Juniper MX80 BRAS
Juniper MX80 BRAS
Добрый день, поделитесь пожалуйста опытом эксплуатации MX80 в качестве PPPoE BRAS. Как это все работает с Abills? Планируем прикупить себе такой и очень интересует мнение тех, кто уже использует. Из явных недостатков, я выделил только отсутствие NAT без специального pic модуля. Пока вроде бы не нужно, но запас IPv4 не резиновый и когда-то NAT понадобится.
Re: Juniper MX80 BRAS
День добрый!
Что именно конкретно интересует?
На форуме все в общем то расписано. Если надо узнать что то конкретное - задавайте вопросы, попытаюсь ответить.
У нас в продакшн почти год МХ-80 как BRAS PPPoE и IPoE
Что именно конкретно интересует?
На форуме все в общем то расписано. Если надо узнать что то конкретное - задавайте вопросы, попытаюсь ответить.
У нас в продакшн почти год МХ-80 как BRAS PPPoE и IPoE
Re: Juniper MX80 BRAS
Добрый день!
Проблем никаких нет, 1.5 года работает. Мы заказывали и помогали интегрировать модуль в биллинг. Все отлично там работает. Есть нюансы если необходимо использовать несколько разных пулов для DHCP. Андрей надеюсь исправит.
По поводу НАТ-а, действительно нужен модуль и версия JunOS >= 12.2.
Модуль позволяет транслировать ~9Gbit трафика.
Проблем никаких нет, 1.5 года работает. Мы заказывали и помогали интегрировать модуль в биллинг. Все отлично там работает. Есть нюансы если необходимо использовать несколько разных пулов для DHCP. Андрей надеюсь исправит.
По поводу НАТ-а, действительно нужен модуль и версия JunOS >= 12.2.
Модуль позволяет транслировать ~9Gbit трафика.
Re: Juniper MX80 BRAS
Пока что-то конкретное спросить не могу т.к. железка еще не приехала. С джуниперами знаком давно, но только в виде пограничных бордеров с BGP пиррингом. В частности в нашей ситуации, нужно будет плавно переехать с фермы брасов под MPD5 на MX80. Основные аспекты переезда, это настроить шейпер с передачей параметров через радиус пары и передачу атрибутов PPPoE+ для контроля порта коммутатора. Так же COA\POD. Плюс IPv6 в каком-то виде - если IPoE все более\менее понятно, то с PPPoE не совсем.
Re: Juniper MX80 BRAS
Ну будет железка - будут и вопросы. Там не все так однозначно и логично как хотелось бы. Но когда разберетесь - все в принципе работает норм.
Re: Juniper MX80 BRAS
Вот и возник вопрос.. Облазил весь config-guide-subscriber-access.pdf, не могу найти как выдать dns в pppoe... Ткните носом)
UPD: Сам нашел...
UPD: Сам нашел...
Код: Выделить всё
SUMMARY:
This article provides information on how to define the DNS server address in a MX device, without using RADIUS.
PROBLEM OR GOAL:
How to define the DNS server address in a MX device, without using RADIUS.
CAUSE:
SOLUTION:
You can define the DNS server as:
testuser@ERX-MX-480-1-RE0# show protocols ppp-service
dns-group-profile test;
[edit]
testuser@ERX-MX-480-1-RE0# show access group-profile test
ppp {
primary-dns 1.1.1.1;
}
You can define both the Primary and Secondary DNS servers. Additionally, you can configure framed-pool and idle-timeout for the session.
This command works in the 11.4R1 and 11.2 builds. The dns-group-profile command is hidden here.
Re: Juniper MX80 BRAS
В общем все прекрасно работает. Пришлось не много поломать голову с профилем негативного депозита.
Точнее даже не самим профилем, а роутинг инстанс. Я честно говоря забыл импортировать в нее маршруты интерфейсов и в результате трафик из нее не уходил.
Ниже привожу конфиг профиля. Его же можно применить для выноса ната на отдельный хост.
Динамический профиль:
Роутинг инстанс (собственно тут задается куда форвардить трафик):
Роутинг опшенс с импортом маршрутов (собственно про это я и забыл):
Буду дополнять тему по мере продвижения)
Точнее даже не самим профилем, а роутинг инстанс. Я честно говоря забыл импортировать в нее маршруты интерфейсов и в результате трафик из нее не уходил.
Ниже привожу конфиг профиля. Его же можно применить для выноса ната на отдельный хост.
Динамический профиль:
Код: Выделить всё
svc-guest-pppoe {
variables {
my-in-filter {
mandatory;
uid-reference;
}
svc-filter-in-nomoney uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
family inet {
filter {
input "$my-in-filter";
}
}
}
}
}
firewall {
family inet {
filter svc-filter-in-nomoney {
interface-specific;
term 1 {
from {
destination-address {
95.xxx.xxx.10/32;
95.xxx.xxx.14/32;
}
protocol [ tcp udp ];
destination-port [ 80 443 53 ];
}
then accept;
}
term 2 {
from {
protocol tcp;
destination-port [ 80 443 ];
}
then {
routing-instance neg_dep;
}
}
term default {
then {
discard;
}
}
}
}
}
}
Код: Выделить всё
neg_dep {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 95.ххх.ххх.14;
}
}
}
Код: Выделить всё
interface-routes {
rib-group inet neg_dep;
}
rib-groups {
neg_dep {
import-rib [ inet.0 neg_dep.inet.0 ];
}
}
-
- Сообщения: 47
- Зарегистрирован: Чт фев 19, 2015 1:16 pm
Re: Juniper MX80 BRAS
а можно уточнить пожалуйста, что у вас на адресах
?
Код: Выделить всё
destination-address {
95.xxx.xxx.10/32;
95.xxx.xxx.14/32;
}
Re: Juniper MX80 BRAS
Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига
Re: Juniper MX80 BRAS
Makioro писал(а):Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига
А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
Re: Juniper MX80 BRAS
У меня реализован такой фильтр:MasMaster писал(а):Makioro писал(а):Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига
А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
Код: Выделить всё
filter negative_deposit {
interface-specific;
term check_destination {
from {
protocol [ tcp udp ];
destination-port [ 53 67 68 80 443 8080 8081 8082 8083 ];
}
then accept;
}
term discard {
then {
discard;
}
}
}
Re: Juniper MX80 BRAS
Да также как у ТС: выдаётся профиль негативного депозита, в нём разрешены несколько портов и несколько айпишников (сервер с биллингом, днс) и сделана routing instance для 80 порта, где всё направляется на сервер с заглушкойMasMaster писал(а):А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
На сервере с заглушкой правило ipfw
fwd x.y.z.w,81 tcp from { 10.0.0.0/8 or 192.168.0.0/16 } to not me dst-port 80 in recv em0
где x.y.z.w - айпи сервера
и на 81 порту слушает апач с заглушкой
Re: Juniper MX80 BRAS
На Дебиан нетак все просто
Re: Juniper MX80 BRAS
Makioro писал(а):Да также как у ТС: выдаётся профиль негативного депозита, в нём разрешены несколько портов и несколько айпишников (сервер с биллингом, днс) и сделана routing instance для 80 порта, где всё направляется на сервер с заглушкойMasMaster писал(а):А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
На сервере с заглушкой правило ipfw
fwd x.y.z.w,81 tcp from { 10.0.0.0/8 or 192.168.0.0/16 } to not me dst-port 80 in recv em0
где x.y.z.w - айпи сервера
и на 81 порту слушает апач с заглушкой
На дебиан не так все просто
Редирект работает. Улетает на сервер, всё ок.
Осталось с iptables расковырять