NodenY45
NoDeny
Старожил
Карма: 2
 Offline
Сообщений: 365
|
 |
« Ответ #60 : 08 Ноября 2016, 08:05:37 » |
|
Модуль ядра dhcp запущен?
запущен, тоесть я понимаю вы предлагаете авторизовать ним через events.pl? у меня было уже не один раз что этот скрипт намертво вис, и модуль дхцп начинал работать только после ребута всего сервера, ошибок соответсвенно никаких не писало. думал от него уйти, понимаю что никак  И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? |
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #61 : 08 Ноября 2016, 08:10:09 » |
|
Модуль ядра dhcp запущен?
запущен, тоесть я понимаю вы предлагаете авторизовать ним через events.pl? (в мануале видел что надо вырубать модуль) у меня было уже не один раз что этот скрипт намертво вис, и модуль дхцп начинал работать только после ребута всего сервера, ошибок соответсвенно никаких не писало. думал от него уйти, понимаю что никак И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик? |
|
|
|
|
Записан
|
|
|
|
Warlock
NoDeny
Старожил
Карма: 8
Offline
Сообщений: 367
|
|
« Ответ #62 : 08 Ноября 2016, 09:04:37 » |
|
И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик?
на джуне есть netflow v5, но без доп. платы ты не сможешь нормально собирать, т.к. нагрузка будет очень высокая, а плата как раз нужно чтоб эту нагрузку на себя брать.. я трафик никак не собираю.. Есть вариант сбора трафика через ралиус, но я этим не заморачивался пока... |
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #63 : 08 Ноября 2016, 19:33:59 » |
|
И как же быть с трафиком, раньше собиралось через ipcad, через радиус реально трафик на mx80 собрать по клиенту? еще вроде на джуне есть своя фича jflow, будет ли н+ через нее собирать трафик?
на джуне есть netflow v5, но без доп. платы ты не сможешь нормально собирать, т.к. нагрузка будет очень высокая, а плата как раз нужно чтоб эту нагрузку на себя брать.. я трафик никак не собираю.. Есть вариант сбора трафика через ралиус, но я этим не заморачивался пока... то место куда можно поставить плату- занято платой для ната статистика надо для того, чтобы понять пользовался ли клиент инетом. |
|
|
|
|
Записан
|
|
|
|
Warlock
NoDeny
Старожил
Карма: 8
Offline
Сообщений: 367
|
|
« Ответ #64 : 09 Ноября 2016, 07:24:12 » |
|
Остается только собирать по радиусу. Другого выхода не .
|
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #65 : 10 Ноября 2016, 14:54:13 » |
|
Остается только собирать по радиусу. Другого выхода не .
Есть, я на коммутаторе до nat снимаю через span все что уходит с mx'a. но это надо иметь хотя бы несколько 10г портов на свиче и отдельный сервер по ng_netflow. |
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #66 : 10 Ноября 2016, 14:55:15 » |
|
то место куда можно поставить плату- занято платой для ната статистика надо для того, чтобы понять пользовался ли клиент инетом. А как оно вообще по стабильности? Вроде не очень говорят плата |
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #67 : 11 Ноября 2016, 10:04:13 » |
|
то место куда можно поставить плату- занято платой для ната статистика надо для того, чтобы понять пользовался ли клиент инетом. А как оно вообще по стабильности? Вроде не очень говорят плата а в чем именно должна проявляться нестабильность? вот кстати интересная ссылка https://show-route.blogspot.com/2016/06/crash-ms-mic.html |
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #68 : 28 Ноября 2016, 21:22:26 » |
|
Стас, предлагаю написать доку.. с меня по настройке pppoe.. штука ведь нужная, или тебе не интересно развивать эту тему?
По доке подскажите, написали ли? Если нет, покажите профиль с заглушкой на ноденай. |
|
|
|
|
Записан
|
|
|
|
Warlock
NoDeny
Старожил
Карма: 8
Offline
Сообщений: 367
|
|
« Ответ #69 : 29 Ноября 2016, 06:51:57 » |
|
Ты уже с остальным разобрался?
|
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #70 : 29 Ноября 2016, 13:23:32 » |
|
Ты уже с остальным разобрался?
Почти |
|
|
|
|
Записан
|
|
|
|
Warlock
NoDeny
Старожил
Карма: 8
Offline
Сообщений: 367
|
|
« Ответ #71 : 29 Ноября 2016, 13:54:21 » |
|
# show dynamic-profiles svc-guest-pppoe
interfaces {
pp0 {
unit "$junos-interface-unit" {
family inet {
filter {
input svc-filter-in-nomoney precedence 250;
}
}
}
}
}
firewall {
family inet {
filter svc-filter-in-nomoney {
interface-specific;
term 1 {
from {
destination-address {
8.8.8.8/32;
x.x.x.x/32; -<< Добавляешь адреса которые хочешь разрешить.
}
protocol [ tcp udp ];
destination-port [ 80 443 53 8080 ];
}
then accept;
}
term 2 {
from {
protocol tcp;
destination-port [ 80 443 ];
}
then {
routing-instance neg_dep;
}
}
term default {
then {
discard;
}
}
}
}
}
# show routing-options
interface-routes {
rib-group inet neg_dep;
rib-groups {
neg_dep {
import-rib [ inet.0 neg_dep.inet.0 ];
}
}
# show routing-instances neg_dep
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop x.x.x.x; -<< x.x.x.x - ip заглушки
}
}
На машинке где будет заглушка добавляешь в фаервол запись: fwd 127.0.0.1,8080 tcp from any to not me dst-port 80 via em1 интерфейс под себя уже.. |
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #72 : 29 Июня 2017, 10:16:54 » |
|
Наконецто нашлось время, испытать COA модуль, c juniper mx80 ipoe работает прекрасно, меняет скорость, запрещает доступ, открывает доступ, все ок, реагирует быстро. Осталась одна проблема. Авторизация висит активная, даже когда клиент выключил ПК.... DHCP настроен на MX. Что за фича? Я так понимаю она как раз для этого и служит? И тебе нужно будет обратиться к Стасу, чтоб он тебе дал/продал небольшую приблуду для билинга (snmp_chkses), которая по snmp будет получать список авторизованных пользователей.. Хз, может для ipoe ее нужно будет чуток переделать, т.к. сейчас она получает список логинов. |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #73 : 29 Июня 2017, 11:10:22 » |
|
Потому что в dhcp нет четкого механизма сообщить, что комп "в сети". Вот получил комп ip и через минуту выключился. Как биллинг узнает об этом? Нет механизма keep-alive, когда в протоколе предусмотрена периодическая посылка пакетов "я живой". Поэтому приходится биллингу действовать исходя из таких соображений: через lease-time абон должен запросить продление аренды ip, пока он не сделал это, думаем, что он в сети. Правда в протоколе есть механизм посылки пакета освобождения ip, но это не всегда работает, как минимум не работает, если комп перегрузить через кнопку или оборвется связь
|
|
|
|
|
Записан
|
|
|
|
NodenY45
NoDeny
Старожил
Карма: 2
Offline
Сообщений: 365
|
|
« Ответ #74 : 29 Июня 2017, 17:26:25 » |
|
Потому что в dhcp нет четкого механизма сообщить, что комп "в сети". Вот получил комп ip и через минуту выключился. Как биллинг узнает об этом? Нет механизма keep-alive, когда в протоколе предусмотрена периодическая посылка пакетов "я живой". Поэтому приходится биллингу действовать исходя из таких соображений: через lease-time абон должен запросить продление аренды ip, пока он не сделал это, думаем, что он в сети. Правда в протоколе есть механизм посылки пакета освобождения ip, но это не всегда работает, как минимум не работает, если комп перегрузить через кнопку или оборвется связь
Иными словами "используйте стандартный дхцп для ноудейнай, а на МХ настройте релей". ВернО? Получается в случае отпада дхцп на ноуденай - авторизация работать не будет... И что за фича snmpchkes? |
|
|
|
|
Записан
|
|
|
|
|
