Jump to content
Local
Cybernet1k

MX80 QinQ Bras routing-instance в dynamic-profiles

Recommended Posts

Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles:
 

firewall {
        family inet {
            filter "$INET_IN" {
                interface-specific;
***********

term t2 {
                    from {
                        source-address {
                            172.20.0.0/22;
                        }
                    }
                    then {
                        policer "$POLICER_IN";
                        service-accounting;
                        service-filter-hit;
                        routing-instance l4-nat2;
                    }
                }
show routing-instances l4-nat2 
instance-type forwarding;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 172.16.9.3;
    }
}

І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який  next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач?

Share this post


Link to post
Share on other sites
50 минут назад, Cybernet1k сказал:

можливо є у кого досвіт у реалізуванні подібних задач?

l1ght@BRAS-1> show configuration forwarding-options 
family inet {
    filter {
        input custom-flow-fbf;
    }
}

l1ght@BRAS-1> show configuration firewall family inet filter custom-flow-fbf 
term local {
    from {
        source-prefix-list {
            local-traffic;
        }
        destination-prefix-list {
            local-traffic;
        }
    }
    then accept;
}
term nat {
    from {
        source-prefix-list {
            nat-list;
        }
    }
    then {
        routing-instance nat;
    }
}
term default {
    then accept;
}

 

ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно

54 минуты назад, Cybernet1k сказал:

заодне зробити динамічне балансування

в этой схеме это даже вредно

 

  • Like 1

Share this post


Link to post
Share on other sites

 

19 минут назад, l1ght сказал:

ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно

 

Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ?

Edited by Cybernet1k

Share this post


Link to post
Share on other sites
24 минуты назад, Cybernet1k сказал:

Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ?

я ж выше показал

на основе source-ip который в nat-list 

l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 
172.16.0.0/16;

мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options)

у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае

Edited by l1ght
  • Like 1

Share this post


Link to post
Share on other sites
1 час назад, l1ght сказал:

я ж выше показал

на основе source-ip который в nat-list 


l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 
172.16.0.0/16;

мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options)

у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае

Дякую, forwarding-options не налаштовували, на тестових налаштуваннях так заробило. А яким чином у вас навішується policer? Можете скинути шматок конфігу з вашого динамічного профілю?
 

Share this post


Link to post
Share on other sites
41 минуту назад, Cybernet1k сказал:

Можете скинути шматок конфігу з вашого динамічного профілю?

l1ght@BRAS-1> show configuration dynamic-profiles inet 
variables {
    speed-var-out;
    speed-var-in;
    fw-name-in {
        equals "'FW-IN'";
        uid;
    }
    fw-name-out {
        equals "'FW-OUT'";
        uid;
    }
    policer-in {
        equals "'PLR-IN'";
        uid;
    }
    policer-out {
        equals "'PLR-OUT'";
        uid;
    }
    burst-in equals " ($speed-var-in * 0.6 / 8) ";
    burst-out equals " ($speed-var-out * 0.6 / 8) ";
}
interfaces {
    "$junos-interface-ifd-name" {
        unit "$junos-interface-unit" {
            family inet {
                filter {
                    input "$fw-name-in" precedence 100;
                    output "$fw-name-out" precedence 100;
                }
            }
        }
    }
}
firewall {
    family inet {
        filter "$fw-name-out" {
            interface-specific;
            term 0 {
                then policer "$policer-out";
            }
        }
        filter "$fw-name-in" {
            interface-specific;
            term 0 {
                then policer "$policer-in";
            }
        }
    }
    policer "$policer-out" {
        if-exceeding {
            bandwidth-limit "$speed-var-out";
            burst-size-limit "$burst-out";
        }
        then discard;
    }
    policer "$policer-in" {
        if-exceeding {
            bandwidth-limit "$speed-var-in";
            burst-size-limit "$burst-in";
        }
        then discard;
    }
}                                       

скорость передаю в битах в параметрах сервиса радиусом

Share this post


Link to post
Share on other sites

Через радиус э

4 часа назад, Cybernet1k сказал:

Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles:
 


firewall {
        family inet {
            filter "$INET_IN" {
                interface-specific;
***********

term t2 {
                    from {
                        source-address {
                            172.20.0.0/22;
                        }
                    }
                    then {
                        policer "$POLICER_IN";
                        service-accounting;
                        service-filter-hit;
                        routing-instance l4-nat2;
                    }
                }
show routing-instances l4-nat2 
instance-type forwarding;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 172.16.9.3;
    }
}

І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який  next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач?

А у вас сколько профилей на firewall

?

 

 

Share this post


Link to post
Share on other sites
2 часа назад, deltatelecom сказал:

Через радиус э

ну да, перекинь так СоА запросами с одного ната на другой пару тыщ юзеров с учетом калькуляторности МХ80

Edited by l1ght

Share this post


Link to post
Share on other sites
16 часов назад, deltatelecom сказал:

А у вас сколько профилей на firewall

Як підкреслив l1ght, у нас на кожного сабскрайбера створюється купу правил, хочемо усе це оптимізувати, гарна була порада стосовно  forwarding-options, бо була вже думка відправляти увесь трафік у vrf, а це була б кабз*а.

Share this post


Link to post
Share on other sites
2 часа назад, Cybernet1k сказал:

думка відправляти увесь трафік у vrf

ну это не гибко бы получилось в данном кейсе, но врф это нормально, никакой это не п@зд#ц

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×