Название: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 05 Октября 2016, 15:39:31 Есть ли у кого практика связки нодейнай с джуном, можете поделится советом, в какую сторону смотреть?
И чем отключаются Модуль Radius-атрибуты и Модуль RADIUS Change of Authorization ? Что надо приобрести для связки? По описанию скорее всего что надо второй. И чем возможно собирать трафик от Jflow Планируется запускать брас ипое на джуне. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 05 Октября 2016, 18:23:56 У меня mx80 pppoe. Нужен CoA. Трафик собирать не советую.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 08 Октября 2016, 23:38:36 У меня mx80 pppoe. Нужен CoA. Трафик собирать не советую. а как вы смотрите количество скаченого трафика клиентом? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Октября 2016, 09:00:58 Никак. Нам это не интересно. Можно собирать через радиус, но детализации не будет.
Сколько трафика планируется прогнать через MX? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 09 Октября 2016, 13:21:33 Никак. Нам это не интересно. Можно собирать через радиус, но детализации не будет. кстати трафика без детализации достаточно.Сколько трафика планируется прогнать через MX? до 6-8 гиг, на данный момент около 3-3.5 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Октября 2016, 13:56:53 Тогда о netflow и jflow можешь забыть..
Если nat'а нет, то кажется ставится карта, которая позволяет снимать netflow без каких-либо последствий.. без нее тоже можно, но он не справится с нагрузкой. Слабый RE. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 09 Октября 2016, 14:14:09 Тогда о netflow и jflow можешь забыть.. Если nat'а нет, то кажется ставится карта, которая позволяет снимать netflow без каких-либо последствий.. без нее тоже можно, но он не справится с нагрузкой. Слабый RE. Нат как раз таки есть) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 09 Октября 2016, 14:26:27 Читаю мануал
Код: http://app.nodeny-plus.com.ua/docs/work/dhcp.html - Модуль dchp + Radius , и смотрю что через радиус как то не легко авторизуется клиент, возможна ли авторизация как через модуль дхцп?Допустим чтобы клиенту выдавало айпи, а мх знал от noserver надо ли клиенту давать доступ? Или оно так и работает? А то как то передергивать постоянно кабель - не хорошо для клиента. Интересует IPoE Еще и смотрю что dhcpd не работает вместе с радиусом.... Хотелось и то и то оставить на момент переноса. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Октября 2016, 15:03:33 По сути нужно только CoA. Тебе нужно на джун передать ip и имя профайла, куда должен попасть клиент.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 09 Октября 2016, 16:26:33 По сути нужно только CoA. Тебе нужно на джун передать ip и имя профайла, куда должен попасть клиент. Сейчас настроено по мануалу dhcp+option82 без радиуса и будет достаточно просто уставовить и настроить coa модуль? или все таки радиус рядом с биллингом надо будет ставить...? (Исходя из просмотренных мануалов по МХ, радиус сервер надо ставить.) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 09 Октября 2016, 22:29:23 По сути нужно только CoA. Тебе нужно на джун передать ip и имя профайла, куда должен попасть клиент. Сейчас настроено по мануалу dhcp+option82 без радиуса и будет достаточно просто уставовить и настроить coa модуль? или все таки радиус рядом с биллингом надо будет ставить...? (Исходя из просмотренных мануалов по МХ, радиус сервер надо ставить.) И как он опцию обрабатывает? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 10 Октября 2016, 21:04:00 По сути нужно только CoA. Тебе нужно на джун передать ip и имя профайла, куда должен попасть клиент. Сейчас настроено по мануалу dhcp+option82 без радиуса и будет достаточно просто уставовить и настроить coa модуль? или все таки радиус рядом с биллингом надо будет ставить...? (Исходя из просмотренных мануалов по МХ, радиус сервер надо ставить.) И как он опцию обрабатывает? Да это стандартный мануал, без радиуса http://nodeny.com.ua:8080/wiki/index.php/Dhcp#.D0.A1.D1.85.D0.B5.D0.BC.D0.B0_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D1.8B_.D0.B1.D0.B5.D0.B7_Radius (http://nodeny.com.ua:8080/wiki/index.php/Dhcp#.D0.A1.D1.85.D0.B5.D0.BC.D0.B0_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D1.8B_.D0.B1.D0.B5.D0.B7_Radius). К мх еще не подключали ноуденай. Думаем как лучше. Так как есть и часть неуправляемой сети. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 11 Октября 2016, 10:32:06 Ну по уму надо разбирать прилетающий от MX'a ERX-Dhcp-Options на радиусе и отдавать корректные ответ.
CoA я только для смены сервисов использую - тариф поменять или заглушку вывести. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 11 Октября 2016, 10:33:02 У меня mx80 pppoe. Нужен CoA. Трафик собирать не советую. а как вы смотрите количество скаченого трафика клиентом? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 13 Октября 2016, 20:44:25 Ну по уму надо разбирать прилетающий от MX'a ERX-Dhcp-Options на радиусе и отдавать корректные ответ. CoA я только для смены сервисов использую - тариф поменять или заглушку вывести. Тоесть дхцп-сервер у вас настроен на самом мх? или он как dhcp-relay? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 17 Октября 2016, 20:41:36 У когото есть рабочая связка Juniper Bras + NodenyPlus ? IPoE+Opt82 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 17 Октября 2016, 21:30:13 В чем вопрос? Тебе нужна помощь в настройке?
У тебя джунипер уже на руках? Отошли вывод show chassis hardware на juniper@nag.ru и попадешь в скрытый раздел. Там описывается настройка ipoe и пр. А дальше уже связываешь с билингом. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 17 Октября 2016, 22:11:42 В чем вопрос? Тебе нужна помощь в настройке? У тебя джунипер уже на руках? Отошли вывод show chassis hardware на juniper@nag.ru и попадешь в скрытый раздел. Там описывается настройка ipoe и пр. А дальше уже связываешь с билингом. В закрытом разделе уже есть) Настроил demux+ dynamic-profile + dhcp-relay от ноуденай+ теперь требуется чтобы согласно балансу клиента на МХ передавалась инфа кого пускать, а кого нет. Установил freeradius, подвязал к МХ, но как только идет запрос от клиента на выдачу айпи МХ обращается к радиусу, он и не может авторизовать клиента, и соответственно не выдает ISC-DHCP айпи адреса через релей. Мне нужна подсказка, как связать radius с ноуденай+? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 18 Октября 2016, 07:52:43 Вот прилетает запрос на радиус, но ни айпи не выдает гостевой не текущую связку не авторизует.
Я так понимаю надо смотреть в mysql процедуры radiusa? Код: rad_recv: Access-Request packet from host 192.168.12.1 port 63238, id=51, length=284 User-Name = "985a.ebc8.c8a4" User-Password = "hardpass5" Service-Type = Framed-User Chargeable-User-Identity = "" Acct-Session-Id = "110" ERX-Dhcp-Options = 0x350101370a017903060f77fc5f2c2e390205dc3d0701985aebc8c8a433040076a7000c0d4d6163426f6f6b2d50726f2d32521201060004000c010302080006001da141aa00 ERX-Dhcp-Gi-Address = 10.0.101.1 ERX-Dhcp-Mac-Addr = "985a.ebc8.c8a4" NAS-Identifier = "border" NAS-Port = 281018380 NAS-Port-Id = "ge-1/1/3.1073741878:12" NAS-Port-Type = Ethernet ERX-Pppoe-Description = "pppoe 98:5a:eb:c8:c8:a4" ADSL-Agent-Circuit-Id = 0x0004000c0103 ADSL-Agent-Remote-Id = 0x0006001da141aa00 NAS-IP-Address = 192.168.12.1 # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/nodeny Вроде все что надо тут есть Код: ERX-Dhcp-Mac-Addr = "985a.ebc8.c8a4" ADSL-Agent-Circuit-Id = 0x0004000c0103 ADSL-Agent-Remote-Id = 0x0006001da141aa00 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 18 Октября 2016, 09:21:24 Чисто теоретически, ты должен с радиусу послать что-то типа:
Код: User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там' соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инетНазвание: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 18 Октября 2016, 10:19:55 На данный момент читаю доку по связке Ноденай с микротиком, настроил Радиус и дхцп на самом МХ.
Если не включать радиус на МХ то айпи адреса выдает нормально. Как только включаешь, идет запрос по маку клиента в БД(там сделал учетку и привязал статический айпи и мак)-дальше радиус отвечает айпи клиента и все, ступор. Не пойму что я делаю не так. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 18 Октября 2016, 11:39:42 Чисто теоретически, ты должен с радиусу послать что-то типа: Код: User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там' соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инетТеоретически как это делается? Данные в бд хранятся? или в файле? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 18 Октября 2016, 12:12:12 Чисто теоретически, ты должен с радиусу послать что-то типа: Код: User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там' соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инетТеоретически как это делается? Данные в бд хранятся? или в файле? -(User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там') Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 24 Октября 2016, 09:45:10 Шли дни)
Сначала была настроена локальная авторизация пользователей на MX80, далее этап авторизации радиусом, и на нем затык. ДХЦП настроен на МХ. Радиус ставил по этому мануалу http://nodeny.com.ua:8080/wiki/index.php/Dhcp%2BRadius (http://nodeny.com.ua:8080/wiki/index.php/Dhcp%2BRadius) Ответ от радиуса с айпишинком приходит но почему то с "Sending Access-Reject" подскажите как сделать Accept? Код: Sending delayed reject for request 1 Sending Access-Reject of id 89 to 10.100.100.1 port 58364 Service-Type = Framed-User Framed-IP-Address = 10.100.100.5 Acct-Interim-Interval = 600 Waking up in 4.9 seconds. По МХ такие вот логи Код: Oct 24 09:53:02.157585 Verify source address b074c003 (10.100.100.1) in routing instance index=0 Oct 24 09:53:02.157891 REQUEST: AUTHEN - module_index 0 module(radius) return: ASYNC Oct 24 09:53:02.157950 Auth-FSM: GRES-Mirror for session-id:911 state:AuthStart(1) Oct 24 09:53:03.070888 serviceRadiusRequestQueues Serviced 1 RADIUS requests Oct 24 09:53:03.070963 serviceRadiusRequestQueues Queue local has 0 requests, peak is 0 Oct 24 09:53:03.071001 serviceRadiusRequestQueues Queue sbr has 0 requests, peak is 0 Oct 24 09:53:03.159551 authd_radius_get_config:Using radius option config from access profile stanza Oct 24 09:53:03.159649 loadDefaultService:: default service for the subscriber is empty Oct 24 09:53:03.159688 Radius result is CLIENT_REQ_STATUS_SUCCESS Oct 24 09:53:03.159736 Parsing RADIUS message for session-id:911 Oct 24 09:53:03.159797 radius-access-reject: Framed-IP-Address received: 10.100.100.5 Oct 24 09:53:03.159856 radius-access-reject: Session-Timeout received: 600 Oct 24 09:53:03.159909 Framework - module(radius) return: FAILURE Oct 24 09:53:03.159945 authd_advance_module_for_aaa_response_msg: result:3 Oct 24 09:53:03.159999 ../../../../../src/junos/usr.sbin/authd/aaa-service/authd_aaa_astable.cc:1650 Client-session response-attr:: type:21 len:4 Oct 24 09:53:03.160118 Auth-FSM: reinterpretFsmEvent 4 to 5 Oct 24 09:53:03.160163 AuthFsm::current state=AuthStart(1) event=5 astEntry=0x20d906c aaa msg=0x1f7006c Oct 24 09:53:03.160198 Auth-FSM: Post the Auth-Response and clean up. session-id:911 Oct 24 09:53:03.160233 Framework: auth result is 2. Performing post-auth operations Oct 24 09:53:03.160265 Framework: result is 2. Oct 24 09:53:03.160301 authd_auth_send_answer: conn=2bfc000, reply-code=2 (FAIL), result-subopcode=2 (SESSION_ACTIVATE), sub-id=911, cookie=65781, rply_len=3972, num_tlv_blocks=2 Oct 24 09:53:03.160395 Delete session: 911 Oct 24 09:53:03.160433 Begin to logout Subscriber Oct 24 09:53:03.160513 Removing client snapshot Oct 24 09:53:03.160649 authd_auth_aaa_msg_destroy Oct 24 09:53:03.160702 authd_auth_aaa_msg_destructauth_aaa_msg: 0x1f7006c Oct 24 09:53:03.160739 authd_write_conn: response is 0x2bfc05c, total len is 3972 and sent is 0 Oct 24 09:53:03.160798 authd_write_conn: response is 0x2bfc05c, wrote 3972 bytes По радиусу пишет ошибки хотя все строго по мануалу (заменил только в процедуре : на . в логине) Код: [sql] expand: call radcheck('%{User-Name}') -> call radcheck('2892.4a23.b7c8') [sql] User found in radcheck table [sql] expand: call radreply('%{User-Name}') -> call radreply('2892.4a23.b7c8') rlm_sql (sql): Released sql socket id: 3 ++[sql] = ok +} # group authorize = ok WARNING: Please update your configuration, and remove 'Auth-Type = Local' WARNING: Use the PAP or CHAP modules instead. User-Password in the request does NOT match "known good" password. Failed to authenticate the user. Using Post-Auth-Type Reject WARNING: Unknown value specified for Post-Auth-Type. Cannot perform requested action. # Executing group from file /usr/local/etc/raddb/sites-enabled/nodeny Delaying reject of request 1 for 1 seconds Going to the next request Waking up in 0.9 seconds. На данный момент скинул настройки фрирадиуса в дефолт. Прописал юзера в файл и его авторизовало. Код: 2892.4a23.b7c8 Cleartext-Password := "IPoE-Opt82" Буду смотреть дальше.ERX-Egress-Policy-Name = "POLICER-5M", ERX-Ingress-Policy-Name = "POLICER-5M" Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 24 Октября 2016, 17:36:36 Код: User-Password in the request does NOT match "known good" password. Вы с аутентификацией не закончили.Failed to authenticate the user Разберитесь с ней до конца. Может он просто не доходит то запроса из базы. Или возвращает не то что надо Что у вас будет если сделать call radcheck('mac.adres.ss') напрямую на sql сервере? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 24 Октября 2016, 19:12:23 Код: User-Password in the request does NOT match "known good" password. Вы с аутентификацией не закончили.Failed to authenticate the user Разберитесь с ней до конца. Может он просто не доходит то запроса из базы. Или возвращает не то что надо Что у вас будет если сделать call radcheck('mac.adres.ss') напрямую на sql сервере? Выдает данные с IP адресом. То есть конект есть. Сейчас уже дошел до активации сервиса :) Код: 2892.4a23.b7c8 Cleartext-Password := "IPoE-Opt82" Framed-IP-Address = 10.100.100.5, ERX-Service-Activate:1 = "svc-global-ipoe(50m,50m,,,,)" ERX-Virtual-Router-Name = default:default Теперь пытаюсь применять разную скорость через COA, на МХ-е настройки прописал чтобы принимало, но шлю команды - скорость не меняется. Шлю так, по айди сессии Код: echo 'Acct-Session-Id ="1024",ERX-Service-Activate:1="svc-global-ipoe(10m,10m)" ' | radclient -x 127.0.0.1 coa hardpass5 Есть ли еще что мог не досмотреть? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 24 Октября 2016, 20:20:12 Код: Выдает данные с IP адресом. То есть конект есть. Код: User-Password in the request does NOT match "known good" password. Что толку если он выдает Reject.Failed to authenticate the user. Using Post-Auth-Type Reject Или решили эту проблему? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 24 Октября 2016, 21:32:43 Код: Выдает данные с IP адресом. То есть конект есть. Код: User-Password in the request does NOT match "known good" password. Что толку если он выдает Reject.Failed to authenticate the user. Using Post-Auth-Type Reject Или решили эту проблему? Reject выдавало когда сделал по мануалу nodeny. Сейчас скинул в дефолт фрирадиус, и настраиваю через файл ЮЗЕРС без БД Как я делаю: 1.Включаю сетевую на ПК, он делает ДХЦП запрос на МХ 2.МХ спрашивает у РАДИУСа есть ли такой клиент в файле ЮЗЕРС по маку, и передает ему атрибуты с файла 3.МХ авторизует его у себя поднимая динамический интерфейс SVLAN и создает под клиента DEMUX и уже на него вешает динамический профиль с определенной скоростью. Проблема: при попытки смены атрибутов скорости через COA командой Код: [root@localhost /usr/local/nodeny]# echo 'Acct-Session-Id ="1026",ERX-Service-Activate:1="svc-global-ipoe(10m,10m)" ' | radclient -x 127.0.0.1 coa hardpass5 Получаем в логах радиуса такое Sending CoA-Request of id 43 to 127.0.0.1 port 3799 Acct-Session-Id = "1026" ERX-Service-Activate:1 = "svc-global-ipoe(10m,10m)" rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=43, length=20 Код: Ready to process requests. Но атрибуты я так понимаю не пересылаются на МХ, так как динамический профиль остается такой же.rad_recv: CoA-Request packet from host 127.0.0.1 port 26545, id=43, length=59 Acct-Session-Id = "1026" ERX-Service-Activate:1 = "svc-global-ipoe(10m,10m)" server coa { # Executing section recv-coa from file /usr/local/etc/raddb/sites-enabled/coa +group recv-coa { ++[ok] = ok +} # group recv-coa = ok # Executing section send-coa from file /usr/local/etc/raddb/sites-enabled/coa +group send-coa { ++[ok] = ok +} # group send-coa = ok } # server coa Sending CoA-ACK of id 43 to 127.0.0.1 port 26545 Finished request 5. Going to the next request Cleaning up request 5 ID 43 with timestamp +179 Ready to process requests. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 24 Октября 2016, 21:59:02 Для смены профиля надо сначала одним запросом передать Deactivate, потом другим - Activate.
И я User-Name вместо Seesion-Id испольвзовал. Но это скорее вопрос удоства. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 25 Октября 2016, 06:29:31 Для смены профиля надо сначала одним запросом передать Deactivate, потом другим - Activate. User-Name на новых прошивках не работает. Только через Session-IdИ я User-Name вместо Seesion-Id испольвзовал. Но это скорее вопрос удоства. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 25 Октября 2016, 11:13:56 Для смены профиля надо сначала одним запросом передать Deactivate, потом другим - Activate. User-Name на новых прошивках не работает. Только через Session-IdИ я User-Name вместо Seesion-Id испольвзовал. Но это скорее вопрос удоства. Вот что пишет: Код: > show subscribers extensive Type: VLAN Logical System: default Routing Instance: default Interface: ge-1/0/0.1073742672 Interface type: Dynamic Underlying Interface: ge-1/0/0 Dynamic Profile Name: DYNINTF-SVLAN-DHCP-INET State: Active Session ID: 1045 VLAN Id: 999 Login Time: 2016-10-25 11:32:19 EEST Type: DHCP User Name: 2892.4a23.b7c8 IP Address: 10.100.100.5 IP Netmask: 255.255.255.128 Logical System: default Routing Instance: default Interface: demux0.1073742673 Interface type: Dynamic Underlying Interface: ge-1/0/0.1073742672 Dynamic Profile Name: DYNSUB-SVLAN-IPDEMUX MAC Address: 28:92:4a:23:b7:c8 State: Active Radius Accounting ID: 1046 Session ID: 1046 VLAN Id: 999 Agent Circuit ID: len 6 00 04 03 e7 01 30 Agent Remote ID: len 8 00 06 00 1d a1 41 aa 00 Login Time: 2016-10-25 11:32:23 EEST Service Sessions: 1 DHCP Options: len 69 35 01 01 3d 07 01 28 92 4a 23 b7 c8 0c 0a 48 50 2d 52 65 76 6f 6c 76 65 3c 08 4d 53 46 54 20 35 2e 30 37 0d 01 0f 03 06 2c 2e 2f 1f 21 79 f9 fc 2b 52 12 01 06 00 04 03 e7 01 30 02 08 00 06 00 1d a1 41 aa 00 IP Address Pool: dhcp-subs Service Session ID: 1047 Service Session Name: svc-global-ipoe State: Active Family: inet IPv4 Input Filter Name: INET_IN-demux0.1073742673-in IPv4 Output Filter Name: INET_OUT-demux0.1073742673-out Вот что применяется через файл: Код: > show dynamic-profile session service-id 1047 svc-global-ipoe { interfaces { demux0 { unit 1073742673 { family { inet { filter { input INET_IN precedence 50; output INET_OUT precedence 50; } } } } } } firewall { family { inet { filter INET_IN { interface-specific; term 1 { then { policer POLICER_IN; service-accounting; accept; } } } filter INET_OUT { interface-specific; term 1 { then { policer POLICER_OUT; service-accounting; accept; } } } } } policer POLICER_IN { filter-specific; if-exceeding { bandwidth-limit 50m; burst-size-limit 512k; } then discard; } policer POLICER_OUT { filter-specific; if-exceeding { bandwidth-limit 50m; burst-size-limit 512k; } then discard; } } } Сам конфиг профиля: Код: > show configuration dynamic-profiles svc-global-ipoe variables { SPEED_IN default-value 1M; SPEED_OUT default-value 1M; } interfaces { demux0 { unit "$junos-interface-unit" { family inet { filter { input INET_IN precedence 50; output INET_OUT precedence 50; } } } } } firewall { family inet { filter INET_IN { interface-specific; term 1 { then { policer POLICER_IN; service-accounting; accept; } } } filter INET_OUT { interface-specific; term 1 { then { policer POLICER_OUT; service-accounting; accept; } } } } policer POLICER_IN { filter-specific; if-exceeding { bandwidth-limit "$SPEED_IN"; burst-size-limit 512k; } then discard; } policer POLICER_OUT { filter-specific; if-exceeding { bandwidth-limit "$SPEED_OUT"; burst-size-limit 512k; } then discard; } } Но когда посылаю Код: echo 'Acct-Session-Id ="1047",ERX-Service-Deactivate="svc-global-ipoe" ' | radclient -x 127.0.0.1 coa hardpass5 сервис остается подключенным.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 25 Октября 2016, 12:57:09 Session ID: 1045
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 25 Октября 2016, 14:29:22 Session ID: 1045 извините, скопировал с КЛИ со следующий сессии, и 1047 тоже пробоавал. В логах радиуса показывает что команда пересылается а МХ не реагирует.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 26 Октября 2016, 11:55:58 Нашел в доке как можно менять сервис с самого МХ, получается возможно менять только $junos-cos-traffic-control-profile через COA или я не прав?
Код: @border> request network-access aaa subscriber modify session-id 1053 ? Possible completions: <[Enter]> Execute this command junos-cos-traffic-control-profile Modify $junos-cos-traffic-control-profile variable | Pipe through a command @border> Вот нашел как удалять сервис и добавлять Код: @border>request network-access aaa subscriber delete session-id 1052 service-profile svc-global-ipoe Successful completion @border> request network-access aaa subscriber add service-profile "svc-global-ipoe(10m,10m)" session-id 1052 Successful completion но при изменении скорости, она стает 50 мбит вместо 10, хотя в динамических профилях на шейпере стоит 10.. через файл радиуса users все ок... что ж такое) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: sever от 28 Октября 2016, 17:59:20 но при изменении скорости, она стает 50 мбит вместо 10, хотя в динамических профилях на шейпере стоит 10.. через файл радиуса users все ок... что ж такое) А если сессию передёрнуть, то скорость какая? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 03 Ноября 2016, 09:15:31 но при изменении скорости, она стает 50 мбит вместо 10, хотя в динамических профилях на шейпере стоит 10.. через файл радиуса users все ок... что ж такое) А если сессию передёрнуть, то скорость какая? В файле радиуса юзерс Код: 2892.4a23.b7c8 Cleartext-Password := "IPoE-Opt82" В настройках dhcp-localFramed-IP-Address = 10.100.100.5, Код: pool-match-order { ip-address-first; external-authority; option-82; } authentication { password IPoE-Opt82; username-include { mac-address; } } group local { dynamic-profile DYNSUB-SVLAN-IPDEMUX; interface ge-1/0/0.0; В динамических профилях Код: # show dynamic-profiles DYNINTF-SVLAN-DHCP-INET interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { demux-source inet; proxy-arp restricted; vlan-id "$junos-vlan-id"; family inet { unnumbered-address lo0.0 preferred-source-address 10.100.100.1; } } } } # show dynamic-profiles DYNSUB-SVLAN-IPDEMUX interfaces { demux0 { unit "$junos-interface-unit" { proxy-arp; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0 preferred-source-address 10.100.100.1; } } } } Сабскрайберс Код: # run show subscribers extensive Type: VLAN Logical System: default Routing Instance: default Interface: ge-1/0/0.1073742693 Interface type: Dynamic Underlying Interface: ge-1/0/0 Dynamic Profile Name: DYNINTF-SVLAN-DHCP-INET State: Active Session ID: 1083 VLAN Id: 999 Login Time: 2016-11-03 08:45:34 EET Type: DHCP User Name: 2892.4a23.b7c8 IP Address: 10.100.100.5 IP Netmask: 255.255.255.128 Logical System: default Routing Instance: default Interface: demux0.1073742694 Interface type: Dynamic Underlying Interface: ge-1/0/0.1073742693 Dynamic Profile Name: DYNSUB-SVLAN-IPDEMUX MAC Address: 28:92:4a:23:b7:c8 State: Active Radius Accounting ID: 1084 Session ID: 1084 VLAN Id: 999 Agent Circuit ID: len 6 00 04 03 e7 01 30 Agent Remote ID: len 8 00 06 00 1d a1 41 aa 00 Login Time: 2016-11-03 08:45:38 EET DHCP Options: len 69 35 01 01 3d 07 01 28 92 4a 23 b7 c8 0c 0a 48 50 2d 52 65 76 6f 6c 76 65 3c 08 4d 53 46 54 20 35 2e 30 37 0d 01 0f 03 06 2c 2e 2f 1f 21 79 f9 fc 2b 52 12 01 06 00 04 03 e7 01 30 02 08 00 06 00 1d a1 41 aa 00 IP Address Pool: dhcp-subs Таким образом инет дается клиенту без ограничения. При попытки повесить сервис svc-global-ipoe на сессию Код: # run request network-access aaa subscriber add session-id 1084 service-profile svc-global-ipoe , скорость начинает шейпится по дефолту вместо 1мбита - до 50мбит... хотя в фаерволе по этому клиенту висит полисер на скорость 1мбит. И интересно почему Session ID: 0Service Session ID: 1086 Service Session Name: svc-global-ipoe State: Active Family: inet IPv4 Input Filter Name: INET_IN-demux0.1073742694-in IPv4 Output Filter Name: INET_OUT-demux0.1073742694-out # run show network-access aaa subscribers session-id 1084 detail Type: dhcp Stripped username: 2892.4a23.b7c8 AAA Logical system/Routing instance: default:default Target Logical system/Routing instance: default:default Access-profile: sbr Session ID: 1084 Accounting Session ID: 1084 Multi Accounting Session ID: 0 IP Address: 10.100.100.5 Authentication State: AuthStateActive Accounting State: Acc-Interim-Sent Provisioning Type: None Service name: svc-global-ipoe Service State: SvcActive Service Family: inet Service Activation Source: Radius Session ID: 0 Session uptime: 00:00:56 Что не доглядел? Может кто сталкивался. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 04 Ноября 2016, 15:16:50 Есть ли для ноудейнай такое? http://abills.asmodeus.com.ua/wiki/doku.php/abills:docs:nas:juniper:ru:juniper (http://abills.asmodeus.com.ua/wiki/doku.php/abills:docs:nas:juniper:ru:juniper)
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 04 Ноября 2016, 16:41:47 что там есть такое, что нельзя сделать модулями n+?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 04 Ноября 2016, 17:29:45 что там есть такое, что нельзя сделать модулями n+? Там есть готовое решение. Тут можно тоже, но нужно допиливать, и без помощи разработчика никак..Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 04 Ноября 2016, 17:49:59 что там есть такое, что нельзя сделать модулями n+? Там есть готовое решение. Тут можно тоже, но нужно допиливать, и без помощи разработчика никак..Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 04 Ноября 2016, 18:40:28 На данный момент есть готовое решение для mx80 pppoe.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 04 Ноября 2016, 19:24:44 На данный момент есть готовое решение для mx80 pppoe. А где? я думаю под ipoe переделать не проблема Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 04 Ноября 2016, 19:33:31 Модуль CoA.
Или нужно выложить доку как это все настроить на джуне? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 05 Ноября 2016, 01:02:18 Модуль CoA. Модуль CoA в наличии есть, но к нему пока не дошел, да и на джуне вручную все работает.Или нужно выложить доку как это все настроить на джуне? Если не тяжело - покажите свою конфигурацию CoA и радиус процедур. Спасибо. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 05 Ноября 2016, 07:25:05 Процедуры стандартные, когда ты скачивал CoA там как раз моя конфигурация..
По твоему вопросу врятли чего-то подскажу, т.к. используется pppoe. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 05 Ноября 2016, 08:43:02 Процедуры стандартные, когда ты скачивал CoA там как раз моя конфигурация.. Понял, спасибо. С понедельника будет время, отпишу.По твоему вопросу врятли чего-то подскажу, т.к. используется pppoe. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 05 Ноября 2016, 09:09:51 Небольшая поправка...
в /usr/local/etc/raddb/sql.conf 2 строки были приведены к виду: Код: postauth_query = "call radupdate('%{User-Name}','%{Framed-IP-Address}',\ и в процедуре radupdate строка'user=%{ERX-Dhcp-Mac-Addr};ses=%{Acct-Session-Id}')" accounting_update_query = "call radupdate('%{User-Name}','%{Framed-IP-Address}',\ 'user=%{ERX-Dhcp-Mac-Addr};ses=%{Acct-Session-Id}')"} Код: CALL set_auth(usr_ip, CONCAT('mod=pppoe;',REPLACE(properties,':',''))); была изменена наКод: CALL set_auth(usr_ip, CONCAT('mod=pppoe;',REPLACE(properties,'.',''))); В твоем случае скорее всего нужно:Код: CALL set_auth(ip, CONCAT('mod=dhcp;',REPLACE(properties,'.',''))); И тебе нужно будет обратиться к Стасу, чтоб он тебе дал/продал небольшую приблуду для билинга (snmp_chkses), которая по snmp будет получать список авторизованных пользователей.. Хз, может для ipoe ее нужно будет чуток переделать, т.к. сейчас она получает список логинов.Так же смогу тебе помочь с настройкой гостевого профайла на джуне, который будет перенаправлять на заглушку билинга. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 05 Ноября 2016, 23:21:01 но при изменении скорости, она стает 50 мбит вместо 10, хотя в динамических профилях на шейпере стоит 10.. через файл радиуса users все ок... что ж такое) А если сессию передёрнуть, то скорость какая? В файле радиуса юзерс Код: 2892.4a23.b7c8 Cleartext-Password := "IPoE-Opt82" В настройках dhcp-localFramed-IP-Address = 10.100.100.5, Код: pool-match-order { ip-address-first; external-authority; option-82; } authentication { password IPoE-Opt82; username-include { mac-address; } } group local { dynamic-profile DYNSUB-SVLAN-IPDEMUX; interface ge-1/0/0.0; В динамических профилях Код: # show dynamic-profiles DYNINTF-SVLAN-DHCP-INET interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { demux-source inet; proxy-arp restricted; vlan-id "$junos-vlan-id"; family inet { unnumbered-address lo0.0 preferred-source-address 10.100.100.1; } } } } # show dynamic-profiles DYNSUB-SVLAN-IPDEMUX interfaces { demux0 { unit "$junos-interface-unit" { proxy-arp; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0 preferred-source-address 10.100.100.1; } } } } Сабскрайберс Код: # run show subscribers extensive Type: VLAN Logical System: default Routing Instance: default Interface: ge-1/0/0.1073742693 Interface type: Dynamic Underlying Interface: ge-1/0/0 Dynamic Profile Name: DYNINTF-SVLAN-DHCP-INET State: Active Session ID: 1083 VLAN Id: 999 Login Time: 2016-11-03 08:45:34 EET Type: DHCP User Name: 2892.4a23.b7c8 IP Address: 10.100.100.5 IP Netmask: 255.255.255.128 Logical System: default Routing Instance: default Interface: demux0.1073742694 Interface type: Dynamic Underlying Interface: ge-1/0/0.1073742693 Dynamic Profile Name: DYNSUB-SVLAN-IPDEMUX MAC Address: 28:92:4a:23:b7:c8 State: Active Radius Accounting ID: 1084 Session ID: 1084 VLAN Id: 999 Agent Circuit ID: len 6 00 04 03 e7 01 30 Agent Remote ID: len 8 00 06 00 1d a1 41 aa 00 Login Time: 2016-11-03 08:45:38 EET DHCP Options: len 69 35 01 01 3d 07 01 28 92 4a 23 b7 c8 0c 0a 48 50 2d 52 65 76 6f 6c 76 65 3c 08 4d 53 46 54 20 35 2e 30 37 0d 01 0f 03 06 2c 2e 2f 1f 21 79 f9 fc 2b 52 12 01 06 00 04 03 e7 01 30 02 08 00 06 00 1d a1 41 aa 00 IP Address Pool: dhcp-subs Таким образом инет дается клиенту без ограничения. При попытки повесить сервис svc-global-ipoe на сессию Код: # run request network-access aaa subscriber add session-id 1084 service-profile svc-global-ipoe , скорость начинает шейпится по дефолту вместо 1мбита - до 50мбит... хотя в фаерволе по этому клиенту висит полисер на скорость 1мбит. И интересно почему Session ID: 0Service Session ID: 1086 Service Session Name: svc-global-ipoe State: Active Family: inet IPv4 Input Filter Name: INET_IN-demux0.1073742694-in IPv4 Output Filter Name: INET_OUT-demux0.1073742694-out # run show network-access aaa subscribers session-id 1084 detail Type: dhcp Stripped username: 2892.4a23.b7c8 AAA Logical system/Routing instance: default:default Target Logical system/Routing instance: default:default Access-profile: sbr Session ID: 1084 Accounting Session ID: 1084 Multi Accounting Session ID: 0 IP Address: 10.100.100.5 Authentication State: AuthStateActive Accounting State: Acc-Interim-Sent Provisioning Type: None Service name: svc-global-ipoe Service State: SvcActive Service Family: inet Service Activation Source: Radius Session ID: 0 Session uptime: 00:00:56 Что не доглядел? Может кто сталкивался. Нашел проблему с шейпером ;D Неправильно были объявлены переменные в динамических профилях Было: Код: set dynamic-profiles svc-global-ipoe variables SPEED_IN default-value 2m set dynamic-profiles svc-global-ipoe variables SPEED_OUT default-value 2m set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter input "$INET_IN" set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 50 set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter output "$INET_OUT" set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 50 set dynamic-profiles svc-global-ipoe firewall family inet filter INET_IN interface-specific set dynamic-profiles svc-global-ipoe firewall family inet filter INET_IN term 1 then policer POLICER_IN set dynamic-profiles svc-global-ipoe firewall family inet filter INET_IN term 1 then service-accounting set dynamic-profiles svc-global-ipoe firewall family inet filter INET_IN term 1 then accept set dynamic-profiles svc-global-ipoe firewall family inet filter INET_OUT interface-specific set dynamic-profiles svc-global-ipoe firewall family inet filter INET_OUT term 1 then policer POLICER_OUT set dynamic-profiles svc-global-ipoe firewall family inet filter INET_OUT term 1 then service-accounting set dynamic-profiles svc-global-ipoe firewall family inet filter INET_OUT term 1 then accept set dynamic-profiles svc-global-ipoe firewall policer POLICER_IN filter-specific set dynamic-profiles svc-global-ipoe firewall policer POLICER_IN if-exceeding bandwidth-limit "$SPEED_IN" set dynamic-profiles svc-global-ipoe firewall policer POLICER_IN if-exceeding burst-size-limit 512k set dynamic-profiles svc-global-ipoe firewall policer POLICER_IN then discard set dynamic-profiles svc-global-ipoe firewall policer POLICER_OUT filter-specific set dynamic-profiles svc-global-ipoe firewall policer POLICER_OUT if-exceeding bandwidth-limit "$SPEED_OUT" set dynamic-profiles svc-global-ipoe firewall policer POLICER_OUT if-exceeding burst-size-limit 512k set dynamic-profiles svc-global-ipoe firewall policer POLICER_OUT then discard Сменил на следующие, стало все нормально шейпится(недописывал "$"), продолжаю тесты. Код: set dynamic-profiles svc-global-ipoe variables SPEED_IN default-value 2m set dynamic-profiles svc-global-ipoe variables SPEED_OUT default-value 2m set dynamic-profiles svc-global-ipoe variables INET_IN uid set dynamic-profiles svc-global-ipoe variables INET_OUT uid set dynamic-profiles svc-global-ipoe variables POLICER_IN uid set dynamic-profiles svc-global-ipoe variables POLICER_OUT uid set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter input "$INET_IN" set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 50 set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter output "$INET_OUT" set dynamic-profiles svc-global-ipoe interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 50 set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_IN" interface-specific set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_IN" term 1 then policer "$POLICER_IN" set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_IN" term 1 then service-accounting set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_IN" term 1 then accept set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_OUT" interface-specific set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_OUT" term 1 then policer "$POLICER_OUT" set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_OUT" term 1 then service-accounting set dynamic-profiles svc-global-ipoe firewall family inet filter "$INET_OUT" term 1 then accept set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_IN" filter-specific set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_IN" if-exceeding bandwidth-limit "$SPEED_IN" set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_IN" if-exceeding burst-size-limit 512k set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_IN" then discard set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_OUT" filter-specific set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_OUT" if-exceeding bandwidth-limit "$SPEED_OUT" set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_OUT" if-exceeding burst-size-limit 512k set dynamic-profiles svc-global-ipoe firewall policer "$POLICER_OUT" then discard Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 05 Ноября 2016, 23:25:52 Небольшая поправка... в /usr/local/etc/raddb/sql.conf 2 строки были приведены к виду: Код: postauth_query = "call radupdate('%{User-Name}','%{Framed-IP-Address}',\ и в процедуре radupdate строка'user=%{ERX-Dhcp-Mac-Addr};ses=%{Acct-Session-Id}')" accounting_update_query = "call radupdate('%{User-Name}','%{Framed-IP-Address}',\ 'user=%{ERX-Dhcp-Mac-Addr};ses=%{Acct-Session-Id}')"} Код: CALL set_auth(usr_ip, CONCAT('mod=pppoe;',REPLACE(properties,':',''))); была изменена наКод: CALL set_auth(usr_ip, CONCAT('mod=pppoe;',REPLACE(properties,'.',''))); В твоем случае скорее всего нужно:Код: CALL set_auth(ip, CONCAT('mod=dhcp;',REPLACE(properties,'.',''))); И тебе нужно будет обратиться к Стасу, чтоб он тебе дал/продал небольшую приблуду для билинга (snmp_chkses), которая по snmp будет получать список авторизованных пользователей.. Хз, может для ipoe ее нужно будет чуток переделать, т.к. сейчас она получает список логинов.Так же смогу тебе помочь с настройкой гостевого профайла на джуне, который будет перенаправлять на заглушку билинга. Спасибо, а что там сложного с редиректом? через роутинг инстанс? Если Стас читает, думаю ответит что-за фича, и как работает. И нужна ли она в моем случае. Кстати та проблема, из за которой у меня не хотело работать CoA, это само собой кривые руки))))) Надо было просто указать айпи адрес джунипера, а не самого сервера радиус ;D Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 06 Ноября 2016, 09:18:03 Профайл + роутинг инстанс + правило в фаерволе на сервере, на который идет next-hop.
По поводу snmp_chkses это та сам смотри. Подключи пользователя, если в билинге ключ не пропадает в течении 3-5 минут, то он тебе не нужен. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 06 Ноября 2016, 12:36:13 Профайл + роутинг инстанс + правило в фаерволе на сервере, на который идет next-hop. Если можете - покажите. Находил примеры на НАГе. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 06 Ноября 2016, 18:36:20 Стас, предлагаю написать доку.. с меня по настройке pppoe.. штука ведь нужная, или тебе не интересно развивать эту тему?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 06 Ноября 2016, 19:09:59 Стас, предлагаю написать доку.. с меня по настройке pppoe.. штука ведь нужная, или тебе не интересно развивать эту тему? Как введу в эксплуатацию мх80+ipoe+nodeny - напишу мануал обязательно. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 06 Ноября 2016, 21:33:14 Стас, предлагаю написать доку.. с меня по настройке pppoe.. штука ведь нужная, или тебе не интересно развивать эту тему? зарегайся в wiki: http://nodeny.com.ua/wiki/ - дам доступ на редактирование статьиНазвание: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 06 Ноября 2016, 22:48:55 По поводу snmp_chkses это та сам смотри. Подключи пользователя, если в билинге ключ не пропадает в течении 3-5 минут, то он тебе не нужен. и действительно, авторизовал пользователя, в биллинге ключ позеленел, дальше отключил ПК, и сколько не ждешь гаснуть он(ключ) не собирается.А что именно отвечает за поддержание авторизации? в мануале написано радиус, вопрос как? если даже проверок никаких нету. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 07 Ноября 2016, 11:54:41 Есть такая штука: accounting - радиус периодически шлет инфо о том, сколько трафика потребил абонент. Вот если по юзеру пришла такая инфа - считается, что он авторизован. Это хорошо работает на pppoe, если был дисконект, то аккаунтинг по юзеру не будет посылаться. Это походу лучше чем регистрировать дисконнект по пакету "дисконнект" ибо если такой пакет не прийдет, например, временный лаг сети, то юзер будет долго висеть авторизованным.
В "не-pppoe" аккаунтинг не слишком удобен, поскольку, например в dhcp если юзер выключит комп, то не факт что он пошлет пакет об освобождении адреса. Как раздаете инет вашей железякой - я не смотрел, слишком много букв вы понаписали Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 07 Ноября 2016, 15:30:50 У MX80 с аккаунтингом грустно, он редко шлет его. Интервал от 10 до 60 минут что-ли был.
И то они у меня не всегда приходили. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 07 Ноября 2016, 21:48:36 Есть такая штука: accounting - радиус периодически шлет инфо о том, сколько трафика потребил абонент. Вот если по юзеру пришла такая инфа - считается, что он авторизован. Это хорошо работает на pppoe, если был дисконект, то аккаунтинг по юзеру не будет посылаться. Это походу лучше чем регистрировать дисконнект по пакету "дисконнект" ибо если такой пакет не прийдет, например, временный лаг сети, то юзер будет долго висеть авторизованным. В "не-pppoe" аккаунтинг не слишком удобен, поскольку, например в dhcp если юзер выключит комп, то не факт что он пошлет пакет об освобождении адреса. Как раздаете инет вашей железякой - я не смотрел, слишком много букв вы понаписали инет собираемся раздавать также как и через nodeny+, выдача по dhcp(релей)+option82+radius. проясните как быть с отключением авторизации с ipoe+mx80+radius+nodeny? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 07 Ноября 2016, 23:08:47 Модуль ядра dhcp запущен?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 08 Ноября 2016, 06:41:48 зарегайся в wiki: http://nodeny.com.ua/wiki/ - дам доступ на редактирование статьи Зарегался, только сначала себе wikki поставлю, чтоб понять как там заполнять нужно..Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 08 Ноября 2016, 08:05:37 Модуль ядра dhcp запущен? запущен, тоесть я понимаю вы предлагаете авторизовать ним через events.pl? у меня было уже не один раз что этот скрипт намертво вис, и модуль дхцп начинал работать только после ребута всего сервера, ошибок соответсвенно никаких не писало. думал от него уйти, понимаю что никак :) И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 08 Ноября 2016, 08:10:09 Модуль ядра dhcp запущен? запущен, тоесть я понимаю вы предлагаете авторизовать ним через events.pl? (в мануале видел что надо вырубать модуль) у меня было уже не один раз что этот скрипт намертво вис, и модуль дхцп начинал работать только после ребута всего сервера, ошибок соответсвенно никаких не писало. думал от него уйти, понимаю что никак :) И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 08 Ноября 2016, 09:04:37 И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? на джуне есть netflow v5, но без доп. платы ты не сможешь нормально собирать, т.к. нагрузка будет очень высокая, а плата как раз нужно чтоб эту нагрузку на себя брать.. я трафик никак не собираю..Есть вариант сбора трафика через ралиус, но я этим не заморачивался пока... Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 08 Ноября 2016, 19:33:59 И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? на джуне есть netflow v5, но без доп. платы ты не сможешь нормально собирать, т.к. нагрузка будет очень высокая, а плата как раз нужно чтоб эту нагрузку на себя брать.. я трафик никак не собираю..Есть вариант сбора трафика через ралиус, но я этим не заморачивался пока... то место куда можно поставить плату- занято платой для ната :) статистика надо для того, чтобы понять пользовался ли клиент инетом. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Ноября 2016, 07:24:12 Остается только собирать по радиусу. Другого выхода не .
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 10 Ноября 2016, 14:54:13 Остается только собирать по радиусу. Другого выхода не . Есть, я на коммутаторе до nat снимаю через span все что уходит с mx'a.но это надо иметь хотя бы несколько 10г портов на свиче и отдельный сервер по ng_netflow. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 10 Ноября 2016, 14:55:15 то место куда можно поставить плату- занято платой для ната :) А как оно вообще по стабильности? Вроде не очень говорят платастатистика надо для того, чтобы понять пользовался ли клиент инетом. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 11 Ноября 2016, 10:04:13 то место куда можно поставить плату- занято платой для ната :) А как оно вообще по стабильности? Вроде не очень говорят платастатистика надо для того, чтобы понять пользовался ли клиент инетом. а в чем именно должна проявляться нестабильность? вот кстати интересная ссылка https://show-route.blogspot.com/2016/06/crash-ms-mic.html (https://show-route.blogspot.com/2016/06/crash-ms-mic.html) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 28 Ноября 2016, 21:22:26 Стас, предлагаю написать доку.. с меня по настройке pppoe.. штука ведь нужная, или тебе не интересно развивать эту тему? По доке подскажите, написали ли? Если нет, покажите профиль с заглушкой на ноденай.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 29 Ноября 2016, 06:51:57 Ты уже с остальным разобрался?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 29 Ноября 2016, 13:23:32 Ты уже с остальным разобрался? Почти :)Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 29 Ноября 2016, 13:54:21 Код: # show dynamic-profiles svc-guest-pppoe interfaces { pp0 { unit "$junos-interface-unit" { family inet { filter { input svc-filter-in-nomoney precedence 250; } } } } } firewall { family inet { filter svc-filter-in-nomoney { interface-specific; term 1 { from { destination-address { 8.8.8.8/32; x.x.x.x/32; -<< Добавляешь адреса которые хочешь разрешить. } protocol [ tcp udp ]; destination-port [ 80 443 53 8080 ]; } then accept; } term 2 { from { protocol tcp; destination-port [ 80 443 ]; } then { routing-instance neg_dep; } } term default { then { discard; } } } } } Код: # show routing-options interface-routes { rib-group inet neg_dep; rib-groups { neg_dep { import-rib [ inet.0 neg_dep.inet.0 ]; } } Код: # show routing-instances neg_dep На машинке где будет заглушка добавляешь в фаервол запись:instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop x.x.x.x; -<< x.x.x.x - ip заглушки } } Код: fwd 127.0.0.1,8080 tcp from any to not me dst-port 80 via em1 интерфейс под себя уже..Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 29 Июня 2017, 10:16:54 Наконецто нашлось время, испытать COA модуль, c juniper mx80 ipoe работает прекрасно, меняет скорость, запрещает доступ, открывает доступ, все ок, реагирует быстро.
Осталась одна проблема. Авторизация висит активная, даже когда клиент выключил ПК.... DHCP настроен на MX. Что за фича? Я так понимаю она как раз для этого и служит? Цитировать И тебе нужно будет обратиться к Стасу, чтоб он тебе дал/продал небольшую приблуду для билинга (snmp_chkses), которая по snmp будет получать список авторизованных пользователей.. Хз, может для ipoe ее нужно будет чуток переделать, т.к. сейчас она получает список логинов. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 29 Июня 2017, 11:10:22 Потому что в dhcp нет четкого механизма сообщить, что комп "в сети". Вот получил комп ip и через минуту выключился. Как биллинг узнает об этом? Нет механизма keep-alive, когда в протоколе предусмотрена периодическая посылка пакетов "я живой". Поэтому приходится биллингу действовать исходя из таких соображений: через lease-time абон должен запросить продление аренды ip, пока он не сделал это, думаем, что он в сети. Правда в протоколе есть механизм посылки пакета освобождения ip, но это не всегда работает, как минимум не работает, если комп перегрузить через кнопку или оборвется связь
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 29 Июня 2017, 17:26:25 Потому что в dhcp нет четкого механизма сообщить, что комп "в сети". Вот получил комп ip и через минуту выключился. Как биллинг узнает об этом? Нет механизма keep-alive, когда в протоколе предусмотрена периодическая посылка пакетов "я живой". Поэтому приходится биллингу действовать исходя из таких соображений: через lease-time абон должен запросить продление аренды ip, пока он не сделал это, думаем, что он в сети. Правда в протоколе есть механизм посылки пакета освобождения ip, но это не всегда работает, как минимум не работает, если комп перегрузить через кнопку или оборвется связь Иными словами "используйте стандартный дхцп для ноудейнай, а на МХ настройте релей". ВернО? Получается в случае отпада дхцп на ноуденай - авторизация работать не будет... И что за фича snmpchkes? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 29 Июня 2017, 19:18:24 Получается в случае отпада дхцп на ноуденай - авторизация работать не будет... А чего оно отпадать должно?Вот сколько не пользовался, ни разу с дхцп проблем не было ) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 29 Июня 2017, 21:20:04 Получается в случае отпада дхцп на ноуденай - авторизация работать не будет... А чего оно отпадать должно?Вот сколько не пользовался, ни разу с дхцп проблем не было ) Писал в соседних темах о проблемах с авторизацией, залипает скрипт events.pl, вроде после fsck начинает дальше работать нормально(стоят 2 ссд в gmirror), но это же не должно так быть, раз в пол года ребут.. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 23 Января 2018, 18:01:23 Давно не писали в этой теме.
Есть ли у кого успехи с внедрением MX80 для NODENY? получилось побороть отображение окончания авторизации IPoE в биллинге и мониторить количество трафика? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 23 Января 2018, 19:16:58 Pppoe. Пользователи онлайн снимаются по snmp раз в минуту. А вот с трафиком беда. Можно вроде с радиуса снимать, но я пока не разбирался.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 04 Февраля 2018, 09:41:49 Pppoe. Пользователи онлайн снимаются по snmp раз в минуту. А вот с трафиком беда. Можно вроде с радиуса снимать, но я пока не разбирался. Покажите, пожалуйста, каким образом вы вычисляете онлайн по снмп? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 04 Февраля 2018, 14:45:03 Pppoe. Пользователи онлайн снимаются по snmp раз в минуту. А вот с трафиком беда. Можно вроде с радиуса снимать, но я пока не разбирался. Покажите, пожалуйста, каким образом вы вычисляете онлайн по снмп? если у тебя выдает список пользователей - тогда тебе к Стасу. Он модуль писал Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 08 Декабря 2018, 21:24:53 Помогите поднять заглушку!
есть MX5(upto80) в роли бордера, MX80 в роли БРАСа (address 91.XX.XX.18), и Фряха с заглушкой (address 92.XX.XX.250) на фряхе запущена стандатная заглушка на 8080 порту вфайрволе 00001 0 0 fwd 127.0.0.1,8080 tcp from any to not me 80 via vmx0 на БРАСе конфиг в приложении, svc-cap-pppoe для заблокированых абонов но на заглушку трафик не идет, а при прямом обращении на заглушку всё норм помогите пожалуйста найти трабл, уже месяц немогу осилить ее. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Декабря 2018, 11:15:27 у меня
Код: fwd 127.0.0.1,8080 tcp from any to not me dst-port 80 via em1 Код: svc-guest-pppoe { interfaces { pp0 { unit "$junos-interface-unit" { family inet { filter { input svc-filter-in-nomoney precedence 250; } } } } } firewall { family inet { filter svc-filter-in-nomoney { interface-specific; term 1 { from { destination-address { x.x.x.x/32; x.x.x.x/32; x.x.x.x/32; x.x.x.x/32; } protocol [ tcp udp ]; destination-port [ 80 443 53 8080 ]; } then accept; } term 2 { from { protocol tcp; destination-port [ 80 443 ]; } then { routing-instance neg_dep; } } term default { then { discard; } } } } } } Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 21 Января 2019, 15:54:50 кто то обещался инструкцию написать для джунипер+ппое, кто то по завершению настройки джунипер+ипое...
понятно что никто ни кому ни чего не должен. но если Вас не затруднит, поделитесь пожалуйста примерами настроек. какие настройки радиуса (2 или 3 использовали?) процедур, ну и самого джуна. заранее спасибо;) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 21 Января 2019, 22:34:08 Прилагаю робочий конфиг для ПППоЕ и НАТ! Конфиг в режиме " | display set"! Есть комментарии!
Это больше чем нужно, иначе медвежья услуга! :) Лучше самим разобраться, и понимать, как ОНО работает! Все белые ИП заменены на вымышленные, но по сетям совпадают! также присутствуют мои доработки! P.S. 2 Warlock : Забыл поблагодарить тебя за заглушку! (оказалось, я всё делал правильно, только исправлял варнинг профиля, и он переставал работать по назначению!) Благодарю великодушно! ("+" в карму ;)) ) #Juniper #MX80 #PPPoE #NAT Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 24 Января 2019, 15:13:32 Спасибо, уже легче;) С процедурами мускула для опции 82 для радиуса есть у кого рабочее решение?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 16 Февраля 2019, 17:56:11 Потому что в dhcp нет четкого механизма сообщить, что комп "в сети". Вот получил комп ip и через минуту выключился. Как биллинг узнает об этом? Нет механизма keep-alive, когда в протоколе предусмотрена периодическая посылка пакетов "я живой". Поэтому приходится биллингу действовать исходя из таких соображений: через lease-time абон должен запросить продление аренды ip, пока он не сделал это, думаем, что он в сети. Правда в протоколе есть механизм посылки пакета освобождения ip, но это не всегда работает, как минимум не работает, если комп перегрузить через кнопку или оборвется связь Помоги, пожалуйста, закончить наконец-то с настройкой NODENY+JUNIPER. На текущий момент работает так: настроен дхцп сервер на джуне, далее джун через радиус общается с БД нодени, со стандартной процедурой где идет запрос только по маку, по CoА режется скорость . Чтобы дописать мануал осталось совсем немного: 1. Нужны MYSQL процедуры, для авторизации по маку и авторизации мак+свич+порт(на выбор, смотря что вписано в биллинге). 2. Как выдавать ИП с динамического диапазона (радиус выдает ИП только зареганым макам) 3. Решить как будет заканчиваться авторизация у клиента(тут говорили, что есть какой-то модуль специально для этого snmp_chk) Без помощи разработчика очень тяжело :) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 24 Февраля 2019, 13:42:16 Уважаемый разработчик, назовите сумму денег за реализацию поддержки juniper bras под ключ. Спасибо.
IPoe(привязка мак, мак+порт, влан)+radius+количество трафика за месяц (нужно для понимания пользовался ли клиент инетом)+coa Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 06 Марта 2019, 15:44:44 есть какие то продвижения?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 16 Марта 2019, 08:41:52 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 16 Марта 2019, 09:54:25 Меня кормят завтраками, сорян, ничего не могу сделать, я готов был в любой момент отвлекаться от зарабатывания денег на основной работе и допиливать то, что мне скажут, но как обычно, меня часто наебуют.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 17 Марта 2019, 09:20:39 не хочется сказать ничего плохого, не поймите меня не правильно, но как мне кажется, это вроде как дело престижа?
ну как бы так: мелкая сетка - все работает все в одном тазик+фря - отлично;) чуть подросла - ракмаунт сервера +фря разнос на базу и сателиты - все отлично;) растем еще - начинаем пользовать более железные решения типа микротик клаудкоры - все отлично;) еще растем) - посматриваем на железные решение - тот же джунипер - а тут все пичально( понятно что - "что не можешь сам - найми того кто может", но получается что "кто может" начинает рекомендовать другие системы и убеждать в том что здесь тупик, как бы дошли до своего максимума и надо переходить на более производительные системы, под большее число абонов,трафика, доп модулей. да можно найти спеца который свяжет и N+ с джуном как надо, но тогда в дальнейшем надо будет зависеть исключительно от его поддержки, а что лучше поддержка одного человека или группы разработчиков и сообщества? лучше оба варианта, но если выбирать один - то разработчики и сообщество. на оф сайте утверждение что нодени плюс управляет сетями любых размеров - а масштабировать можно микротиком и фрей - как то грустно. Так то цены на б/у железные решения начального уровня с каждым годом ниже. немного офтопа - с модулем для пона тоже пичалька, казалось бы причем тут это? частный сектор - онли пон, гирлянды мыльниц с пое питанием не выдерживают никакой критики на данный момент. так что сейчас частный сектор или уже перешел на пон или в процессе. а диагностика этого чуда нужна - абоны могут и оптический пачкорд в узел завязать и привязать им к батарее онушку по этому просто пинговалки не хватает( Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: LENS от 18 Марта 2019, 03:34:34 Меня кормят завтраками, сорян, ничего не могу сделать, я готов был в любой момент отвлекаться от зарабатывания денег на основной работе и допиливать то, что мне скажут, но как обычно, меня часто наебуют. Подскажите, а какая цена данного вопроса? Возможно будут желающие поучаствовать и собрать требуемую сумму. А в замен получат данное решение первыми и не на костылях а через radius Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 18 Марта 2019, 09:20:45 Дело не в сумме. Нужно грамотное тз. Если раньше у меня была сеть и я мог сам додумать что нужно, то сейчас я просто программист и мне нужно тз
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: LENS от 18 Марта 2019, 10:13:31 Дело не в сумме. Нужно грамотное тз. Если раньше у меня была сеть и я мог сам додумать что нужно, то сейчас я просто программист и мне нужно тз Я готов скооперироваться с кем то, либо самостоятельно расписать грамотное ТЗ с учетом всех аспектов. Аутентификация, CoA, требования и т.д. Мало того, если нужно, я могу через пару недель собрать отдельный тестовый стенд: - MX80 - виртуалка с Виндоус в качестве клиента - FreeBSD для Radius и тд За это я хочу работоспособную связку Nodeny Plus <--> Jun MX80 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 18 Марта 2019, 23:41:34 Я тебя понял. Отвечу позже)
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 19 Марта 2019, 07:47:37 присоединяюсь, также могу стенд организовать);)
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 20 Марта 2019, 14:35:13 Так. Сначала отмазки. Железки у меня нету и какой функционал она умеет - я не знаю, как она умеет - тоже не знаю) У меня есть интересный модуль, назвал его remote - он сделал для универсального (на сколько это возможно) управлением каким-либо устройством. Проверяли мне его на циске, говорят работает отлично.
Возможно этот модуль подойдет и для джунипера, достаточно написать правильный конфиг и часть, которая общается с железкой. К циске модуль коннектится по ssh. Вот например, используется такой конфиг: Префиксы для наших acl: Код: acl_in_prefix => 'ACL-IN-', acl_out_prefix => 'ACL-OUT-' Acl для конкретной услуге: Код: in => '{{settings.acl_in_prefix}}{{user.service_id}}', out => '{{settings.acl_out_prefix}}{{user.service_id}}' Команды, которые выполняются после успешного логина (сперва запустится enable с паролем, затем configure terminal): Код: { method => 'enable', param => $hw_connection{enable_password} }, 'configure terminal' Команда для получения списка ACL и IP в них: Код: show_alcs => 'do sh ip access-lists' Команда, которая добавляет IP в заданный ACL. Параметры: # acl : имя ACL # is_in_acl : установлен, если это ACL для входящего трафика # ip : IP # user : данные абонента, например {{user.serrvice_id}}, {{user.speed_in1}} # settings : текущие настройки, например {{settings.acl_in_prefix}}, {{settings.connection.pass}} Код: ip access-list extended {{acl}} {% if is_in_acl %} permit ip any host {{ip}} {% else %} permit ip host {{ip}} any {% endif %} Удаление IP из ACL: Код: ip access-list extended {{acl}} {% if is_in_acl %} no permit ip any host {{ip}} {% else %} no permit ip host {{ip}} any {% endif %} Конфигурирование скорости: Код: class-map match-all CM-IN-{{service.service_id}} match access-group name {{settings.acl_in_prefix}}{{service.service_id}} {% if service.speed_in.1 %} policy-map PM-IN-1 class CM-IN-{{service.service_id}} police {{service.speed_in.1}} 10000 exceed-action drop {% endif %} {% if service.speed_in.2 %} policy-map PM-IN-2 class CM-IN-{{service.service_id}} police {{service.speed_in.2}} 10000 exceed-action drop {% endif %} class-map match-all CM-OUT-{{service.service_id}} match access-group name {{settings.acl_in_prefix}}{{service.service_id}} {% if service.speed_out.1 %} policy-map PM-OUT-1 class CM-OUT-{{service.service_id}} police {{service.speed_out.1}} 10000 exceed-action drop {% endif %} {% if service.speed_out.2 %} policy-map PM-OUT-2 class CM-OUT-{{service.service_id}} police {{service.speed_out.2}} 10000 exceed-action drop {% endif %} Функция, которая извлекает acl из ответа циски: Код: return $s =~ /Extended IP access list +([^\n]+)$/ ? $1 : ''; Видно, что команды задаются шаблонами. Если это подойдет - давайте развивать этот модуль. Кстати, если для циски нужен - обращайтесь тоже Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 20 Марта 2019, 18:37:42 Мне кажется, это всё лишнее. Есть ведь для этого coa, который прекрасно работает. По крайней мере с pppoe. DHCP пока только делаю, но, как мне кажется, кроме coa опять же ничего не нужно. Мне кажется, что люди хотят точную документацию, как в случае с freebsd, по которой можно настроить железяку с нуля, не понимая при этом как оно всё работает.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 21 Марта 2019, 08:46:14 Мне кажется, это всё лишнее. Есть ведь для этого coa, который прекрасно работает. По крайней мере с pppoe. DHCP пока только делаю, но, как мне кажется, кроме coa опять же ничего не нужно. Мне кажется, что люди хотят точную документацию, как в случае с freebsd, по которой можно настроить железяку с нуля, не понимая при этом как оно всё работает. ну это конечно в идеале. но сразу никогда ничего не получается, по этому совместными усилиями можем получить необходимый результат. для начала есть мускул процедуры для 3 радиуса с дхцп+опт-82 и без+гет-ип-таг?Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 21 Марта 2019, 11:16:16 А как насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: elite от 21 Марта 2019, 11:23:53 А как насчет того чтобы добавить какой-то промежуточный софт? у вас часто биллинг лежит?Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 21 Марта 2019, 11:39:41 А как насчет того чтобы добавить какой-то промежуточный софт? у вас часто биллинг лежит?Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? локи таблиц были. авторизация отпадала. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 21 Марта 2019, 11:49:37 А как насчет того чтобы добавить какой-то промежуточный софт? ну я планирую частично переводить, по этому нужна функция get_ip_by_tag. в песочнице оттестил, затем настроил на боевом, по идее настройка биллинга не должна влиять на других абонов - добавится радиус, несколько процедур - они не должны влиять. выделил подсетку, выбрал подопытных и вперед). а так уж если вдруг биллинг упал - всем интернету на халяву (типа ipfw add 10 allow ip from any to any быстро, но не безопасно, лучше добавить два правила после 5001 и 33001 и бегом поднимать).Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 21 Марта 2019, 13:55:26 А как насчет того чтобы добавить какой-то промежуточный софт? ну я планирую частично переводить, по этому нужна функция get_ip_by_tag. в песочнице оттестил, затем настроил на боевом, по идее настройка биллинга не должна влиять на других абонов - добавится радиус, несколько процедур - они не должны влиять. выделил подсетку, выбрал подопытных и вперед). а так уж если вдруг биллинг упал - всем интернету на халяву (типа ipfw add 10 allow ip from any to any быстро, но не безопасно, лучше добавить два правила после 5001 и 33001 и бегом поднимать).Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? биллинг биллингом, брас брасом) я имел ввиду что если связь с БД пропадет, чтобы БРАС работал и далее, по какому-то текущему конфигу(а ipfw add уже не получится так, так как нодени не будет уже как НАС). Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 21 Марта 2019, 14:54:33 А как насчет того чтобы добавить какой-то промежуточный софт? ну я планирую частично переводить, по этому нужна функция get_ip_by_tag. в песочнице оттестил, затем настроил на боевом, по идее настройка биллинга не должна влиять на других абонов - добавится радиус, несколько процедур - они не должны влиять. выделил подсетку, выбрал подопытных и вперед). а так уж если вдруг биллинг упал - всем интернету на халяву (типа ipfw add 10 allow ip from any to any быстро, но не безопасно, лучше добавить два правила после 5001 и 33001 и бегом поднимать).Чтобы простои в работе биллинга не влияли на работу инета, есть идеи? биллинг биллингом, брас брасом) я имел ввиду что если связь с БД пропадет, чтобы БРАС работал и далее, по какому-то текущему конфигу(а ipfw add уже не получится так, так как нодени не будет уже как НАС). Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 11 Ноября 2019, 16:42:22 Я тебя понял. Отвечу позже) Собрал стенд, готов принять помощь в настройке. С самим Juniper пол беды, там не сложно, а вот со стороны биллинга не могу связать, а тех, кого прошу помочь, морозяться от Nodeny :) Сейчас есть сервер с Freeradius3 и биллингом на борту, +Juniper на нем поднят DHCP-сервер. Задача: написать правильные mysql процедуры, для авторизации клиента по SVLAN+CVLAN, и сбор трафика через модуль ses_traf. Схему сборки приложил. из начатого парсинг NAS-Port-Id: Код: CREATE PROCEDURE `radreply`(IN login VARCHAR(64), IN nas_portid VARCHAR(64), IN `tag` VARCHAR(64)) BEGIN DECLARE usr_mac VARCHAR(12); DECLARE usr_ip VARCHAR(15); DECLARE usr_id INT; DECLARE dev_mac VARCHAR(64); DECLARE port VARCHAR(64); DECLARE one_connect INT; SELECT REPLACE(login, '.', '') INTO usr_mac; SELECT SUBSTRING_INDEX(SUBSTRING_INDEX(nas_portid, ':', -1), '-', 1) INTO dev_mac; SELECT SUBSTRING_INDEX(nas_portid, '-', -1) INTO port; Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NTE от 26 Января 2020, 22:25:15 Всем привет!
Есть подвижки в связке джуника и nodeny+? Тоже могу тестовый стенд собрать + могу деньгами поучаствовать. Лежит MX-80 с платой NAT, пылится. Надоела ферма из 3-х шейперов на микротиках, периодические косяки вылазят.. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 26 Января 2020, 23:12:06 Всем привет! Что именно нужно?Есть подвижки в связке джуника и nodeny+? Тоже могу тестовый стенд собрать + могу деньгами поучаствовать. Лежит MX-80 с платой NAT, пылится. Надоела ферма из 3-х шейперов на микротиках, периодические косяки вылазят.. Удачно работают мх80 и мх960 (оба в роли БРАСов) в связке с nodeny+ по PPPoE Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NTE от 27 Января 2020, 09:02:48 Что именно нужно? Предыстория...Удачно работают мх80 и мх960 (оба в роли БРАСов) в связке с nodeny+ по PPPoE Была сетка маленькая - ноденай работал "все в одном" (биллинг, шейпер, etc...) за сервером был микротик, на который шел весь траф из сетки, натился и уходил через три аплинка в мир. Начали немного подрастать, сервак перестал справляться с нагрузкой. Для биллинга выделили отдельный сервер, а для шейпера купили еще микротик, на нем же dhcp сервер. Нодени взаимодействует с ним через его api. Потом еще один тик и так далее... У абонента в учетке прописан мак и айпи. Айпи получает через дхцп в соответствии со своим МАКом. Текущая схема: (http://dl4.joxi.net/drive/2020/01/27/0040/1516/2676204/04/a6648da6c8.jpg) Хотим все это заменить на джуник: (http://dl4.joxi.net/drive/2020/01/27/0040/1516/2676204/04/0e27e1f556.jpg) трафик в пике до 4Гб Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 27 Января 2020, 11:19:08 Так тебе нужен на джуне BORDER+BRAS а на абонов смотрит типа IPoE!
BORDER+BRAS связать не проблема, а с IPoE нужно повозится, т.к. нужно процедуры подпилить! нужно сделать тестовый стенд и пробовать! я сейчас очень занят, делаю модуль ПОНа, но недели через 3 думаю время появится Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NodenY45 от 27 Января 2020, 11:46:23 Ip+Mac не проблема) у меня мелочь осталась доделать, и как всегда закончить время сейчас нет, планирую джун добить в марте ;)
Оставьте в личку свой телеграм, дам знать что и как Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NTE от 27 Января 2020, 11:49:22 Так тебе нужен на джуне BORDER+BRAS а на абонов смотрит типа IPoE! Да, именно так и нужно.могу поставить джуник параллельно всей этой бороде и выделить подопытную подсеть с мин.кол-вом абонов. На джунике MS-MIC-16G на борту Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: elite от 27 Января 2020, 13:11:14 у вас для трафика 4 гига используется 4(4!!!) микротика? одному мне кажется, что это много?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: NTE от 27 Января 2020, 13:29:29 у вас для трафика 4 гига используется 4(4!!!) микротика? одному мне кажется, что это много? Исторически сложилось)но дело не в этом, хотим убрать все это Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 27 Января 2020, 13:51:13 я сейчас очень занят, делаю модуль ПОНа, но недели через 3 думаю время появится А модуль будет в продаже? )Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 27 Января 2020, 15:49:16 у вас для трафика 4 гига используется 4(4!!!) микротика? одному мне кажется, что это много? А чему удивляться? Во-первых они бывают разные, с разной производительностью, но даже железяки 1036 не дружат с большим количеством PPPoE соединений. 700-800 и начинаются дропы, как ни крути. Ну а если нет туннелей то все равно возникают трудности с api при количестве абонентов около 2000. И совсем не в трафике тут дело т.к. некоммутируемый трафик 4 Гигабита и один микротик прожует и не поперхнется.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 27 Января 2020, 23:55:21 я сейчас очень занят, делаю модуль ПОНа, но недели через 3 думаю время появится А модуль будет в продаже? )Что бы не оффтопить, скоро создам отдельную тему, ждите! З.Ы. Модуль очень сложный(( Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: WideAreaNetwork от 28 Января 2020, 07:21:29 я сейчас очень занят, делаю модуль ПОНа, но недели через 3 думаю время появится А модуль будет в продаже? )Что бы не оффтопить, скоро создам отдельную тему, ждите! З.Ы. Модуль очень сложный(( документация будет присутствовать? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: улыбашка от 27 Апреля 2020, 14:27:57 Товарищи!
Как обстоят дела с модулем, обещали в марте, уже апрель инфы ноль. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Belos от 27 Апреля 2020, 19:35:34 Товарищи! Как обстоят дела с модулем, обещали в марте, уже апрель инфы ноль. как ноль? forum.nodeny.com.ua/index.php?topic=3234.0 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 21 Мая 2020, 14:07:23 Есть модуль работы с Джунипером мх 80, может допилить под вашу конфигурацию
Модуль протестирован и работает у нас в сети и у коллег конфигурации различные от ППоЕ, опт82 и т.д т.к у всех разные схемы решения. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 21 Мая 2020, 16:01:04 даже интересно что это за модуль?
если там кроме coa и snmp_chkses ничего и не нужно) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 21 Мая 2020, 18:03:24 даже интересно что это за модуль? Coa свое мы написали ещё в 2014 году хотя оно нам и не нужно . если там кроме coa и snmp_chkses ничего и не нужно) У нас стоит на самой первой версии нодени + недавно установили на версию Нодени+ вер2.0 для коллег они что то искали месяц не могли найти кто интергирует Его то и модулем тяжело назвать т.к интегрируется во многих местах в системе. и состоит из нескольких частей. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 21 Мая 2020, 20:31:31 Понял, вы придумали велосипед!
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 22 Мая 2020, 01:24:26 Coa свое мы написали ещё в 2014 году хотя оно нам и не нужно . Так поделитесь наработками, может его допилят до умаУ нас стоит на самой первой версии нодени + недавно установили на версию Нодени+ вер2.0 для коллег они что то искали месяц не могли найти кто интергирует Его то и модулем тяжело назвать т.к интегрируется во многих местах в системе. и состоит из нескольких частей. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 22 Мая 2020, 10:31:08 Coa свое мы написали ещё в 2014 году хотя оно нам и не нужно . Так поделитесь наработками, может его допилят до умаУ нас стоит на самой первой версии нодени + недавно установили на версию Нодени+ вер2.0 для коллег они что то искали месяц не могли найти кто интергирует Его то и модулем тяжело назвать т.к интегрируется во многих местах в системе. и состоит из нескольких частей. Это я так понимаю CoA так называемая у меня на фото Естественно кому надо это будет стоит определенных денежных вознаграждений Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 22 Мая 2020, 15:58:05 Не, братан... так ты слона не продашь.
Ты расскажи какой он пиздатый-распиздатый, как мало жрет и сколько радости тебе приносит. А с таким подходом лучше не начинать ))) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: SerjioMati от 22 Мая 2020, 16:16:02 Coa свое мы написали ещё в 2014 году хотя оно нам и не нужно . Так поделитесь наработками, может его допилят до умаУ нас стоит на самой первой версии нодени + недавно установили на версию Нодени+ вер2.0 для коллег они что то искали месяц не могли найти кто интергирует Его то и модулем тяжело назвать т.к интегрируется во многих местах в системе. и состоит из нескольких частей. Это я так понимаю CoA так называемая у меня на фото Естественно кому надо это будет стоит определенных денежных вознаграждений Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 22 Мая 2020, 17:36:16 Coa свое мы написали ещё в 2014 году хотя оно нам и не нужно . Так поделитесь наработками, может его допилят до умаУ нас стоит на самой первой версии нодени + недавно установили на версию Нодени+ вер2.0 для коллег они что то искали месяц не могли найти кто интергирует Его то и модулем тяжело назвать т.к интегрируется во многих местах в системе. и состоит из нескольких частей. Это я так понимаю CoA так называемая у меня на фото Естественно кому надо это будет стоит определенных денежных вознаграждений Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 22 Мая 2020, 17:46:31 Не, братан... так ты слона не продашь. Видение у всех разное, написание и т.д тоже.Ты расскажи какой он пиздатый-распиздатый, как мало жрет и сколько радости тебе приносит. А с таким подходом лучше не начинать ))) Все модули которые есть у нас собственного написания все зависит от заказчика и что хочет. Всех технических моментов я рассказать не могу, т.к у меня административная часть (я железо не админю). Могу что то не корректно назвать уж не обессудьте. Написали в тестовом варианте API для ЛК что бы можно было спокойно прикутить то что нужно. Ну с связка у нас действительно очень классаная ;) прошла за два года 3 обновления. т.к у МХ 80 пути решений огромное количество А самое главное модули всякие доработки мы тестируем у себя. Повторюсь могу в технических моментах некорректно описать. на на пальцах расскажу что и как работаетв удобной форме, на технически глубоки ответы отвечу уже не я ))) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 22 Мая 2020, 19:04:15 Написали в тестовом варианте API для ЛК что бы можно было спокойно прикутить то что нужно. Чем же вам штатный API не подошел? Что вы через него такого интересного спокойно прикручиваете? Расскажите чтобы все знали, начали завидовать и захотели себе! Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: horror от 27 Мая 2020, 15:48:21 Написали в тестовом варианте API для ЛК что бы можно было спокойно прикутить то что нужно. Чем же вам штатный API не подошел? Что вы через него такого интересного спокойно прикручиваете? Расскажите чтобы все знали, начали завидовать и захотели себе! Хотя отличия версии 2.0 фактически только в интерфейсе ядро там одинаковое, плюс API которое наше оно модульное при необходимости дописывается нужное. Так называемому модулю для МХ 80 уточнил назвать модулем его сложновато все реализуетсмя стандартными средствами самого мх80 ? переписываются sql процедуры, тюнится, представить его в виде модуля как например с платежными системами сложно воткнул модулем прописал кодовое слово и все - это так сугубо для примера. С МХ все сложнее и работы много. Аналогично выполняли связку с SE100 ericson 3 шт там было ППОе с плавным переходом на IPoE, настройка двух AS, NAT и т.д ещё необходимо было перенести базу с утм 5 в дальнейшем с последующим обслуживание, что и было сделано, балансы и т.д были перенесены на все про все ушло около 2 недель аптайма в работе практически не было все выполнялось ночью. , Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 27 Мая 2020, 19:41:58 Аналогично выполняли связку с SE100 ericson 3 шт там было ППОе с плавным переходом на IPoE, ООО, да я вас в гриме признал )))) "Таврида телеком" не иначе )))Рассказывайте больше, здесь вам рады ) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 08 Июня 2020, 20:05:00 Коллеги, подскажите у кого как дела.
Только что столкнулся с проблемой что MX80 очень долго выдает snmp ответ на запрос .1.3.6.1.4.1.2636.3.64.1.1.1.3.1.3.0 со списком активных туннелей. На тестах все было хорошо, а на боевой системе с 3000+ абонентов что-то обосралось все. Как у кого с этим делом? Уж больно не хочется пользоваться штатным аккаунтингом с периодом 10 минут. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 08 Июня 2020, 21:02:05 ... на мх80 2100 абонов за 1:09MX80 очень долго выдает snmp ответ на запрос .1.3.6.1.4.1.2636.3.64.1.1.1.3.1.3.0 со списком активных туннелей. ... на мх960 5864 абонов за 1:38 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Июня 2020, 08:22:26 Только что столкнулся с проблемой что MX80 очень долго выдает snmp ответ на запрос .1.3.6.1.4.1.2636.3.64.1.1.1.3.1.3.0 со списком активных туннелей. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 09 Июня 2020, 09:09:30 Только что столкнулся с проблемой что MX80 очень долго выдает snmp ответ на запрос .1.3.6.1.4.1.2636.3.64.1.1.1.3.1.3.0 со списком активных туннелей. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 09 Июня 2020, 12:01:18 прошивки у кого какие?
мх80 JUNOS 15.1R6-S6.1 mx960 JUNOS 19.2R1-S4.3 Kernel 64-bit может есть нюанс в конфиге Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Июня 2020, 14:59:12 прошу не пинать. mx80 13.2R6.5 )
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 09 Июня 2020, 16:20:40 прошу не пинать. mx80 13.2R6.5 ) Да причем тут? Не нужно мешать технике работать если все устраивает.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 09 Июня 2020, 21:03:49 Коллеги, как вы добились такой скорости? Или все стандартно и это от прошивки зависит?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 09 Июня 2020, 22:01:43 Ничего не делал, так было изначально. Сейчас висит 7+к абонов, отработало за 12сек.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 10 Июня 2020, 10:45:40 есть вариант вытаскивать тоже самое по телнету командой show pppoe sessions | nomore используя https://metacpan.org/pod/Net::Telnet::Cisco (https://metacpan.org/pod/Net::Telnet::Cisco)
я займусь этим через недельку наверное)) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: ser970 от 10 Июня 2020, 12:42:08 можно и по ssh
use Net::SSH::Expect; #джунь my $protocol = 'ssh'; my $j_host = 'xxx.xxx.xxx.xxx'; my $j_user = 'uuuuuu'; my $j_pwd = 'pppppp'; $ssh_ena=9; my $ssh = Net::SSH::Expect->new ( host => $j_host, user => $j_user, password => $j_pwd, no_terminal => 1, ssh_option => '-o "StrictHostKeyChecking=no"', raw_pty => 1, ); $ssh->run_ssh() or $OUT.="SSH process couldn't start: $!"; my $ls=''; eval { $login_output = $ssh->login()}; if (!$login_output){ $out.='Даные не получены: ошибка доступа'.$br2; $out.='Ожидание 5сек'.$br2; $ssh_ena=0; $DOC->{header}.=qq{<meta http-equiv="refresh" content="5; url='#'">}; return; } if ($login_output !~ /имя джуня/) { $out.='Даные не получены: ошибка авторизации'."<br>"; $out.='Ожидание 5сек'.$br2; $ssh_ena=0; $DOC->{header}.=qq{<meta http-equiv="refresh" content="5; url='#'">}; return; } if ($ssh_ena==9){#есть конект к джуню $ls = $ssh->exec('show subscribers extensive address '.$reip.' | display no-interface-alias | no-more',3); $ssh->close(); ....... } правда это для 50.32m Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 11 Июня 2020, 22:34:12 Цитировать 16 июня в 15:00 мск пройдет технический вебинар “Juniper MX BRAS. PWHT и обеспечение отказоустойчивости в схеме IPoE.” Докладчик: Матвей Александров, старший системный инженер, Juniper Networks. Содержание очень инженерное, много слайдов с примерами конфигураций. Основные темы: Что такое PWHT и как его настраивать на брасах Juniper MX Новый функционал обеспечения отказоустойчивости между брасами для схемы IPoE Скейлинг тест (64K абонентов на карте MPC7E-10G) Ждем вас, Juniper Networks https://event.on24.com/eventRegistration/EventLobbyServlet?target=reg20.jsp&partnerref=Eloqua&elqTrackId=E0D8B7A26025B83334955934E7737183&elq=cd234fdc51644a83b9f387442d9ccb39&elqaid=21948&elqat=1&elqCampaignId=12669&eventid=2420177&sessionid=1&key=7079587237B37A48503E41CDD4E93969®Tag=&sourcepage=register (https://event.on24.com/eventRegistration/EventLobbyServlet?target=reg20.jsp&elqTrackId=E0D8B7A26025B83334955934E7737183&elq=cd234fdc51644a83b9f387442d9ccb39&elqaid=21948&elqat=1&elqCampaignId=12669&eventid=2420177&sessionid=1&key=7079587237B37A48503E41CDD4E93969®Tag=&sourcepage=register) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 12 Июня 2020, 15:30:20 ERR_CONNECTION_RESET
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 15 Июня 2020, 11:14:32 прошу не пинать. mx80 13.2R6.5 ) Цитировать MX5, MX10, MX40, MX80, MX104 Series Junos 17.3R3-S7 Лучше хоть иногда обновляться до рекомендованных версийПосле примерно 15.1(или 16.1) версии переписали реализацию брас, оно стало сильно так побыстрее. Так что попробуйте закатить 17.3, как рекомендуемую версию под вашу железку. Или хотя бы 15.1, в любом случае там апгрейд цепочкой делается. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 15 Июня 2020, 11:15:48 Коллеги, как вы добились такой скорости? Или все стандартно и это от прошивки зависит? Зависит, брас был переписан в последних версиях.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: sedo26 от 08 Октября 2020, 10:51:33 Ищем специалиста для связки juniper (ms-mic) с nodeny+.
DHCP+o82. За вознаграждение. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 05 Декабря 2020, 15:12:27 Здравствуйте доделываем связку джунипера и нодени столкнулись с проблемой в модуле СОА
Зависает noserver.pl намертво, подозреваю где то не указали переменную или ошибка в программе. были проблемы с тяжелым запросом... поставили но кэш - заработал SELECT SQL_NO_CACHE uid, MAX(service_id) AS sid FROM v_services WHERE tags LIKE '%,inet,%' GROUP BY uid Уважаемые программисты Нодени + помогите пожалуйста я поставил вывод переменных в консоль, одна из них равна нулю... а на ноль делить нельзя - у меня памяти для ответа не хватит :-))) my $n = $max_ipn{$uid} - $min_ipn{$uid}; print "N-".$n."\n"; my $mask = $masks{$n} or next; и вот эта $n все время ноль потому что $max_ipn{$uid} и $min_ipn{$uid} получаются одинаковыми. зависает программа на этом месте в районе кода my ($res, $ipn1, $ipn2, $mask) = nod::util::check_is_it_net($ip1, $ip2); $res or next; $M->{users}{$uid}{net_ips} = $ip1.'/'.$mask; Что мы делаем не так? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 05 Декабря 2020, 18:10:06 Если вы модифицировали noserver.pl, то его надо целиком смотреть
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 07 Декабря 2020, 08:40:12 Ничего не модифицировали, кроме как поставили вывод меток чтобы понять где зависает и SQL_NO_CACHE в запросе. Попробовали уже для оного пользователя вот такую строку запуска
/usr/bin/perl /usr/local/nodeny/noserver.pl -vv -g=coa.cfg.pm -u=5288 замирает на SELECT SQL_NO_CACHE uid, MAX(service_id) AS sid FROM v_services WHERE tags LIKE '%,inet,%' GROUP BY uid Строк: 4495. Время выполнения sql: 0.0187 сек [1.226527: noserver.pl(137) tasks.pm::run(70) tasks.pm(70) noserver.pl::__ANON__(112) noserver.pl::load_usr_info(201) Db.pm::sql(133) Db.pm::sql(320)] SELECT u.id, u.balance, u.name, u.state, a.auth_start, a.ip, a.properties, INET_ATON(a.ip) AS ipn FROM ( SELECT INET_NTOA(i.ip) AS ip, '' as properties, UNIX_TIMESTAMP() AS auth_start FROM users u JOIN ip_pool i ON i.uid=u.id WHERE u.lstate=1 UNION ALL SELECT ip, properties, start AS auth_start FROM auth_now ) a JOIN ip_pool i ON INET_ATON(a.ip)=i.ip JOIN users u ON i.uid=u.id WHERE TRUE AND u.id=5288 AND u.state='on' если убрать из запроса но кэш то SELECT uid, param, tags, service_id FROM v_services WHERE tags LIKE '%,speed,%' [1.110164: noserver.pl(137) tasks.pm::run(70) tasks.pm(70) noserver.pl::__ANON__(112) noserver.pl::load_usr_info(191) Db.pm::sql(114) Db.pm::connect(94)] Connecting to DBI:mysql:database=nodeny;host=localhost;port=3306;mysql_connect_timeout=5 : 0.001485 sec *** Error in `/usr/bin/perl': malloc(): memory corruption: 0x00000000026101b0 *** [10]+ Killed /usr/bin/perl /usr/local/nodeny/noserver.pl -vv -g=coa.cfg.pm -u=5288 Строк: 0. Время выполнения sql: 0.0682 сек может какие то особенные настройки мускула нужны, или особые настройки пользователя под которым запускается СОА пробовали ставить размер пакета в мускуле 256 мб, не помогло, памяти валом 20 гиг из них занято 2, буфера мусами в мускуле пробовали ставить 19 гиг - не помогло, уже голову сломали... При чем отдельно в админнере эти запросы выполняются нормально. Машина на дебиане 8 , perl v5.20.2 запущены процессы биллинга паралельно root 3135 0.9 0.0 146572 20232 ? S Dec02 66:44 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d root 3136 3.3 0.7 293292 175164 ? S Dec02 235:54 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -d root 3137 17.9 1.2 404164 316080 ? Sl Dec02 1262:37 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=collectors -d root 23317 0.1 0.6 286112 167972 pts/3 S Dec04 4:59 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_uslugi -d root 23334 0.0 0.6 284700 166660 pts/3 S Dec04 4:28 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_ip -d root 23346 0.0 0.6 283956 165912 pts/3 S Dec04 4:16 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_ip_sorm2 -d root 23358 0.0 0.6 283636 165720 pts/3 S Dec04 4:26 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_pays -d root 23364 0.0 0.7 311160 191632 pts/3 S Dec04 4:22 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos -d root 23858 0.0 0.0 133860 15828 pts/4 T 09:28 0:00 /usr/bin/perl /usr/local/nodeny/noserver.pl -vv -g=coa.cfg.pm -u=5288 нижний - висит и ничего не происходит... Подскажите плиз что делать? Может посмотрите? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 08 Декабря 2020, 00:22:09 Если в mysql консоли выполнить:
Код: SELECT u.id, u.balance, u.name, u.state, a.auth_start, a.ip, a.properties, INET_ATON(a.ip) AS ipn FROM ( SELECT INET_NTOA(i.ip) AS ip, '' as properties, UNIX_TIMESTAMP() AS auth_start FROM users u JOIN ip_pool i ON i.uid=u.id WHERE u.lstate=1 UNION ALL SELECT ip, properties, start AS auth_start FROM auth_now ) a JOIN ip_pool i ON INET_ATON(a.ip)=i.ip JOIN users u ON i.uid=u.id WHERE TRUE AND u.id=5288 AND u.state='on' 1) сколько времени он выполняется?2) сколько строк в результате? в конце должна быть статистика по обоим параметрам И такой запрос: Код: SELECT INET_NTOA(i.ip) AS ip, '' as properties, UNIX_TIMESTAMP() AS auth_start FROM users u JOIN ip_pool i ON i.uid=u.id WHERE u.lstate=1 UNION ALL SELECT ip, properties, start AS auth_start FROM auth_now И еще: Код: SELECT count(*) from auth_now; Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 08 Декабря 2020, 09:27:18 Первый запрос порядка 4 сек. строк 4400
второй порядка 0,002 сек третий 0,03 сек Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 08 Декабря 2020, 20:46:47 count(*) мновенно выполняется, спасибо, мы получили подтверждение этому известному факту. Результат выполнения какой?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 09 Декабря 2020, 09:11:02 SELECT u.id, u.balance, u.name, u.state, a.auth_start, a.ip, a.properties, INET_ATON(a.ip) AS ipn FROM ( SELECT INET_NTOA(i.ip) AS ip, '' as properties, UNIX_TIMESTAMP() AS auth_start FROM users u JOIN ip_pool i ON i.uid=u.id WHERE u.lstate=1 UNION ALL SELECT ip, properties, start AS auth_start FROM auth_now ) a JOIN ip_pool i ON INET_ATON(a.ip)=i.ip JOIN users u ON i.uid=u.id WHERE TRUE AND u.id=5288 AND u.state='on
но это для одного пользователя +------+---------+------+-------+------------+--------------+------------+------------+ | id | balance | name | state | auth_start | ip | properties | ipn | +------+---------+------+-------+------------+--------------+------------+------------+ | 5288 | 0.00 | 5288 | on | 1607414027 | 100.64.0.212 | | 1681916116 | +------+---------+------+-------+------------+--------------+------------+------------+ 1 row in set (0.21 sec) а вот для всех 4442 rows in set (3.22 sec) SELECT INET_NTOA(i.ip) AS ip, '' as properties, UNIX_TIMESTAMP() AS auth_start FROM users u JOIN ip_pool i ON i.uid=u.id WHERE u.lstate=1 UNION ALL SELECT ip, properties, start AS auth_start FROM auth_now 5 189 строк (0.091 s) mysql> SELECT count(*) from auth_now; +----------+ | count(*) | +----------+ | 198 | +----------+ 1 row in set (0.00 sec) У нас отключена авторизация эти 198 якобы авторизованных это остаток после глюка когда нодени затирал мак адреса. На данный момент авторизация работает только в СОА.... там пока один юзер с ид 5288. Но даже если запускать скрипт noserver с одним пользователем все равно вываливается с ошибкой памяти /usr/bin/perl /usr/local/nodeny/noserver.pl -g=coa.cfg.pm -u=5288 -v вот запрос перед ошибкой SELECT uid, param, tags, service_id FROM v_services WHERE tags LIKE '%,speed,%' Строк: 4526. Время выполнения sql: 0.0194 сек *** Error in `/usr/bin/perl': malloc(): memory corruption: 0x00000000025b3200 *** как временное решение нашли выход переименовать 3 процедуры в файле noserver (load_usr_info load_usr_traf load_nets в load_usr_info_t load_usr_traf_t load_nets_t) и поставить SQL_NO_CACHE в 2 запросах. Но это неправильно. Максим предлагал увеличить кэш инно дб до 19G - не помогло. Мы нашли в нете реккомендации по увеличению максимального размера пакета в мускуле до 256 мб - не помогло. Памяти весь биллинг ест около 2 гиг оперативки из 20 , память протестили - без ошибок... Что еще можно сделать стобы запустить noserver без правок, такое впечатление что процедуры load_usr_info load_usr_traf load_nets где то пересекаются с другими частями программы, или в них есть противоречивые данные или запросы к БД не закрываются. Возможно это из за того что работают root 3135 0.9 0.1 181712 32568 ? S Dec02 91:55 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d root 3136 3.3 0.7 292604 174276 ? S Dec02 332:50 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -d root 3137 17.8 1.2 405192 319252 ? Sl Dec02 1779:41 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=collectors -d root 23317 0.1 0.6 286176 167988 pts/3 S Dec04 7:51 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_uslugi -d root 23334 0.0 0.6 285368 167248 pts/3 S Dec04 7:08 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_ip -d root 23346 0.0 0.6 284428 166220 pts/3 S Dec04 6:47 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_ip_sorm2 -d root 23358 0.0 0.6 283940 166024 pts/3 S Dec04 7:03 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos_pays -d root 23364 0.0 0.7 311160 191640 pts/3 S Dec04 6:59 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=make_config -g=make_config_amos -d но там нет таких процедур я проверил очень внимательно. Что еще можно сделать, не хочется с правками носервер запускать? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 09 Декабря 2020, 11:40:47 Максим предлагал увеличить кэш инно дб до 19G - не помогло. Мы нашли в нете реккомендации по увеличению максимального размера пакета в мускуле до 256 мб - не помогло. по тюнингу мускула: Код: pkg install mysqltuner это ж сколько у вас абонов, если кэш инно дб до 19G, или чистку не проводите вообще?mysqltuner --user root --pass parolbd --color Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 09 Декабря 2020, 11:53:11 Абонов не много около 5000... муэскьюэльтюнер запускаю периодически... иннодб и в дефолте работает нормально во всем кроме СОА это продавец билинга реккомендовал увеличить до 19 гиг, мы попробовали - не помогло, убрали назад. Только с СОА проблемы, и найти не можем уже 3 дня.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 09 Декабря 2020, 20:53:51 1) настройки мускула иннодб настраиваются сугубо под потребности и зависят от потребления и нагрузок, ставить с запасом в 2 раза, уже считается переизбытком, покаж размеры больших таблиц
2) авторизация абонов пппое или дхцп, если используете дхцп, то от СоА можно вообще отказаться, атрибут дхцп на джуне "set system services dhcp-local-server group cvlan reauthenticate lease-renewal" но только на определенных прошивках (у меня mx960 version 20.2R1-S2.1;) https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/system-services-dhcp-local-server-reauthenticate.html (https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/system-services-dhcp-local-server-reauthenticate.html) (https://a.radikal.ru/a01/2012/ed/c6cd514841a2.jpg) (https://radikal.ru) (https://a.radikal.ru/a43/2012/82/782f9ac4b88d.jpg) (https://radikal.ru) (https://c.radikal.ru/c05/2012/f8/bc67a2c77463.jpg) (https://radikal.ru) (https://d.radikal.ru/d06/2012/42/bd7c2abdfb3d.jpg) (https://radikal.ru) Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: relikts от 09 Декабря 2020, 23:50:37 Не могу грузить файлы почему то , спасиб за конфиги, попробую.
Я тоже против опции 82 но настаивает руководство из за того что пользователи не раз вскрывали ящики и переставляли порты в коммутаторе. вот все таблицы, только таблица pays и 2 таблицы с трафиком большие - остальные не очень. Табл Тип табл Режим сопост Объём данных? Объём индекс Своб место? Авто приращ? Строк? Комментарий? admin InnoDB utf8_general_ci 16 384 16 384 0 45 ~ 34 auth_log InnoDB utf8_general_ci 16 384 49 152 0 1 0 auth_now InnoDB utf8_general_ci 16 384 49 152 0 22 234 ~ 198 cards InnoDB utf8_general_ci 65 536 32 768 0 501 ~ 500 changes InnoDB utf8_general_ci 2 637 824 212 992 2 097 152 3 533 ~ 3 545 config MyISAM utf8_general_ci 315 956 2 048 0 76 75 data0 InnoDB utf8_general_ci 1 589 248 3 751 936 2 097 152 6 404 ~ 5 239 datasetup MyISAM utf8_general_ci 3 864 5 120 0 31 30 dictionary InnoDB utf8_general_ci 16 384 32 768 0 189 ~ 163 documents InnoDB utf8_general_ci 16 384 16 384 0 1 0 dopdata Представление ? dopfields InnoDB cp1251_general_ci 16 384 32 768 0 34 ~ 28 dopvalues InnoDB cp1251_general_ci 18 366 464 11 567 104 4 194 304 372 284 ~ 346 859 fullusers Представление ? ip_mac InnoDB utf8_general_ci 16 384 16 384 0 0 ip_pool InnoDB utf8_general_ci 1 589 248 2 326 528 2 097 152 27 182 ~ 27 430 links InnoDB utf8_unicode_ci 16 384 0 0 1 0 mac_uid InnoDB utf8_general_ci 360 448 524 288 0 5 672 ~ 5 173 nets InnoDB utf8_general_ci 16 384 0 0 3 ~ 1 notifications InnoDB utf8_general_ci 16 384 49 152 0 173 ~ 172 notifications_users InnoDB utf8_general_ci 16 384 49 152 0 1 0 pays InnoDB utf8_general_ci 84 492 288 17 350 656 2 097 152 998 521 ~ 338 850 pkt_to_srv InnoDB utf8_unicode_ci 196 608 0 0 ~ 3 836 places InnoDB utf8_general_ci 16 384 0 0 1 0 places_events InnoDB utf8_general_ci 16 384 81 920 0 1 0 ports InnoDB utf8_general_ci 16 384 16 384 0 1 0 p_country InnoDB cp1251_general_ci 16 384 0 0 2 ~ 1 p_filial InnoDB cp1251_general_ci 16 384 0 0 2 ~ 1 p_offices InnoDB cp1251_general_ci 16 384 0 0 3 ~ 2 p_okrug InnoDB cp1251_general_ci 16 384 0 0 3 ~ 2 p_region InnoDB cp1251_general_ci 16 384 0 0 2 ~ 1 p_town InnoDB cp1251_general_ci 16 384 0 0 19 ~ 18 services InnoDB utf8_general_ci 65 536 0 0 127 ~ 83 ses_traf MyISAM utf8_unicode_ci 0 1 024 0 1 0 smsru InnoDB utf8_general_ci 1 589 248 1 064 960 2 097 152 6 972 ~ 6 927 tickets InnoDB utf8_general_ci 16 384 196 608 0 1 0 traflost MyISAM utf8_general_ci 0 1 024 0 0 users InnoDB utf8_general_ci 1 589 248 81 920 2 097 152 ~ 4 972 users_services InnoDB utf8_general_ci 1 589 248 524 288 2 097 152 103 157 ~ 5 159 users_trf InnoDB utf8_general_ci 1 589 248 81 920 2 097 152 ~ 4 819 user_grp InnoDB utf8_general_ci 16 384 0 0 30 ~ 24 v_auth_now Представление ? v_ips Представление ? v_opt82 Представление ? v_services Представление ? websessions MyISAM utf8_general_ci 0 4 096 0 0 webses_data InnoDB utf8_general_ci 16 384 49 152 0 ~ 6 X2020_2_19 MyISAM utf8_unicode_ci 68 683 862 56 334 336 0 2 641 687 X2020_2_20 MyISAM utf8_unicode_ci 36 625 758 30 100 480 0 1 408 683 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Efendy от 10 Декабря 2020, 00:11:01 Ну, по тем данным, что выдали sql, там объемы данных совсем понты. Даже речи не должно идти о нехватке памяти. Тут что-то другое. И вот я подумал, что memory corruption если подумать говорит не о том, что памяти не хватило. Есть немного неожиданный совет - уменьшь память до 16 гигов. Хз, может для системы/железа это нетипично большой объем и где-то происходит ошибка из-за этого
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Redmen от 10 Декабря 2020, 02:06:29 Цитировать Не могу грузить файлы почему то , спасиб за конфиги, попробую загрузи на https://radikal.ru/ (https://radikal.ru/) и вывод целиком вставь в сообщениежелательно с phpmyadmin, а то вообще не читабельно Цитировать Я тоже против опции 82 но настаивает руководство из за того что пользователи не раз вскрывали ящики и переставляли порты в коммутаторе. я не про отказ от опции а про метод обновления параметров абона на джуне а на счет памяти мускула, мне видится, тебе там и 4гига с головой хватит Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 12 Мая 2021, 08:35:51 кто-то у себя уже реализовал вытаскивать список пользователей по ssh/telnet?
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Cell от 12 Мая 2021, 20:13:11 кто-то у себя уже реализовал вытаскивать список пользователей по ssh/telnet? я сессии вытягивал по ссш для поддержания авторизации, а то аккаунтинг как-то вообще не але - 10 минут, никуда не годится.Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 14 Мая 2021, 10:04:50 кто-то у себя уже реализовал вытаскивать список пользователей по ssh/telnet? А чем вам SNMP не нравится?OID .1.3.6.1.4.1.2636.3.64.1.1.1.3.1.5 Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 14 Мая 2021, 20:49:47 Та вот обновиться хочу, но по отзывам по снмп снимается слишком долго.
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: goletsa от 15 Мая 2021, 09:30:28 Та вот обновиться хочу, но по отзывам по снмп снимается слишком долго. Ну около минуты, правда у меня RE1800x4, он довольно быстрый.Попробуйте, часто все равно опрашивать не требуется. Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: FlySky11 от 26 Января 2022, 11:29:12 Здравствуйте!
Подскажите, пожалуйста, какие процедуры мускуля и /usr/local/etc/raddb/mods-enabled/sql используете для связки Nodeny+ Juniper PPPoE? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: Warlock от 26 Января 2022, 11:46:36 стандартные
Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: FlySky11 от 26 Января 2022, 14:45:55 стандартные Эти htt_p://nodeny.com.ua/wiki/index.php/Freebsd_%2B_Freeradius3_%2B_Nodeny_Plus?изменений никаких не вносите? Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: enigmaticua от 13 Ноября 2022, 19:29:10 Подскажите, есть стабильный вариант связки Nodeny Next + MX10(80)? Авторизация PPPoE, собираемся убирать микротики!
Почти год как тема не обновлялась… Название: Re: Связка Juniper MX80 и Nodeny Plus Отправлено: vddav от 18 Ноября 2022, 09:39:53 поддержу - тоже самое для дхцп+опция82
|