Cybernet1k 3 Опубликовано: 2020-01-22 09:15:05 Share Опубликовано: 2020-01-22 09:15:05 Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles: firewall { family inet { filter "$INET_IN" { interface-specific; *********** term t2 { from { source-address { 172.20.0.0/22; } } then { policer "$POLICER_IN"; service-accounting; service-filter-hit; routing-instance l4-nat2; } } show routing-instances l4-nat2 instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.9.3; } } І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2020-01-22 10:07:31 Share Опубліковано: 2020-01-22 10:07:31 50 минут назад, Cybernet1k сказал: можливо є у кого досвіт у реалізуванні подібних задач? l1ght@BRAS-1> show configuration forwarding-options family inet { filter { input custom-flow-fbf; } } l1ght@BRAS-1> show configuration firewall family inet filter custom-flow-fbf term local { from { source-prefix-list { local-traffic; } destination-prefix-list { local-traffic; } } then accept; } term nat { from { source-prefix-list { nat-list; } } then { routing-instance nat; } } term default { then accept; } ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно 54 минуты назад, Cybernet1k сказал: заодне зробити динамічне балансування в этой схеме это даже вредно 1 Ссылка на сообщение Поделиться на других сайтах
Cybernet1k 3 Опубліковано: 2020-01-22 10:25:37 Автор Share Опубліковано: 2020-01-22 10:25:37 (відредаговано) 19 минут назад, l1ght сказал: ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ? Відредаговано 2020-01-22 10:27:26 Cybernet1k Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2020-01-22 10:49:17 Share Опубліковано: 2020-01-22 10:49:17 (відредаговано) 24 минуты назад, Cybernet1k сказал: Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ? я ж выше показал на основе source-ip который в nat-list l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 172.16.0.0/16; мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options) у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае Відредаговано 2020-01-22 10:50:06 l1ght 1 Ссылка на сообщение Поделиться на других сайтах
Cybernet1k 3 Опубліковано: 2020-01-22 12:45:16 Автор Share Опубліковано: 2020-01-22 12:45:16 1 час назад, l1ght сказал: я ж выше показал на основе source-ip который в nat-list l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 172.16.0.0/16; мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options) у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае Дякую, forwarding-options не налаштовували, на тестових налаштуваннях так заробило. А яким чином у вас навішується policer? Можете скинути шматок конфігу з вашого динамічного профілю? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2020-01-22 13:28:18 Share Опубліковано: 2020-01-22 13:28:18 41 минуту назад, Cybernet1k сказал: Можете скинути шматок конфігу з вашого динамічного профілю? l1ght@BRAS-1> show configuration dynamic-profiles inet variables { speed-var-out; speed-var-in; fw-name-in { equals "'FW-IN'"; uid; } fw-name-out { equals "'FW-OUT'"; uid; } policer-in { equals "'PLR-IN'"; uid; } policer-out { equals "'PLR-OUT'"; uid; } burst-in equals " ($speed-var-in * 0.6 / 8) "; burst-out equals " ($speed-var-out * 0.6 / 8) "; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$fw-name-in" precedence 100; output "$fw-name-out" precedence 100; } } } } } firewall { family inet { filter "$fw-name-out" { interface-specific; term 0 { then policer "$policer-out"; } } filter "$fw-name-in" { interface-specific; term 0 { then policer "$policer-in"; } } } policer "$policer-out" { if-exceeding { bandwidth-limit "$speed-var-out"; burst-size-limit "$burst-out"; } then discard; } policer "$policer-in" { if-exceeding { bandwidth-limit "$speed-var-in"; burst-size-limit "$burst-in"; } then discard; } } скорость передаю в битах в параметрах сервиса радиусом Ссылка на сообщение Поделиться на других сайтах
Stalker1 140 Опубліковано: 2020-01-22 13:44:48 Share Опубліковано: 2020-01-22 13:44:48 Через радиус э 4 часа назад, Cybernet1k сказал: Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles: firewall { family inet { filter "$INET_IN" { interface-specific; *********** term t2 { from { source-address { 172.20.0.0/22; } } then { policer "$POLICER_IN"; service-accounting; service-filter-hit; routing-instance l4-nat2; } } show routing-instances l4-nat2 instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.9.3; } } І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач? А у вас сколько профилей на firewall ? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2020-01-22 16:03:53 Share Опубліковано: 2020-01-22 16:03:53 (відредаговано) 2 часа назад, deltatelecom сказал: Через радиус э ну да, перекинь так СоА запросами с одного ната на другой пару тыщ юзеров с учетом калькуляторности МХ80 Відредаговано 2020-01-22 16:04:54 l1ght Ссылка на сообщение Поделиться на других сайтах
Cybernet1k 3 Опубліковано: 2020-01-23 06:48:24 Автор Share Опубліковано: 2020-01-23 06:48:24 16 часов назад, deltatelecom сказал: А у вас сколько профилей на firewall Як підкреслив l1ght, у нас на кожного сабскрайбера створюється купу правил, хочемо усе це оптимізувати, гарна була порада стосовно forwarding-options, бо була вже думка відправляти увесь трафік у vrf, а це була б кабз*а. Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2020-01-23 09:25:55 Share Опубліковано: 2020-01-23 09:25:55 2 часа назад, Cybernet1k сказал: думка відправляти увесь трафік у vrf ну это не гибко бы получилось в данном кейсе, но врф это нормально, никакой это не п@зд#ц Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас