goletsa Опубликовано 26 сентября, 2012 · Жалоба Доброго времени суток. Несколько вопросов по MX80. При организации схемы vlan на дом\район + opt82 возможно ли выдавать на порт больше 1 IP адреса при использовании IP Source Guard и как это должно выглядеть? Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql. Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT? Т.е. например блок адресов завернуть на внешнюю железку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 26 сентября, 2012 · Жалоба Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql. да Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT? да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 26 сентября, 2012 · Жалоба С примерами или ссылками на разделы документации не подскажете? Особенно на самом деле последнее интересует Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 26 сентября, 2012 · Жалоба С примерами или ссылками на разделы документации не подскажете? Особенно на самом деле последнее интересует как-то так routing-instances { garden { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop y.y.y.y; } } } } filter f-garden { interface-specific; term T1 { then { routing-instance garden; } } term default { then accept; } } ну и навешиваете этот фильтр на сессию абонента... если хотите имено по адресу то немного надо переписать фильтр Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Shepelev Опубликовано 27 сентября, 2012 · Жалоба Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql. Да было дело. Через динамические переменные профили создается все. Что значит опицю разбирать? МХ все нормально понимает не надо ничего никуда разбирать. Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT? Да можно как описано в примере выше. Создать несколько фильтров и радиус асептом их навешивать на абонентские динамические интерфейсы. ну и соответственно фильтрами раздавать все в свои врф. Если по адресу то: filter f-garden { interface-specific; term T1 { from source-address x.x.x.x then { routing-instance garden; } } term default { then accept; } } то примерно так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 27 сентября, 2012 · Жалоба Вообще говоря, там есть RADIUS-атрибутик, который позволяет пересадить абонентский интерфейс в routing-instance. Без фильтров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Shepelev Опубликовано 27 сентября, 2012 · Жалоба Да кстати ж можно изначально под каждого абона динамически создать vrf, а там уж маршрутизируйте свой трафик как хотите и зачем хотите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 6 ноября, 2012 · Жалоба Что-бы не плодить темы. На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance) или пользователей нужно терминировать со стороны встроенных Xe? Ну и заодно, у кого уже используется в продакшене? Подвалило 1-1,5кк домушников, под рукой ничего кроме количества mx80 (сейчас используются как обычные enterprise PE). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 6 ноября, 2012 · Жалоба На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance) Можно. или пользователей нужно терминировать со стороны встроенных Xe? Не уверен, что терминация абонентов вообще поддерживается на встроенных xe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 7 ноября, 2012 · Жалоба Не уверен, что терминация абонентов вообще поддерживается на встроенных xe. В лоб на Xe не работает, а если описать его как AE, все работает нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 7 ноября, 2012 · Жалоба На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance) Можно. или пользователей нужно терминировать со стороны встроенных Xe? Не уверен, что терминация абонентов вообще поддерживается на встроенных xe. В MX80 на встроенных портах нет только H-QoS, т.е. полисить много абонентов нельзя. Все остальное идентичное модульным портам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 7 ноября, 2012 · Жалоба Начинаю потихоньку разбираться. Схема: тестовый юзер - Huawei S23xx Quidway (добавляет опцию 82) - Huawei Quidway S53xx (собирает QQ(c-vlan = 222, s-vlan = 4000)) - Juniper MX80 (ge-1/0/9) + isc-dhcp + freeradius Запрос dhcp + опция 82 от клиента до DHCP прилетает: Nov 7 15:44:36 dhcp dhcpd: DHCPDISCOVER from f0:de:f1:ae:23:02 (HP30591260952) via 10.255.255.1 Nov 7 15:44:36 dhcp dhcpd: DHCPOFFER on 10.255.255.6 to f0:de:f1:ae:23:02 (HP30591260952) via 10.255.255.1 MX80 лезет на radius и вроде авторизуется Wed Nov 7 15:43:17 2012 : Auth: Login OK: [ipoe.0002.4CB16CE54B8C/password] (from client lo:10.255.255.0/24 port 306184414) Wed Nov 7 15:43:35 2012 : Auth: Login OK: [ipoe.0002.4CB16CE54B8C/password] (from client lo:10.255.255.0/24 port 306184414) Но если смотреть сабскрайберов то не видно, что dhcp отдал адрес и построен demux интерфейс. Может кто подскажет какие vsa нужно отдавать с радиуса или хоть в какую сторону копать? MX80-test#run show subscribers detail Type: VLAN Logical System: default Routing Instance: default Interface: ge-1/0/9.1073741953 Interface type: Dynamic Dynamic Profile Name: QQ-ip-demux State: Active Session ID: 629 Stacked VLAN Id: 0x8100.4000 VLAN Id: 0x8100.222 Login Time: 2012-11-07 14:54:05 MSK Type: DHCP User Name: ipoe.0002.4CB16CE54B8C Logical System: default Routing Instance: default Interface type: Dynamic Dynamic Profile Name: dhcp-ip-demux MAC Address: f0:de:f1:ae:23:02 State: Init DHCP Relay IP Address: 10.255.255.1 Session ID: 652 Agent Circuit ID: len 2 00 02 Agent Remote ID: len 6 4c b1 6c e5 4b 8c Login Time: 2012-11-07 15:36:01 MSK DHCP Options: len 65 35 01 01 3d 07 01 f0 de f1 ae 23 02 0c 0d 48 50 33 30 35 39 31 32 36 30 39 35 32 3c 08 4d 53 46 54 20 35 2e 30 37 0c 01 0f 03 06 2c 2e 2f 1f 21 79 f9 2b 52 0c 01 02 00 02 02 06 4c b1 6c e5 4b 8c Конфиг MX80-test1#show dynamic-profiles QQ-ip-demux { interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { demux-source inet; vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; family inet { unnumbered-address lo0.0; } } } } } dhcp-ip-demux { interfaces { demux0 { unit "$junos-interface-unit" { demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0; } } } } } MX80-test#show forwarding-options dhcp-relay { dynamic-profile dhcp-ip-demux; server-group { 1 { 172.31.192.12; } } active-server-group 1; group 1 { authentication { password password; username-include { user-prefix ipoe; option-82 circuit-id remote-id; } } overrides { allow-snooped-clients; trust-option-82; } interface ge-1/0/9.0; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 7 ноября, 2012 · Жалоба А что за адрес 10.255.255.1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 7 ноября, 2012 · Жалоба А что за адрес 10.255.255.1? висит на интерфейсе lo0.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 8 ноября, 2012 (изменено) · Жалоба В результате плясок и бубна. На 11.4R1.14 - не работает На 12.1R3.5 - не работает На 12.1R4.7 - работает Такое ощущение что mx теряет где-то dhcp ack MX80-test#run show subscribers Interface IP Address/VLAN ID User Name LS:RI ge-1/0/9.1073741824 0x8100.4000 0x8100.44 default:default demux0.1073741825 10.255.255.132 f0de.f1ae.2302 default:default # commit confirmed will be rolled back in 8 minutes MX80-test#run show version Hostname: MX80-test Model: mx80 JUNOS Base OS boot [12.1R4.7] JUNOS Base OS Software Suite [12.1R4.7] JUNOS Kernel Software Suite [12.1R4.7] JUNOS Crypto Software Suite [12.1R4.7] JUNOS Packet Forwarding Engine Support (MX80) [12.1R4.7] JUNOS Online Documentation [12.1R4.7] JUNOS Routing Software Suite [12.1R4.7] Я так понимаю, что по этому выводу попадаю на - S-MX80-SA-FP или S-MX80-SSM-FP или ещё нужна S-SA-xxK? MX80-test#run show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed subscriber-authentication 1 0 1 28 days service-dc 1 0 1 29 days scale-subscriber 0 1000 0 permanent scale-l2tp 0 1000 0 permanent scale-mobile-ip 0 1000 0 permanent Licenses installed: none Изменено 8 ноября, 2012 пользователем Asco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 8 ноября, 2012 · Жалоба возьмите лучше 11.4X27 последний, S-SA-xxK нужна, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 9 ноября, 2012 (изменено) · Жалоба возьмите лучше 11.4X27 последний, S-SA-xxK нужна, да. Поднялся до 11.4X27.36 Может кто подскажет, что нужно передать с радиуса что-бы клиенский demux интерфейс попал в нужный vrf. ipoe.0001.4CB16CE54B8C Password := "password", Auth-type := Local ERX-Virtual-Router-Name = "default:INET-NET", Framed-IP-Address = "X.X.X.2", ERX-Local-Loopback-Interface = "lo0.1" При таком виде получется, в поле DHCP Relay IP Address - ip интерфейса lo0.0 из профиля QQ-ip-demux Type: DHCP User Name: ipoe.0001.4CB16CE54B8C IP Address: X.X.X.2 Logical System: default Routing Instance: INET-NET Interface type: Dynamic Dynamic Profile Name: dhcp-ip-demux MAC Address: f0:de:f1:ae:23:02 State: Terminated DHCP Relay IP Address: 10.200.0.1 Radius Accounting ID: 149 Session ID: 149 Stacked VLAN Id: 4000 VLAN Id: 44 Agent Circuit ID: len 2 00 01 Agent Remote ID: len 6 4c b1 6c e5 4b 8c Login Time: 2012-11-08 19:03:08 MSK DHCP Options: len 71 35 01 01 3d 07 01 f0 de f1 ae 23 02 32 04 0a c8 00 02 0c 0d 48 50 33 30 35 39 31 32 36 30 39 35 32 3c 08 4d 53 46 54 20 35 2e 30 37 0c 01 0f 03 06 2c 2e 2f 1f 21 79 f9 2b 52 0c 01 02 00 01 02 06 4c b1 6c e5 4b 8c Пока из соображений - что нуждно смотерть в сторону access domain map Изменено 9 ноября, 2012 пользователем Asco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 9 ноября, 2012 · Жалоба Может кто подскажет, что нужно передать с радиуса что-бы клиенский demux интерфейс попал в нужный vrf. я может не увидел, а чего на выходе хочется получить? цель какая? При таком виде получется, в поле DHCP Relay IP Address - ip интерфейса lo0.0 из профиля QQ-ip-demux и он не доступен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 12 ноября, 2012 · Жалоба я может не увидел, а чего на выходе хочется получить? цель какая? Цель простая - реализовать схему: 1. На доступе - vlan на пользователя (c-vlan) + DAI + dhcp snooping 2. На агрегации - Q-in-Q (сервисный vlan на дом (s-vlan)) 3. Терминация пользователей на мх80 В таблице маршрутизации default:default всё работает (dhcp-relay, demux0.xxx собирается, сервис на пользователя навешивается). Исторически внешняя ip адресация крутится в отдельном vrf default:INET-NET Как только отдаю с радиуса атрибут ERX-Virtual-Router-Name = "default:INET-NET" demux0 перестаёт собираться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 29 ноября, 2012 · Жалоба Добрый день! А не поделится никто каким-то примерном настройки брас функционала. Как то сложно все для понимая. Интересует qinq динамический интерфейс, причем на ae интерфейсе. Для теста хочу dhcp_local_server использовать. Требуется, что бы в радиус передались параметры включая svlan и cvlan, а радиус уже вернул, все что надо... Я как-то запутался в dynamic profile, access profile, demux, service-profile в dhcp-local-server. C чего хоть начать, в эрикссоне сущности проще. А тут не совсем понятно, что на что должно вешаться, и с чего начинать.... Плюс еще пытаюсь это все завести на отдельном vrf Спасибо огромное ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 29 ноября, 2012 · Жалоба В данный момент, что нахомутал : ## Last changed: 2012-11-29 14:47:43 UTC version 12.1R1.9; dynamic-profiles { CVLAN_BLABLA { interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { proxy-arp; vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; family inet { mac-validate strict; unnumbered-address lo0.0; } } } } } Subs1 { interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } } } } } } VLAN_BLALA { interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { proxy-arp; vlan-id "$junos-vlan-id"; family inet { mac-validate strict; unnumbered-address lo0.0 preferred-source-address xxx.xxx.3.250; } } } } } } system { host-name mx5-brs-blabla; root-authentication { encrypted-password "xxxxxx"; ## SECRET-DATA } login { user username { uid 2006; class super-user; authentication { encrypted-password "xxxxxx"; ## SECRET-DATA } } } services { telnet; } } chassis { aggregated-devices { ethernet { device-count 3; } } } interfaces { ge-1/0/0 { gigether-options { 802.3ad ae1; } } ge-1/0/1 { gigether-options { 802.3ad ae1; } } ge-1/0/2 { gigether-options { 802.3ad ae0; } } ge-1/0/3 { gigether-options { 802.3ad ae0; } } ge-1/0/4 { description SimpleVLAN_SUBS; traceoptions { flag all; } flexible-vlan-tagging; auto-configure { vlan-ranges { dynamic-profile VLAN_BLALA { accept dhcp-v4; ranges { any; } } } remove-when-no-subscribers; } } ae0 { description "Dynamic Customer interface QiQ"; traceoptions { flag all; } flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile CVLAN_BLALA { accept dhcp-v4; ranges { any,any; } } } remove-when-no-subscribers; } } ae1 { vlan-tagging; aggregated-ether-options { minimum-links 1; lacp { passive; } } unit 67 { description bgp_world; vlan-id 67; family inet { address xxx.xxx.0.222/30; } } unit 68 { description bgp_world; vlan-id 68; family inet { address xxx.xxx.0.226/30; } } } fxp0 { unit 0 { family inet { address 1.1.1.1/30; } } } lo0 { unit 0 { family inet { address xxx.xxx.3.250/32; } } } } protocols { lldp { interface all; } } policy-options { prefix-list my-net { xxx.xxx.3.0/24; } policy-statement bgp-LP-300 { then { local-preference 300; } } policy-statement bgp-LP-80 { then { local-preference 80; } } policy-statement bgp-next-hop-self { then { next-hop self; next policy; } } policy-statement bgp-to { term MyNet { from { prefix-list-filter my-net exact; } then accept; } then reject; } } firewall { policer 2Mbit { if-exceeding { bandwidth-limit 2m; burst-size-limit 240k; } then discard; } filter POLICER-2MBIT { interface-specific; term ALL { then policer 2Mbit; } } } access { radius-server { yy.yy.143.131 { port 1812; accounting-port 1813; secret "$sdasdasdasd"; ## SECRET-DATA timeout 30; retry 4; source-address xxx.xxx.3.250; } } profile BablaSubs1 { authentication-order radius; radius { authentication-server yy.yy.143.131; } } } routing-instances { blabla { description Blablanet_VRF; instance-type virtual-router; system { services { dhcp-local-server { group Blabla_Subscribers1 { authentication { password USER-PASS; username-include { user-prefix mx80-brs; option-82; interface-name; } } dynamic-profile Subs1; interface ge-1/0/4.0; } } } } access { address-assignment { pool BlablaPool { family inet { network xxx.xxx.3.0/24; range Range1 { low xxx.xxx.3.1; high xxx.xxx.3.249; } dhcp-attributes { maximum-lease-time 60; name-server { 8.8.8.8; } router { xxx.xxx.3.250; } } } } } } access-profile BlablaSubs1; interface ae1.67; interface ae1.68; interface lo0.0; routing-options { static { route xxx.xxx.3.0/24 { discard; no-install; } } aggregate { route xxx.xxx.3.0/24 discard; } router-id xxx.xxx.0.222; autonomous-system 11111; } protocols { bgp { local-as 11111; group Internal { type internal; export [ bgp-to bgp-next-hop-self ]; neighbor xxx.xxx.0.221 { import bgp-LP-80; peer-as 11111; } neighbor xxx.xxx.0.225 { import bgp-LP-300; peer-as 11111; } } } } } } Сначала думал, что проблема в ae интерфейсе, потом решил попробовать без qinq на интерфейсе ge-1/0/4. Результат - ничего, к радиусу даже ни одного пакетика... В такой ситуации не понятно с чего начать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 29 ноября, 2012 · Жалоба Материлось на : : UI_CONFIGURATION_ERROR: Process: dcd, path: [edit ge-1/0/4 unit 1073741834 family inet unnumbered-address], statement: lo0.0, Unnumbered borrower address not found in a routing instance Урал lo0.0 из routing-instance. Сейчас сабскрайбер создается, но в дефолтном routing-instance: run show subscribers detail Type: VLAN Logical System: default Routing Instance: default Interface: ge-1/0/4.1073741837 Interface type: Dynamic Dynamic Profile Name: VLAN_BLABLA State: Active Session ID: 14 VLAN Id: 400 Login Time: 2012-11-29 15:28:26 UTC И к радиусу запроса так и нет, хотя я сменил его соурс адрес, который висел на lo0 и уже не в этом vrf на другой.... Куда копать?:) UPDATE: Убрал VRF. К радиусе все равно не единого пакетика... :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 29 ноября, 2012 · Жалоба есть ещё такая секция в радиус профайле radius-server { x.x.x.x { port 1812; secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA } } ну и trace & traceoption иногда помогают с дебагом .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 30 ноября, 2012 · Жалоба есть ещё такая секция в радиус профайле radius-server { x.x.x.x { port 1812; secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA } } ну и trace & traceoption иногда помогают с дебагом .... access { radius-server { yy.yy.143.131 { port 1812; accounting-port 1813; secret "$sdasdasdasd"; ## SECRET-DATA timeout 30; retry 4; source-address xxx.xxx.3.250; } } profile BablaSubs1 { authentication-order radius; radius { authentication-server yy.yy.143.131; } } } Такая есть, или не о том речь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 1 декабря, 2012 · Жалоба в profile BablaSubs1 radius-server { x.x.x.x { port 1812; secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...