[bladezz]

Всем доброго времени суток. Собственно сабж. Есть Juniper mx80/204 серии и аналог функционала Cisco ISG был бы очень кстати. Нужен L3-connected. На сайте Juniper нашёл, что с версии 18.1R1 реализовали старт сессии по факту прохождения IP трафика .

По факту из их доки , что-то мутно всё описано. Помогите найти куда копать , по сути нужно L3-connected + RADIUS + CoA , заранее благодарен. Если у кого-то есть пример конфигов , тоже буду признателен .

[StSphinx]

В 17.10.2022 в 20:00, bladezz сказал:

Всем доброго времени суток. Собственно сабж. Есть Juniper mx80/204 серии и аналог функционала Cisco ISG был бы очень кстати. Нужен L3-connected. На сайте Juniper нашёл, что с версии 18.1R1 реализовали старт сессии по факту прохождения IP трафика .

По факту из их доки , что-то мутно всё описано. Помогите найти куда копать , по сути нужно L3-connected + RADIUS + CoA , заранее благодарен. Если у кого-то есть пример конфигов , тоже буду признателен .

Тоже интересно. Ссылочку на доку киньте, пожалуйста.

[bladezz]

В 18.10.2022 в 11:49, StSphinx сказал:

Тоже интересно. Ссылочку на доку киньте, пожалуйста.

 

Пока так , чуть позже как приедет MX начну эксперименты . Но по сути это тот функционал который нужен .

[StSphinx]

 

 

https://files.ixnfo.com/Manuals/Juniper/Packet-Triggered-abonenti-MX-BNG-v01-2.pdf

 

Вот, накопал примеры. Попробуете, дайте знать что и как получилось.

[bladezz]

В 18.10.2022 в 15:10, StSphinx сказал:

 

 

https://files.ixnfo.com/Manuals/Juniper/Packet-Triggered-abonenti-MX-BNG-v01-2.pdf

 

Вот, накопал примеры. Попробуете, дайте знать что и как получилось.

Большое спасибо , как доедет MX80 для теста , погляжу . И после расскажу , что и как получилось .

[StSphinx]

@bladezz, у меня раньше получилось собрать стенд... 

Клиенты L2 connected, инициация сессии по src IP(без DHCP).

Для L3 connected, изменится только routing-options.

Вот такая конфигурация:

Железо: MX80, софт: 19.4R3.11

Профиль сессии:

routing-instances { //у меня клиенты живут в отдельном instance
    "$junos-routing-instance" {
        interface "$junos-interface-name";
        routing-options {
            access-internal {
                route $junos-subscriber-ip-address {
                    qualified-next-hop "$junos-interface-name";
                }
            }
        }
    }
}
interfaces {
    demux0 {
        unit "$junos-interface-unit" {
            actual-transit-statistics;
            demux-options {
                underlying-interface "$junos-underlying-interface";
            }
            family inet {
                demux-source {
                    $junos-subscriber-ip-address;
                }
                unnumbered-address "$junos-loopback-interface";
            }
        }
    }
}

Настройка subscriber-faced интерфейса:

#show configuration interfaces xe-0/0/1 unit 112 
description IPoE-test;
demux {
    inet {
        address source;
        auto-configure {
            address-ranges {
                dynamic-profile IPoE {
                    network 172.30.8.128/25 {
                        range R1 {
                            low 172.30.8.129/32;
                            high 172.30.8.253/32;
                        }
                    }
                }
                authentication {
                    password radPASSWORD;
                    username-include {
                        source-address;
                    }
                }
            }
        }
    }
}
vlan-id 112;
family inet {
    unnumbered-address lo0.10 preferred-source-address 172.30.8.254;
}

Ну и loopback:
#show configuration interfaces lo0 unit 10          
description Inet;
family inet {
    filter {
        input-list [ icmp icmp-other icmp-frag trace-tcp trace-udp nothing-else ];
    }
    address 192.168.4.10/32;
    address 172.30.8.254/32;
}

Профиль сервиса не показываю. Он довольно развесистый, единый у меня как для IPoE так и для PPPoE.

 

[Ser]

@StSphinx

Клиенты L2 connected, инициация сессии по src IP(без DHCP).

 

А как в таком случае сделать dhcp-relay на джунике?

 

Для меня было бы идеально инициация по src-IP и просто dhcp-relay op82 как вспомогательная функция в каждом влане до клиента.

 

Возможно такое?

Edited February 27, 2023 by Ser

[orlik]

Quote

@SerВозможно такое?

Врятли , как вы себе представляете и dhcp и инициализация по src-ip ? это система должна выставить приоритеты для одного и другого способа аутентификации, чтобы не перепутать абонента и не авторизовать его дважды. 

 

А вообще , если вас устраивает dhcp-relay , то непонятно зачем вам нужен не сильно стабильно работающий l3-connected ? 

[Ser]

@orlik

Не совсем так.

Мне нужен L2 BRAS

Аутентификация по src-IP

И просто dhcp-relay op82 без каких либо авторизаций и тд. ПРОСТО пересылка пакетов и вставка  OP82.

 

Суть в том, чтобы клиенты могли получить адрес и первый пакет прошел аутентификацию.

 

Клиенты могли сами вписывать себе ip-адрес на роутере.

 

В нашем биллинге ip-адреса статические и никогда не меняются. за исключением когда клиенту меняется адрес на белый и обратно.

 

Я даже согласен заранее все интерфейсы на клиентов создать заранее.

Edited February 27, 2023 by Ser

[orlik]

@Ser, ну тогда проще , конфигурите dhcp-relay с forward-only опцией. Но не понятно о какой opt82 может быть речь на mx ? что вы хотите там вставлять ? 

 

Quote

Клиенты могли сами вписывать себе ip-адрес на роутере

Не понятно зачем тогда dhcp-relay. 

 

Quote

В нашем биллинге ip-адреса статические и никогда не меняются. за исключением когда клиенту меняется адрес на белый и обратно.

Так и аутентифицируйте нормально клиента и возвращайте ему всегда один и тот же адрес.

 

Мне в данном случае не понятна логика работы MX, он должен пропускать dhcp запросы прозрачно , но потом авторизовать по src-ip ? Но при этом клиент прописывает адрес статикой и не понятно, накой в этой схеме dhcp (для первый раз подключившегося абонента )? 

Мне кажется вы сильно усложнили схему , достаточно было просто сделать dhcp-server/dhcp-relay и забыть обо всех этих сложностях. Особенно учитывая что из примера @StSphinx, видно что на каждый интерфейс у него привязывается определеный пул. никакого unnumbered

[Ser]

@orlik

 

Тогда подробнее..

 

У нас в сети используется qinq влан на клиента  svid.cvid

 

сейчас сделано на linux-bras, но хотелось бы переехать на MX

 

Хочется в клиентском влане слушать dhcp-discover/request и пересылать вставляя в op82 текст cvid.svid

 

Клиент может получить, если захочет так адрес или не получить, если сам себе впишет адрес. Есть такие юрики, чтоб им нужен белый адрес, который они вписываю сами.

 

А уже аутентификация, тарификация и тд по src-ip первого пакета и последующих.

 

Мне кажется схема универсальная и лаконичная.

 

Я не понимаю почему нужно категорично делить dhcp или нет dhcp. 

 

Мне нужно dhcp-relay с forward-only, а сессии в джунике по src-ip.

 

Quote

он должен пропускать dhcp запросы прозрачно , но потом авторизовать по src-ip

 

Да. именно так, но вставлять op82.

Так возможно?

Edited February 27, 2023 by Ser

[orlik]

Quote

Я не понимаю почему нужно категорично делить dhcp или нет dhcp. 

в пределах одного логического интерфейса придётся. 

Quote

Хочется в клиентском влане слушать dhcp-discover/request и пересылать вставляя в op82 текст cvid.svid

в forward-only mx добавляет в opt82 название интерфейса , с которого прилетел запрос. 
 

Quote

Мне кажется схема универсальная и лаконичная.

кому как. сложно слишком универсально и не понятно

 

 

 

 

 

P.S. сможете ли вы такое сконфигурить - сомневаюсь, но попробуйте :)

[Ser]

Подскажите, кто знает.

Возможно ли настроить интерфейс клиента, чтобы одновременно работало - инициация сессии по src IP и dhcp-relay op82 (forward-only)?