bladezz Posted October 17, 2022 Posted October 17, 2022 Всем доброго времени суток. Собственно сабж. Есть Juniper mx80/204 серии и аналог функционала Cisco ISG был бы очень кстати. Нужен L3-connected. На сайте Juniper нашёл, что с версии 18.1R1 реализовали старт сессии по факту прохождения IP трафика . По факту из их доки , что-то мутно всё описано. Помогите найти куда копать , по сути нужно L3-connected + RADIUS + CoA , заранее благодарен. Если у кого-то есть пример конфигов , тоже буду признателен . Вставить ник Quote
StSphinx Posted October 18, 2022 Posted October 18, 2022 В 17.10.2022 в 20:00, bladezz сказал: Всем доброго времени суток. Собственно сабж. Есть Juniper mx80/204 серии и аналог функционала Cisco ISG был бы очень кстати. Нужен L3-connected. На сайте Juniper нашёл, что с версии 18.1R1 реализовали старт сессии по факту прохождения IP трафика . По факту из их доки , что-то мутно всё описано. Помогите найти куда копать , по сути нужно L3-connected + RADIUS + CoA , заранее благодарен. Если у кого-то есть пример конфигов , тоже буду признателен . Тоже интересно. Ссылочку на доку киньте, пожалуйста. Вставить ник Quote
bladezz Posted October 18, 2022 Author Posted October 18, 2022 В 18.10.2022 в 11:49, StSphinx сказал: Тоже интересно. Ссылочку на доку киньте, пожалуйста. Пока так , чуть позже как приедет MX начну эксперименты . Но по сути это тот функционал который нужен . Вставить ник Quote
StSphinx Posted October 18, 2022 Posted October 18, 2022 https://files.ixnfo.com/Manuals/Juniper/Packet-Triggered-abonenti-MX-BNG-v01-2.pdf Вот, накопал примеры. Попробуете, дайте знать что и как получилось. Вставить ник Quote
bladezz Posted October 18, 2022 Author Posted October 18, 2022 В 18.10.2022 в 15:10, StSphinx сказал: https://files.ixnfo.com/Manuals/Juniper/Packet-Triggered-abonenti-MX-BNG-v01-2.pdf Вот, накопал примеры. Попробуете, дайте знать что и как получилось. Большое спасибо , как доедет MX80 для теста , погляжу . И после расскажу , что и как получилось . Вставить ник Quote
StSphinx Posted February 22, 2023 Posted February 22, 2023 @bladezz, у меня раньше получилось собрать стенд... Клиенты L2 connected, инициация сессии по src IP(без DHCP). Для L3 connected, изменится только routing-options. Вот такая конфигурация: Железо: MX80, софт: 19.4R3.11 Профиль сессии: routing-instances { //у меня клиенты живут в отдельном instance "$junos-routing-instance" { interface "$junos-interface-name"; routing-options { access-internal { route $junos-subscriber-ip-address { qualified-next-hop "$junos-interface-name"; } } } } } interfaces { demux0 { unit "$junos-interface-unit" { actual-transit-statistics; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address "$junos-loopback-interface"; } } } } Настройка subscriber-faced интерфейса: #show configuration interfaces xe-0/0/1 unit 112 description IPoE-test; demux { inet { address source; auto-configure { address-ranges { dynamic-profile IPoE { network 172.30.8.128/25 { range R1 { low 172.30.8.129/32; high 172.30.8.253/32; } } } authentication { password radPASSWORD; username-include { source-address; } } } } } } vlan-id 112; family inet { unnumbered-address lo0.10 preferred-source-address 172.30.8.254; } Ну и loopback: #show configuration interfaces lo0 unit 10 description Inet; family inet { filter { input-list [ icmp icmp-other icmp-frag trace-tcp trace-udp nothing-else ]; } address 192.168.4.10/32; address 172.30.8.254/32; } Профиль сервиса не показываю. Он довольно развесистый, единый у меня как для IPoE так и для PPPoE. Вставить ник Quote
Ser Posted February 27, 2023 Posted February 27, 2023 (edited) @StSphinx Клиенты L2 connected, инициация сессии по src IP(без DHCP). А как в таком случае сделать dhcp-relay на джунике? Для меня было бы идеально инициация по src-IP и просто dhcp-relay op82 как вспомогательная функция в каждом влане до клиента. Возможно такое? Edited February 27, 2023 by Ser Вставить ник Quote
orlik Posted February 27, 2023 Posted February 27, 2023 Quote @SerВозможно такое? Врятли , как вы себе представляете и dhcp и инициализация по src-ip ? это система должна выставить приоритеты для одного и другого способа аутентификации, чтобы не перепутать абонента и не авторизовать его дважды. А вообще , если вас устраивает dhcp-relay , то непонятно зачем вам нужен не сильно стабильно работающий l3-connected ? Вставить ник Quote
Ser Posted February 27, 2023 Posted February 27, 2023 (edited) @orlik Не совсем так. Мне нужен L2 BRAS Аутентификация по src-IP И просто dhcp-relay op82 без каких либо авторизаций и тд. ПРОСТО пересылка пакетов и вставка OP82. Суть в том, чтобы клиенты могли получить адрес и первый пакет прошел аутентификацию. Клиенты могли сами вписывать себе ip-адрес на роутере. В нашем биллинге ip-адреса статические и никогда не меняются. за исключением когда клиенту меняется адрес на белый и обратно. Я даже согласен заранее все интерфейсы на клиентов создать заранее. Edited February 27, 2023 by Ser Вставить ник Quote
orlik Posted February 27, 2023 Posted February 27, 2023 @Ser, ну тогда проще , конфигурите dhcp-relay с forward-only опцией. Но не понятно о какой opt82 может быть речь на mx ? что вы хотите там вставлять ? Quote Клиенты могли сами вписывать себе ip-адрес на роутере Не понятно зачем тогда dhcp-relay. Quote В нашем биллинге ip-адреса статические и никогда не меняются. за исключением когда клиенту меняется адрес на белый и обратно. Так и аутентифицируйте нормально клиента и возвращайте ему всегда один и тот же адрес. Мне в данном случае не понятна логика работы MX, он должен пропускать dhcp запросы прозрачно , но потом авторизовать по src-ip ? Но при этом клиент прописывает адрес статикой и не понятно, накой в этой схеме dhcp (для первый раз подключившегося абонента )? Мне кажется вы сильно усложнили схему , достаточно было просто сделать dhcp-server/dhcp-relay и забыть обо всех этих сложностях. Особенно учитывая что из примера @StSphinx, видно что на каждый интерфейс у него привязывается определеный пул. никакого unnumbered Вставить ник Quote
Ser Posted February 27, 2023 Posted February 27, 2023 (edited) @orlik Тогда подробнее.. У нас в сети используется qinq влан на клиента svid.cvid сейчас сделано на linux-bras, но хотелось бы переехать на MX Хочется в клиентском влане слушать dhcp-discover/request и пересылать вставляя в op82 текст cvid.svid Клиент может получить, если захочет так адрес или не получить, если сам себе впишет адрес. Есть такие юрики, чтоб им нужен белый адрес, который они вписываю сами. А уже аутентификация, тарификация и тд по src-ip первого пакета и последующих. Мне кажется схема универсальная и лаконичная. Я не понимаю почему нужно категорично делить dhcp или нет dhcp. Мне нужно dhcp-relay с forward-only, а сессии в джунике по src-ip. Quote он должен пропускать dhcp запросы прозрачно , но потом авторизовать по src-ip Да. именно так, но вставлять op82. Так возможно? Edited February 27, 2023 by Ser Вставить ник Quote
orlik Posted February 27, 2023 Posted February 27, 2023 Quote Я не понимаю почему нужно категорично делить dhcp или нет dhcp. в пределах одного логического интерфейса придётся. Quote Хочется в клиентском влане слушать dhcp-discover/request и пересылать вставляя в op82 текст cvid.svid в forward-only mx добавляет в opt82 название интерфейса , с которого прилетел запрос. Quote Мне кажется схема универсальная и лаконичная. кому как. сложно слишком универсально и не понятно P.S. сможете ли вы такое сконфигурить - сомневаюсь, но попробуйте :) Вставить ник Quote
Ser Posted February 28, 2023 Posted February 28, 2023 Подскажите, кто знает. Возможно ли настроить интерфейс клиента, чтобы одновременно работало - инициация сессии по src IP и dhcp-relay op82 (forward-only)? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.