Перейти к содержимому
Калькуляторы

MX80 как BRAS тонкости перехода

Доброго времени суток.

Несколько вопросов по MX80.

При организации схемы vlan на дом\район + opt82 возможно ли выдавать на порт больше 1 IP адреса при использовании IP Source Guard и как это должно выглядеть?

Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql.

Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT?

Т.е. например блок адресов завернуть на внешнюю железку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql.

да

Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT?

да

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С примерами или ссылками на разделы документации не подскажете? Особенно на самом деле последнее интересует

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С примерами или ссылками на разделы документации не подскажете? Особенно на самом деле последнее интересует

как-то так


routing-instances {
   garden {
       instance-type forwarding;
       routing-options {
           static {
               route 0.0.0.0/0 next-hop y.y.y.y;
           }
       }
   }
}

       filter f-garden {
           interface-specific;
           term T1 {
               then {
                   routing-instance garden;
               }
           }
           term default {
               then accept;
           }
       }



ну и навешиваете этот фильтр на сессию абонента...

если хотите имено по адресу то немного надо переписать фильтр

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь реализовывал на нем IPoE BRAS с выдачей адресов с помощью Radius с учетом opt82? Где и как лучше всего опцию разбирать? Радиус в связке с mysql.

 

Да было дело. Через динамические переменные профили создается все. Что значит опицю разбирать? МХ все нормально понимает не надо ничего никуда разбирать.

 

Плюс интересует можно ли в зависимости от выданого адреса на роутере организовать маршрутизацию на внешние сервера NAT?

 

Да можно как описано в примере выше. Создать несколько фильтров и радиус асептом их навешивать на абонентские динамические интерфейсы. ну и соответственно фильтрами раздавать все в свои врф.

Если по адресу то:

 

filter f-garden {
           interface-specific;
           term T1 {
            from source-address x.x.x.x   
            then {
                   routing-instance garden;
               }
           }
           term default {
               then accept;
           }
       }

 

то примерно так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще говоря, там есть RADIUS-атрибутик, который позволяет пересадить абонентский интерфейс в routing-instance. Без фильтров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да кстати ж можно изначально под каждого абона динамически создать vrf, а там уж маршрутизируйте свой трафик как хотите и зачем хотите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-бы не плодить темы.

 

На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance) или пользователей нужно терминировать со стороны встроенных Xe?

 

Ну и заодно, у кого уже используется в продакшене?

 

Подвалило 1-1,5кк домушников, под рукой ничего кроме количества mx80 (сейчас используются как обычные enterprise PE).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance)

Можно.

 

или пользователей нужно терминировать со стороны встроенных Xe?

Не уверен, что терминация абонентов вообще поддерживается на встроенных xe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не уверен, что терминация абонентов вообще поддерживается на встроенных xe.

В лоб на Xe не работает, а если описать его как AE, все работает нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Ge интерфейсах mx80 можно собрать конструкцию с dynamic-profiles (разобрать QQ + ip demux + dhcp relay + запихнуть в routing instance)

Можно.

 

или пользователей нужно терминировать со стороны встроенных Xe?

Не уверен, что терминация абонентов вообще поддерживается на встроенных xe.

В MX80 на встроенных портах нет только H-QoS, т.е. полисить много абонентов нельзя. Все остальное идентичное модульным портам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начинаю потихоньку разбираться.

Схема:

 

тестовый юзер - Huawei S23xx Quidway (добавляет опцию 82) - Huawei Quidway S53xx (собирает QQ(c-vlan = 222, s-vlan = 4000)) - Juniper MX80 (ge-1/0/9)

+ isc-dhcp + freeradius

 

Запрос dhcp + опция 82 от клиента до DHCP прилетает:

Nov 7 15:44:36 dhcp dhcpd: DHCPDISCOVER from f0:de:f1:ae:23:02 (HP30591260952) via 10.255.255.1

Nov 7 15:44:36 dhcp dhcpd: DHCPOFFER on 10.255.255.6 to f0:de:f1:ae:23:02 (HP30591260952) via 10.255.255.1

 

MX80 лезет на radius и вроде авторизуется

 

Wed Nov 7 15:43:17 2012 : Auth: Login OK: [ipoe.0002.4CB16CE54B8C/password] (from client lo:10.255.255.0/24 port 306184414)

Wed Nov 7 15:43:35 2012 : Auth: Login OK: [ipoe.0002.4CB16CE54B8C/password] (from client lo:10.255.255.0/24 port 306184414)

 

Но если смотреть сабскрайберов то не видно, что dhcp отдал адрес и построен demux интерфейс. Может кто подскажет какие vsa нужно отдавать с радиуса или хоть в какую сторону копать?

 

MX80-test#run show subscribers detail
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ge-1/0/9.1073741953
Interface type: Dynamic
Dynamic Profile Name: QQ-ip-demux
State: Active
Session ID: 629
Stacked VLAN Id: 0x8100.4000
VLAN Id: 0x8100.222
Login Time: 2012-11-07 14:54:05 MSK

Type: DHCP
User Name: ipoe.0002.4CB16CE54B8C
Logical System: default
Routing Instance: default
Interface type: Dynamic
Dynamic Profile Name: dhcp-ip-demux
MAC Address: f0:de:f1:ae:23:02
State: Init
DHCP Relay IP Address: 10.255.255.1
Session ID: 652
Agent Circuit ID: len 2
00 02
Agent Remote ID: len 6
4c b1 6c e5 4b 8c
Login Time: 2012-11-07 15:36:01 MSK
DHCP Options: len 65
35 01 01 3d 07 01 f0 de f1 ae 23 02 0c 0d 48 50 33 30 35 39
31 32 36 30 39 35 32 3c 08 4d 53 46 54 20 35 2e 30 37 0c 01
0f 03 06 2c 2e 2f 1f 21 79 f9 2b 52 0c 01 02 00 02 02 06 4c
b1 6c e5 4b 8c

 

Конфиг

 

MX80-test1#show dynamic-profiles
QQ-ip-demux {
   interfaces {
       "$junos-interface-ifd-name" {
           unit "$junos-interface-unit" {
               demux-source inet;
               vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
               family inet {
                   unnumbered-address lo0.0;
               }
           }
       }
   }
}
dhcp-ip-demux {
   interfaces {
       demux0 {
           unit "$junos-interface-unit" {
               demux-options {
                   underlying-interface "$junos-underlying-interface";
               }
               family inet {
                   demux-source {
                       $junos-subscriber-ip-address;
                   }
                   unnumbered-address lo0.0;
               }
           }
       }
   }
}

MX80-test#show forwarding-options
dhcp-relay {
   dynamic-profile dhcp-ip-demux;
   server-group {
       1 {
           172.31.192.12;
       }
   }
   active-server-group 1;
   group 1 {
       authentication {
           password password;
           username-include {
               user-prefix ipoe;
               option-82 circuit-id remote-id;
           }
       }
       overrides {
           allow-snooped-clients;
           trust-option-82;
       }
       interface ge-1/0/9.0;
   }
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что за адрес 10.255.255.1?

висит на интерфейсе lo0.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В результате плясок и бубна.

На 11.4R1.14 - не работает

На 12.1R3.5 - не работает

На 12.1R4.7 - работает

 

Такое ощущение что mx теряет где-то dhcp ack

 

MX80-test#run show subscribers
Interface           IP Address/VLAN ID                      User Name                      LS:RI
ge-1/0/9.1073741824 0x8100.4000 0x8100.44                                             default:default
demux0.1073741825   10.255.255.132                          f0de.f1ae.2302            default:default

# commit confirmed will be rolled back in 8 minutes
MX80-test#run show version
Hostname: MX80-test
Model: mx80
JUNOS Base OS boot [12.1R4.7]
JUNOS Base OS Software Suite [12.1R4.7]
JUNOS Kernel Software Suite [12.1R4.7]
JUNOS Crypto Software Suite [12.1R4.7]
JUNOS Packet Forwarding Engine Support (MX80) [12.1R4.7]
JUNOS Online Documentation [12.1R4.7]
JUNOS Routing Software Suite [12.1R4.7]

 

Я так понимаю, что по этому выводу попадаю на - S-MX80-SA-FP или S-MX80-SSM-FP или ещё нужна S-SA-xxK?

 

MX80-test#run show system license
License usage:
                                Licenses     Licenses    Licenses    Expiry
 Feature name                       used    installed      needed
 subscriber-authentication             1            0           1    28 days
 service-dc                            1            0           1    29 days
 scale-subscriber                      0         1000           0    permanent
 scale-l2tp                            0         1000           0    permanent
 scale-mobile-ip                       0         1000           0    permanent

Licenses installed: none

Изменено пользователем Asco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возьмите лучше 11.4X27 последний,

 

S-SA-xxK нужна, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возьмите лучше 11.4X27 последний,

S-SA-xxK нужна, да.

 

Поднялся до 11.4X27.36

 

Может кто подскажет, что нужно передать с радиуса что-бы клиенский demux интерфейс попал в нужный vrf.

 

ipoe.0001.4CB16CE54B8C Password := "password", Auth-type := Local
       ERX-Virtual-Router-Name = "default:INET-NET",
       Framed-IP-Address = "X.X.X.2",
       ERX-Local-Loopback-Interface = "lo0.1"

 

При таком виде получется, в поле DHCP Relay IP Address - ip интерфейса lo0.0 из профиля QQ-ip-demux

 

Type: DHCP
User Name: ipoe.0001.4CB16CE54B8C
IP Address: X.X.X.2
Logical System: default
Routing Instance: INET-NET
Interface type: Dynamic
Dynamic Profile Name: dhcp-ip-demux
MAC Address: f0:de:f1:ae:23:02
State: Terminated
DHCP Relay IP Address: 10.200.0.1
Radius Accounting ID: 149
Session ID: 149
Stacked VLAN Id: 4000
VLAN Id: 44
Agent Circuit ID: len 2
00 01
Agent Remote ID: len 6
4c b1 6c e5 4b 8c
Login Time: 2012-11-08 19:03:08 MSK
DHCP Options: len 71
35 01 01 3d 07 01 f0 de f1 ae 23 02 32 04 0a c8 00 02 0c 0d
48 50 33 30 35 39 31 32 36 30 39 35 32 3c 08 4d 53 46 54 20
35 2e 30 37 0c 01 0f 03 06 2c 2e 2f 1f 21 79 f9 2b 52 0c 01
02 00 01 02 06 4c b1 6c e5 4b 8c

 

Пока из соображений - что нуждно смотерть в сторону access domain map

Изменено пользователем Asco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто подскажет, что нужно передать с радиуса что-бы клиенский demux интерфейс попал в нужный vrf.

 

я может не увидел, а чего на выходе хочется получить? цель какая?

 

При таком виде получется, в поле DHCP Relay IP Address - ip интерфейса lo0.0 из профиля QQ-ip-demux

 

и он не доступен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я может не увидел, а чего на выходе хочется получить? цель какая?

 

Цель простая - реализовать схему:

1. На доступе - vlan на пользователя (c-vlan) + DAI + dhcp snooping

2. На агрегации - Q-in-Q (сервисный vlan на дом (s-vlan))

3. Терминация пользователей на мх80

 

В таблице маршрутизации default:default всё работает (dhcp-relay, demux0.xxx собирается, сервис на пользователя навешивается).

 

Исторически внешняя ip адресация крутится в отдельном vrf default:INET-NET

 

Как только отдаю с радиуса атрибут ERX-Virtual-Router-Name = "default:INET-NET" demux0 перестаёт собираться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

А не поделится никто каким-то примерном настройки брас функционала. Как то сложно все для понимая.

 

Интересует qinq динамический интерфейс, причем на ae интерфейсе. Для теста хочу dhcp_local_server использовать. Требуется, что бы в радиус передались параметры включая svlan и cvlan, а радиус уже вернул, все что надо...

 

Я как-то запутался в dynamic profile, access profile, demux, service-profile в dhcp-local-server.

 

C чего хоть начать, в эрикссоне сущности проще. А тут не совсем понятно, что на что должно вешаться, и с чего начинать....

Плюс еще пытаюсь это все завести на отдельном vrf

 

Спасибо огромное !

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данный момент, что нахомутал :

 

 

## Last changed: 2012-11-29 14:47:43 UTC
version 12.1R1.9;
dynamic-profiles {
   CVLAN_BLABLA {
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-interface-unit" {
                   proxy-arp;
                   vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
                   family inet {
                       mac-validate strict;
                       unnumbered-address lo0.0;
                   }
               }
           }
       }
   }
   Subs1 {
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-underlying-interface-unit" {
                   family inet {
                       filter {
                           input "$junos-input-filter";
                           output "$junos-output-filter";
                       }
                   }
               }
           }
       }
   }
   VLAN_BLALA {
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-interface-unit" {
                   proxy-arp;
                   vlan-id "$junos-vlan-id";
                   family inet {
                       mac-validate strict;
                       unnumbered-address lo0.0 preferred-source-address xxx.xxx.3.250;
                   }
               }
           }
       }
   }
}
system {
   host-name mx5-brs-blabla;
   root-authentication {
       encrypted-password "xxxxxx"; ## SECRET-DATA
   }
   login {
       user username {
           uid 2006;
           class super-user;
           authentication {
               encrypted-password "xxxxxx"; ## SECRET-DATA
           }
       }
   }
   services {
       telnet;
   }
}
chassis {
   aggregated-devices {
       ethernet {
           device-count 3;
       }
   }
}
interfaces {
   ge-1/0/0 {
       gigether-options {
           802.3ad ae1;
       }
   }
   ge-1/0/1 {
       gigether-options {
           802.3ad ae1;
       }
   }
   ge-1/0/2 {
       gigether-options {
           802.3ad ae0;
       }
   }
   ge-1/0/3 {
       gigether-options {
           802.3ad ae0;
       }
   }
   ge-1/0/4 {
       description SimpleVLAN_SUBS;
       traceoptions {
           flag all;
       }
       flexible-vlan-tagging;
       auto-configure {
           vlan-ranges {
               dynamic-profile VLAN_BLALA {
                   accept dhcp-v4;
                   ranges {
                       any;
                   }
               }
           }
           remove-when-no-subscribers;
       }
   }
   ae0 {
       description "Dynamic Customer interface QiQ";
       traceoptions {
           flag all;
       }
       flexible-vlan-tagging;
       auto-configure {
           stacked-vlan-ranges {
               dynamic-profile CVLAN_BLALA {
                   accept dhcp-v4;
                   ranges {
                       any,any;
                   }
               }
           }
           remove-when-no-subscribers;
       }
   }
   ae1 {
       vlan-tagging;
       aggregated-ether-options {
           minimum-links 1;
           lacp {
               passive;
           }
       }
       unit 67 {
           description bgp_world;
           vlan-id 67;
           family inet {
               address xxx.xxx.0.222/30;
           }
       }
       unit 68 {
           description bgp_world;
           vlan-id 68;
           family inet {
               address xxx.xxx.0.226/30;
           }
       }
   }
   fxp0 {
       unit 0 {
           family inet {
               address 1.1.1.1/30;
           }
       }
   }
   lo0 {
       unit 0 {
           family inet {
               address xxx.xxx.3.250/32;
           }
       }
   }
}
protocols {
   lldp {
       interface all;
   }
}
policy-options {
   prefix-list my-net {
       xxx.xxx.3.0/24;
   }
   policy-statement bgp-LP-300 {
       then {
           local-preference 300;
       }
   }
   policy-statement bgp-LP-80 {
       then {
           local-preference 80;
       }
   }
   policy-statement bgp-next-hop-self {
       then {
           next-hop self;
           next policy;
       }
   }
   policy-statement bgp-to {
       term MyNet {
           from {
               prefix-list-filter my-net exact;
           }
           then accept;
       }
       then reject;
   }
}
firewall {
   policer 2Mbit {
       if-exceeding {
           bandwidth-limit 2m;
           burst-size-limit 240k;
       }
       then discard;
   }
   filter POLICER-2MBIT {
       interface-specific;
       term ALL {
           then policer 2Mbit;
       }
   }
}
access {
   radius-server {
       yy.yy.143.131 {
           port 1812;
           accounting-port 1813;
           secret "$sdasdasdasd"; ## SECRET-DATA
           timeout 30;
           retry 4;
           source-address xxx.xxx.3.250;
       }
   }
   profile BablaSubs1 {
       authentication-order radius;
       radius {
           authentication-server yy.yy.143.131;
       }
   }
}
routing-instances {
   blabla {
       description Blablanet_VRF;
       instance-type virtual-router;
       system {
           services {
               dhcp-local-server {
                   group Blabla_Subscribers1 {
                       authentication {
                           password USER-PASS;
                           username-include {
                               user-prefix mx80-brs;
                               option-82;
                               interface-name;
                           }
                       }
                       dynamic-profile Subs1;
                       interface ge-1/0/4.0;
                   }
               }
           }
       }
       access {
           address-assignment {
               pool BlablaPool {
                   family inet {
                       network xxx.xxx.3.0/24;
                       range Range1 {
                           low xxx.xxx.3.1;
                           high xxx.xxx.3.249;
                       }
                       dhcp-attributes {
                           maximum-lease-time 60;
                           name-server {
                               8.8.8.8;
                           }
                           router {
                               xxx.xxx.3.250;
                           }
                       }
                   }
               }
           }
       }
       access-profile BlablaSubs1;
       interface ae1.67;
       interface ae1.68;
       interface lo0.0;
       routing-options {
           static {
               route xxx.xxx.3.0/24 {
                   discard;
                   no-install;
               }
           }
           aggregate {
               route xxx.xxx.3.0/24 discard;
           }
           router-id xxx.xxx.0.222;
           autonomous-system 11111;
       }
       protocols {
           bgp {
               local-as 11111;
               group Internal {
                   type internal;
                   export [ bgp-to bgp-next-hop-self ];
                   neighbor xxx.xxx.0.221 {
                       import bgp-LP-80;
                       peer-as 11111;
                   }
                   neighbor xxx.xxx.0.225 {
                       import bgp-LP-300;
                       peer-as 11111;
                   }
               }
           }
       }
   }
}

 

 

 

 

Сначала думал, что проблема в ae интерфейсе, потом решил попробовать без qinq на интерфейсе ge-1/0/4. Результат - ничего, к радиусу даже ни одного пакетика...

 

В такой ситуации не понятно с чего начать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Материлось на :

: UI_CONFIGURATION_ERROR: Process: dcd, path: [edit ge-1/0/4 unit 1073741834 family inet unnumbered-address], statement: lo0.0, Unnumbered borrower address not found in a routing instance

 

Урал lo0.0 из routing-instance.

 

Сейчас сабскрайбер создается, но в дефолтном routing-instance:

 

run show subscribers detail

Type: VLAN
Logical System: default
Routing Instance: default
Interface: ge-1/0/4.1073741837
Interface type: Dynamic
Dynamic Profile Name: VLAN_BLABLA
State: Active
Session ID: 14
VLAN Id: 400
Login Time: 2012-11-29 15:28:26 UTC

 

И к радиусу запроса так и нет, хотя я сменил его соурс адрес, который висел на lo0 и уже не в этом vrf на другой....

 

Куда копать?:)

 

UPDATE: Убрал VRF. К радиусе все равно не единого пакетика... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть ещё такая секция в радиус профайле

 

radius-server {

x.x.x.x {

port 1812;

secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA

}

}

 

ну и trace & traceoption иногда помогают с дебагом ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть ещё такая секция в радиус профайле

 

radius-server {

x.x.x.x {

port 1812;

secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA

}

}

 

ну и trace & traceoption иногда помогают с дебагом ....

access {
   radius-server {
       yy.yy.143.131 {
           port 1812;
           accounting-port 1813;
           secret "$sdasdasdasd"; ## SECRET-DATA
           timeout 30;
           retry 4;
           source-address xxx.xxx.3.250;
       }
   }
   profile BablaSubs1 {
       authentication-order radius;
       radius {
           authentication-server yy.yy.143.131;
       }
   }
}

 

Такая есть, или не о том речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в profile BablaSubs1

 

radius-server {

x.x.x.x {

port 1812;

secret "sdfsdf sdfs fs fsd fs d"; ## SECRET-DATA

}

}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.