Связка Juniper MX80 и Nodeny Plus

[Efendy]

Меня кормят завтраками, сорян, ничего не могу сделать, я готов был в любой момент отвлекаться от зарабатывания денег на основной работе и допиливать то, что мне скажут, но как обычно, меня часто наебуют.

[vddav]

не хочется сказать ничего плохого, не поймите меня не правильно, но как мне кажется, это вроде как дело престижа?
ну как бы так:
мелкая сетка - все работает все в одном тазик+фря - отлично;)
чуть подросла - ракмаунт  сервера +фря разнос на базу и сателиты - все отлично;)
растем еще - начинаем пользовать более железные решения типа микротик клаудкоры - все отлично;)
еще растем) - посматриваем на железные решение - тот же джунипер - а тут все пичально(

понятно что - "что не можешь сам - найми того кто может", но получается что "кто может" начинает рекомендовать другие системы и убеждать в том что здесь тупик, как бы дошли до своего максимума и надо переходить на более производительные системы, под большее число абонов,трафика, доп модулей.
да можно найти спеца который свяжет и N+ с джуном как надо, но тогда в дальнейшем надо будет зависеть исключительно от его поддержки, а что лучше поддержка одного человека или группы разработчиков и сообщества? лучше оба варианта, но если выбирать один - то разработчики и сообщество.

на оф сайте утверждение что нодени плюс управляет сетями любых размеров - а масштабировать  можно микротиком и фрей - как то грустно. Так то  цены на б/у железные решения начального уровня с каждым годом ниже.
немного офтопа - с модулем для пона тоже пичалька, казалось бы причем тут это? частный сектор - онли пон, гирлянды мыльниц с пое питанием не выдерживают никакой критики на данный момент. так что сейчас  частный сектор или уже перешел на пон или в процессе. а диагностика  этого чуда нужна - абоны  могут и оптический пачкорд в узел завязать и привязать им к батарее онушку по этому просто пинговалки не хватает(

[LENS]

Меня кормят завтраками, сорян, ничего не могу сделать, я готов был в любой момент отвлекаться от зарабатывания денег на основной работе и допиливать то, что мне скажут, но как обычно, меня часто наебуют.

Подскажите, а какая цена данного вопроса?
Возможно будут желающие поучаствовать и собрать требуемую сумму. А в замен получат данное решение первыми и не на костылях а через radius

[Efendy]

Дело не в сумме. Нужно грамотное тз. Если раньше у меня была сеть и я мог сам додумать что нужно, то сейчас я просто программист и мне нужно тз

[LENS]

Дело не в сумме. Нужно грамотное тз. Если раньше у меня была сеть и я мог сам додумать что нужно, то сейчас я просто программист и мне нужно тз

Я готов скооперироваться с кем то, либо самостоятельно расписать грамотное ТЗ с учетом всех аспектов.
Аутентификация, CoA, требования и т.д.
Мало того, если нужно, я могу через пару недель собрать отдельный тестовый стенд:
- MX80
- виртуалка с Виндоус в качестве клиента
- FreeBSD для Radius и тд

За это я хочу работоспособную связку Nodeny Plus <--> Jun MX80

[Efendy]

Я тебя понял. Отвечу позже)

[vddav]

присоединяюсь, также могу стенд организовать)

[Efendy]

Так. Сначала отмазки. Железки у меня нету и какой функционал она умеет - я не знаю, как она умеет - тоже не знаю) У меня есть интересный модуль, назвал его remote - он сделал для универсального (на сколько это возможно) управлением каким-либо устройством. Проверяли мне его на циске, говорят работает отлично.

Возможно этот модуль подойдет и для джунипера, достаточно написать правильный конфиг и часть, которая общается с железкой.

К циске модуль коннектится по ssh.  Вот например, используется такой конфиг:

Префиксы для наших acl:

Код:

    acl_in_prefix  => 'ACL-IN-',
    acl_out_prefix => 'ACL-OUT-'

Acl для конкретной услуге:

Код:

    in  => '{{settings.acl_in_prefix}}{{user.service_id}}',
    out => '{{settings.acl_out_prefix}}{{user.service_id}}'

Команды, которые выполняются после успешного логина (сперва запустится enable с паролем, затем configure terminal):

Код:

    { method => 'enable', param => $hw_connection{enable_password} },
    'configure terminal'

Команда для получения списка ACL и IP в них:

Код:

    show_alcs => 'do sh ip access-lists'

Команда, которая добавляет IP в заданный ACL. Параметры:
#   acl         : имя ACL
#   is_in_acl   : установлен, если это ACL для входящего трафика
#   ip          : IP
#   user        : данные абонента, например {{user.serrvice_id}}, {{user.speed_in1}} 
#   settings    : текущие настройки, например {{settings.acl_in_prefix}}, {{settings.connection.pass}}

Код:

    ip access-list extended {{acl}}
    {% if is_in_acl %}
        permit ip any host {{ip}}
    {% else %}
        permit ip host {{ip}} any
    {% endif %}

Удаление IP из ACL:

Код:

    ip access-list extended {{acl}}
    {% if is_in_acl %}
        no permit ip any host {{ip}}
    {% else %}
        no permit ip host {{ip}} any
    {% endif %}

Конфигурирование скорости:

Код:

    class-map match-all CM-IN-{{service.service_id}}
    match access-group name {{settings.acl_in_prefix}}{{service.service_id}}

    {% if service.speed_in.1 %}
        policy-map PM-IN-1
        class CM-IN-{{service.service_id}}
        police {{service.speed_in.1}} 10000 exceed-action drop
    {% endif %}
    {% if service.speed_in.2 %}
        policy-map PM-IN-2
        class CM-IN-{{service.service_id}}
        police {{service.speed_in.2}} 10000 exceed-action drop
    {% endif %}

    class-map match-all CM-OUT-{{service.service_id}}
    match access-group name {{settings.acl_in_prefix}}{{service.service_id}}

    {% if service.speed_out.1 %}
        policy-map PM-OUT-1
        class CM-OUT-{{service.service_id}}
        police {{service.speed_out.1}} 10000 exceed-action drop
    {% endif %}
    {% if service.speed_out.2 %}
        policy-map PM-OUT-2
        class CM-OUT-{{service.service_id}}
        police {{service.speed_out.2}} 10000 exceed-action drop
    {% endif %}

Функция, которая извлекает acl из ответа циски:

Код:

    return $s =~ /Extended IP access list +([^\n]+)$/ ? $1 : ''; 

Видно, что команды задаются шаблонами. Если это подойдет - давайте развивать этот модуль. Кстати, если для циски нужен - обращайтесь тоже

[Warlock]

Мне кажется, это всё лишнее. Есть ведь для этого coa, который прекрасно работает. По крайней мере с pppoe. DHCP пока только делаю, но, как мне кажется, кроме coa опять же ничего не нужно. Мне кажется, что люди хотят точную документацию, как в случае с freebsd, по которой можно настроить железяку с нуля, не понимая при этом как оно всё работает.

[vddav]

Мне кажется, это всё лишнее. Есть ведь для этого coa, который прекрасно работает. По крайней мере с pppoe. DHCP пока только делаю, но, как мне кажется, кроме coa опять же ничего не нужно. Мне кажется, что люди хотят точную документацию, как в случае с freebsd, по которой можно настроить железяку с нуля, не понимая при этом как оно всё работает.

ну это конечно в идеале. но сразу никогда ничего не получается, по этому совместными  усилиями можем получить необходимый результат. для начала есть мускул процедуры для 3 радиуса с дхцп+опт-82 и без+гет-ип-таг?

[NodenY45]

А как  насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи?

[elite]

А как  насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи?

у вас часто биллинг лежит?

[NodenY45]

А как  насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи?

у вас часто биллинг лежит?

локи таблиц были. авторизация отпадала.

[vddav]

А как  насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи?

ну я планирую частично переводить, по этому нужна функция get_ip_by_tag. в песочнице оттестил, затем настроил на боевом, по идее настройка биллинга не должна влиять на других абонов - добавится  радиус, несколько процедур - они не должны влиять. выделил подсетку, выбрал подопытных и вперед). а так уж если вдруг биллинг упал - всем интернету на халяву (типа ipfw add 10 allow ip from any to any  быстро, но не безопасно, лучше добавить два правила после 5001 и 33001 и бегом поднимать).

[NodenY45]

А как  насчет того чтобы добавить какой-то промежуточный софт?
Чтобы простои в работе биллинга не влияли на работу инета, есть идеи?

ну я планирую частично переводить, по этому нужна функция get_ip_by_tag. в песочнице оттестил, затем настроил на боевом, по идее настройка биллинга не должна влиять на других абонов - добавится  радиус, несколько процедур - они не должны влиять. выделил подсетку, выбрал подопытных и вперед). а так уж если вдруг биллинг упал - всем интернету на халяву (типа ipfw add 10 allow ip from any to any  быстро, но не безопасно, лучше добавить два правила после 5001 и 33001 и бегом поднимать).

биллинг биллингом, брас брасом)
я имел ввиду что если связь с БД пропадет, чтобы БРАС работал и далее, по какому-то текущему конфигу(а ipfw add уже не получится так, так как нодени не будет уже как НАС).