Juniper MX80 BRAS

Работа с серверами доступа Juniper, Cisco, Ericsson
Ответить
sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Juniper MX80 BRAS

Сообщение sopov »

Добрый день, поделитесь пожалуйста опытом эксплуатации MX80 в качестве PPPoE BRAS. Как это все работает с Abills? Планируем прикупить себе такой и очень интересует мнение тех, кто уже использует. Из явных недостатков, я выделил только отсутствие NAT без специального pic модуля. Пока вроде бы не нужно, но запас IPv4 не резиновый и когда-то NAT понадобится.

serj
Сообщения: 7
Зарегистрирован: Чт июн 30, 2011 9:20 am

Re: Juniper MX80 BRAS

Сообщение serj »

День добрый!
Что именно конкретно интересует?
На форуме все в общем то расписано. Если надо узнать что то конкретное - задавайте вопросы, попытаюсь ответить.
У нас в продакшн почти год МХ-80 как BRAS PPPoE и IPoE

Key
Сообщения: 35
Зарегистрирован: Сб май 26, 2007 9:34 pm

Re: Juniper MX80 BRAS

Сообщение Key »

Добрый день!
Проблем никаких нет, 1.5 года работает. Мы заказывали и помогали интегрировать модуль в биллинг. Все отлично там работает. Есть нюансы если необходимо использовать несколько разных пулов для DHCP. Андрей надеюсь исправит.
По поводу НАТ-а, действительно нужен модуль и версия JunOS >= 12.2.
Модуль позволяет транслировать ~9Gbit трафика.

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: Juniper MX80 BRAS

Сообщение sopov »

Пока что-то конкретное спросить не могу т.к. железка еще не приехала. С джуниперами знаком давно, но только в виде пограничных бордеров с BGP пиррингом. В частности в нашей ситуации, нужно будет плавно переехать с фермы брасов под MPD5 на MX80. Основные аспекты переезда, это настроить шейпер с передачей параметров через радиус пары и передачу атрибутов PPPoE+ для контроля порта коммутатора. Так же COA\POD. Плюс IPv6 в каком-то виде - если IPoE все более\менее понятно, то с PPPoE не совсем.

serj
Сообщения: 7
Зарегистрирован: Чт июн 30, 2011 9:20 am

Re: Juniper MX80 BRAS

Сообщение serj »

Ну будет железка - будут и вопросы. :) Там не все так однозначно и логично как хотелось бы. Но когда разберетесь - все в принципе работает норм.

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: Juniper MX80 BRAS

Сообщение sopov »

Вот и возник вопрос.. Облазил весь config-guide-subscriber-access.pdf, не могу найти как выдать dns в pppoe... Ткните носом)
UPD: Сам нашел...

Код: Выделить всё

SUMMARY:
This article provides information on how to define the DNS server address in a MX device, without using RADIUS.
PROBLEM OR GOAL:
How to define the DNS server address in a MX device, without using RADIUS.
CAUSE:

SOLUTION:
You can define the DNS server as:

testuser@ERX-MX-480-1-RE0# show protocols ppp-service
dns-group-profile test;
[edit]
testuser@ERX-MX-480-1-RE0# show access group-profile test 
ppp {
     primary-dns 1.1.1.1;
}



You can define both the Primary and Secondary DNS servers. Additionally, you can configure framed-pool and idle-timeout for the session. 
This command works in the 11.4R1 and 11.2 builds. The dns-group-profile command is hidden here.

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: Juniper MX80 BRAS

Сообщение sopov »

В общем все прекрасно работает. Пришлось не много поломать голову с профилем негативного депозита.
Точнее даже не самим профилем, а роутинг инстанс. Я честно говоря забыл импортировать в нее маршруты интерфейсов и в результате трафик из нее не уходил.
Ниже привожу конфиг профиля. Его же можно применить для выноса ната на отдельный хост.
Динамический профиль:

Код: Выделить всё

svc-guest-pppoe {
    variables {
        my-in-filter {
            mandatory;
            uid-reference;
        }
        svc-filter-in-nomoney uid;
    }
    interfaces {
        pp0 {
            unit "$junos-interface-unit" {
                family inet {
                    filter {
                        input "$my-in-filter";
                    }
                }
            }
        }
    }
    firewall {
        family inet {
            filter svc-filter-in-nomoney {
                interface-specific;
                term 1 {
                    from {
                        destination-address {
                            95.xxx.xxx.10/32;
                            95.xxx.xxx.14/32;
                        }
                        protocol [ tcp udp ];
                        destination-port [ 80 443 53 ];
                    }
                    then accept;
                }
                term 2 {
                    from {
                        protocol tcp;
                        destination-port [ 80 443 ];
                    }
                    then {
                        routing-instance neg_dep;
                    }
                }
                term default {
                    then {
                        discard;
                    }
                }
            }
        }
    }
}
Роутинг инстанс (собственно тут задается куда форвардить трафик):

Код: Выделить всё

neg_dep {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 95.ххх.ххх.14;
        }
    }
}
Роутинг опшенс с импортом маршрутов (собственно про это я и забыл):

Код: Выделить всё

interface-routes {
    rib-group inet neg_dep;
}
rib-groups {
    neg_dep {
        import-rib [ inet.0 neg_dep.inet.0 ];
    }
}
Буду дополнять тему по мере продвижения)

user_abills
Сообщения: 47
Зарегистрирован: Чт фев 19, 2015 1:16 pm

Re: Juniper MX80 BRAS

Сообщение user_abills »

а можно уточнить пожалуйста, что у вас на адресах

Код: Выделить всё

destination-address {
                            95.xxx.xxx.10/32;
                            95.xxx.xxx.14/32;
                        }
?

Makioro
Сообщения: 241
Зарегистрирован: Ср апр 27, 2011 11:09 am

Re: Juniper MX80 BRAS

Сообщение Makioro »

Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года :)
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига

MasMaster
Сообщения: 3
Зарегистрирован: Пт мар 23, 2018 8:07 pm

Re: Juniper MX80 BRAS

Сообщение MasMaster »

Makioro писал(а):Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года :)
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига

А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?

KROLb
Сообщения: 16
Зарегистрирован: Пн янв 12, 2015 1:03 pm

Re: Juniper MX80 BRAS

Сообщение KROLb »

MasMaster писал(а):
Makioro писал(а):Понимаю что это некропостинг, но вопрошающий спрашивал через 2 года после последнего сообщения ТС, а я ему отвечу через 3 года :)
На этих адресах днс сервер и веб-сервер со страничкой-заглушкой и/или личным кабинетом пользователя. 10 - днс, а 14 - веб.
P.S. я не ТС, и никак с ним не связан. Это всё видно из конфига

А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
У меня реализован такой фильтр:

Код: Выделить всё

filter negative_deposit {
            interface-specific;
            term check_destination {
                from {
                    protocol [ tcp udp ];
                    destination-port [ 53 67 68 80 443 8080 8081 8082 8083 ];
                }
                then accept;
            }
            term discard {
                then {
                    discard;
                }
            }
        }
Плюс выдается ИП из серого пула, и на DNS прописан view, который резолвит все в заглушку.

Makioro
Сообщения: 241
Зарегистрирован: Ср апр 27, 2011 11:09 am

Re: Juniper MX80 BRAS

Сообщение Makioro »

MasMaster писал(а):А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
Да также как у ТС: выдаётся профиль негативного депозита, в нём разрешены несколько портов и несколько айпишников (сервер с биллингом, днс) и сделана routing instance для 80 порта, где всё направляется на сервер с заглушкой
На сервере с заглушкой правило ipfw
fwd x.y.z.w,81 tcp from { 10.0.0.0/8 or 192.168.0.0/16 } to not me dst-port 80 in recv em0
где x.y.z.w - айпи сервера
и на 81 порту слушает апач с заглушкой

MasMaster
Сообщения: 3
Зарегистрирован: Пт мар 23, 2018 8:07 pm

Re: Juniper MX80 BRAS

Сообщение MasMaster »

На Дебиан нетак все просто :)

MasMaster
Сообщения: 3
Зарегистрирован: Пт мар 23, 2018 8:07 pm

Re: Juniper MX80 BRAS

Сообщение MasMaster »

Makioro писал(а):
MasMaster писал(а):А не подскажете как у Вас реализовано на Джуне - "Перенаправление должников в личный кабинет"?
Да также как у ТС: выдаётся профиль негативного депозита, в нём разрешены несколько портов и несколько айпишников (сервер с биллингом, днс) и сделана routing instance для 80 порта, где всё направляется на сервер с заглушкой
На сервере с заглушкой правило ipfw
fwd x.y.z.w,81 tcp from { 10.0.0.0/8 or 192.168.0.0/16 } to not me dst-port 80 in recv em0
где x.y.z.w - айпи сервера
и на 81 порту слушает апач с заглушкой


На дебиан не так все просто :)

Редирект работает. Улетает на сервер, всё ок.
Осталось с iptables расковырять

Ответить