сказал: В дальнейшем все pppoe клиенты плавно перейдут на ipoe,но это будет долгий процесс. Поэтому сейчас нужна поддержка pppoe. Но суть не в методе авторизации,нужно сессию клиента как то засунуть в роутинг инстанс где живёт интернет,в глобальной таблице будет ходить mpls. Хотя для ppp клиентов можно оставить брас на se100,со временем они исчезнут,а ipoe пересадить на джунипер.но от этого не легче... Чтобы клиентскую сессию закинуть в нужный instance, при авторизации сессии отдаем Radius атрибут ERX-Virtual-Router-Name с наименованием routing-instance и ERX-Local-Loopback-Interface с наименованием loopback интерфейса. Само собой, loopback уже должен принадлежать указанному instance. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 10 августа, 2020 · Жалоба 3 часа назад, StSphinx сказал: ERX-Local-Loopback-Interface это не обязательно начиная с 15.1 точно такого профиля (IPoE в моем случае) достаточно routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; } } interfaces { demux0 { unit "$junos-interface-unit" { actual-transit-statistics; proxy-arp; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address "$junos-loopback-interface"; } } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 10 августа, 2020 · Жалоба 9 минут назад, GrandPr1de сказал: это не обязательно начиная с 15.1 точно такого профиля (IPoE в моем случае) достаточно routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; } } interfaces { demux0 { unit "$junos-interface-unit" { actual-transit-statistics; proxy-arp; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address "$junos-loopback-interface"; } } } } Тестировал на 18.4. Без ERX-Local-Loopback-Interface, PPPoE сессия с установкой ppp интерфейса в необходимый routing-instance, не взлетала. Можно конечно указать loopback в конфигурации demux'а на BNG , если вы это имеете ввиду. У меня задача стояла назначать routing-instance и сопутствующие ему параметры из биллинга. Этим решением и делюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 10 августа, 2020 · Жалоба 5 часов назад, StSphinx сказал: Тестировал на 18.4. Без ERX-Local-Loopback-Interface, PPPoE сессия с установкой ppp интерфейса в необходимый routing-instance, не взлетала. Можно конечно указать loopback в конфигурации demux'а на BNG , если вы это имеете ввиду. У меня задача стояла назначать routing-instance и сопутствующие ему параметры из биллинга. Этим решением и делюсь. скинул свой готовый конфиг, передать достаточно только ERX-Virtual-Router, вряд ли для РРР оно должно отличаться юнит лупбека в инстансе может быть только один, так что джунос должен знать связь RI и конкретного юнита лупбека Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 11 августа, 2020 · Жалоба routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; } } interfaces { demux0 { unit "$junos-interface-unit" { actual-transit-statistics; proxy-arp; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0; } } } } Вот мой профиль на eoip,я луп назначаю в конфигурации,по этому мне его через радиус передавать не нужно. пока не получается поднять сессию,пилим фрирадиус,что бы он начал передавать атрибуты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 11 августа, 2020 · Жалоба @romar131184 проксирадиус? Может проще убрать ютм? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 13 августа, 2020 · Жалоба Нет. утм убрать не могу. Не могу добиться что бы eoip запросы прилетали во фрирадиус,с pppoe вроде разобрался. не подскажете,что я не так сделал? xe-0/1/4 { vlan-tagging; mtu 9216; gigether-options { speed 1g; } unit 40 { description eoip-clients; demux-source inet; vlan-id 40; family inet { unnumbered-address lo0.0; } } } lo0 { unit 0 { family inet { address 80.X.X.X/32; } } } } access { radius-server { 10.0.1.215 { port 1812; accounting-port 1813; secret XXXXXXXX timeout 10; retry 5; max-outstanding-requests 1500; source-address 10.0.1.101; } } profile Access-Profile-1 { accounting-order radius; authentication-order radius; domain-name-server { 8.8.8.8; } radius { authentication-server 10.0.1.215; accounting-server 10.0.1.215; options { nas-port-id-delimiter :; calling-station-id-delimiter :; calling-station-id-format { nas-identifier; interface-description; } accounting-session-id-format decimal; revert-interval 60; client-authentication-algorithm round-robin; client-accounting-algorithm direct; coa-dynamic-variable-validation; } } session-options { client-idle-timeout 60; client-session-timeout 1440; } radius-server { 10.0.1.215 { port 1812; accounting-port 1813; secret XXXXXXXX timeout 2; retry 3; max-outstanding-requests 200; source-address 10.0.1.101; } } accounting { order radius; immediate-update; coa-immediate-update; update-interval 10; statistics volume-time; send-acct-status-on-config-change; } } report-interface-descriptions; radius-options { request-rate 500; } } routing-instances { Inet { instance-type virtual-router; system { services { dhcp-local-server { authentication { password Redbek; username-include { mac-address; } } group 1 { dynamic-profile IP-DHCP-PROFILE; interface lo0.0; interface xe-0/1/4.40; } } } } access { address-assignment { pool BRAS_POOL { family inet { network 80.X.X.X/20; dhcp-attributes { maximum-lease-time 3600; name-server { 8.8.8.8; } router { 80.X.X.1; } } } } } } access-profile Access-Profile-1; interface xe-0/1/4.40; interface lo0.0; } } dynamic-profiles { } IP-DHCP-PROFILE { routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; } } interfaces { demux0 { unit "$junos-interface-unit" { demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0; } } } } } } [edit] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 13 августа, 2020 · Жалоба 5 часов назад, romar131184 сказал: бы eoip может всё же ipoe? dhcp-local-server должен быть и в глобале и в врфе и надо описать все пулы адресов в aceccss address-assignment так же в глобале и в врфе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 25 августа, 2020 · Жалоба On 8/13/2020 at 3:36 PM, GrandPr1de said: может всё же ipoe? dhcp-local-server должен быть и в глобале и в врфе и надо описать все пулы адресов в aceccss address-assignment так же в глобале и в врфе На сколько я понял dhcp-local-server может быть только один на коробку. у меня он сидит в врф,при поднятии его еще и в глобале идет ругань на лицензию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 25 августа, 2020 · Жалоба 5 hours ago, romar131184 said: На сколько я понял dhcp-local-server может быть только один на коробку. у меня он сидит в врф,при поднятии его еще и в глобале идет ругань на лицензию. Вы явно что-то делаете не правильно. Не должно быть ругани на лицензию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 25 августа, 2020 · Жалоба 6 часов назад, romar131184 сказал: На сколько я понял dhcp-local-server может быть только один на коробку. не правильно вы поняли Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 25 августа, 2020 · Жалоба Как я понимаю, возможно я ошибаюсь. Juniper работает с тренированными атрибутами радиуса, у utm 5 они не поддерживаются, либо досылать скриптом через coa, либо ставить прокси радиус. Если вам нужен vrf, можно на глобале собирать основной сервис, а уже когда сабскрайбер создан досылать нужный вам профайл через coa и помещать этого сабскрайбера в нужный вам vrf через роутинг инстанс. Все это нужно собирать через demux интерфейс. Если бы utm 5 поддерживал тренированные атрибуты, то можно было бы использовать один профайл и уже его модифицировать из радиуса. З.ы. если бы вы на форуме utm немного поискали то бы нашли ответы на ваши вопросы Rico-X реализовал связку utm5 + juniper mx pppoe и ipoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 27 августа, 2020 · Жалоба Я так понял у меня лицензия только на 1 aceccss address-assignment root@mx204# run show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-accounting 1 1 0 permanent subscriber-authentication 0 1 0 permanent subscriber-address-assignment 1 1 0 permanent subscriber-vlan 0 1 0 permanent subscriber-ip 0 1 0 permanent service-dc 0 1 0 permanent service-accounting 0 1 0 permanent service-qos 0 1 0 permanent service-ancp 0 1 0 permanent service-cbsp 0 1 0 permanent scale-subscriber 1 16000 0 permanent scale-l2tp 0 1000 0 permanent Это так и должно быть? дело в том что к фрирадиусу нет запросов даже из глобальной таблици,тоесть я явно что то не так делаю,при этом pppoe авторизируется на фрирадиусе. может кто нибудь поделтьбся конфигом порта,куда прилетают dhcp запросы,желательно с QnQ,конфигом dhcp сервера,динамическим профилем,акцес профилем,в общем всего,что касается ipoe? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 августа, 2020 · Жалоба @romar131184 http://www.netup.ru/phpbb/viewtopic.php?f=1&t=9728 Тебе к ТС этой ветке. У него все работало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 1 сентября, 2020 · Жалоба в общем друзья что то получилось.сессия ipoe поднимается прямо в врф,никаних coa не нужно в данном случае клиентом выступает микротик,вот что он получает [admin@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 3 D X.X.52.90/32 X.X.48.1 eth2.40.40 в настройках dhcp клиента на микротике указано добавлять маршрут по умолчанию,но [admin@MikroTik] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 3 ADC X.X.48.1/32 X.X.52.90 eth2.40.40 0 и все,дефулта у клиента нет,не подскажете в какую сторону рыть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 сентября, 2020 · Жалоба описать dhcp pool-ы в address-assignment и указать для подсети шлюз какой отдавать > show configuration access address-assignment pool p1 family inet { network 172.16.0.0/24; range r1 { low 172.16.0.11; high 172.16.0.253; } dhcp-attributes { router { 172.16.0.1; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romar131184 Опубликовано 1 сентября, 2020 · Жалоба в том то и дело что это есть root@mx204# show access address-assignment pool BRAS_POOL { family inet { network X.X.48.0/20; dhcp-attributes { maximum-lease-time 3600; name-server { 8.8.8.8; } router { X.X.48.1; } } } } [edit] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...