Cybernet1k 3 Posted 2020-01-22 09:15:05 Share Posted 2020-01-22 09:15:05 Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles: firewall { family inet { filter "$INET_IN" { interface-specific; *********** term t2 { from { source-address { 172.20.0.0/22; } } then { policer "$POLICER_IN"; service-accounting; service-filter-hit; routing-instance l4-nat2; } } show routing-instances l4-nat2 instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.9.3; } } І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач? Link to post Share on other sites
l1ght 377 Posted 2020-01-22 10:07:31 Share Posted 2020-01-22 10:07:31 50 минут назад, Cybernet1k сказал: можливо є у кого досвіт у реалізуванні подібних задач? l1ght@BRAS-1> show configuration forwarding-options family inet { filter { input custom-flow-fbf; } } l1ght@BRAS-1> show configuration firewall family inet filter custom-flow-fbf term local { from { source-prefix-list { local-traffic; } destination-prefix-list { local-traffic; } } then accept; } term nat { from { source-prefix-list { nat-list; } } then { routing-instance nat; } } term default { then accept; } ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно 54 минуты назад, Cybernet1k сказал: заодне зробити динамічне балансування в этой схеме это даже вредно 1 Link to post Share on other sites
Cybernet1k 3 Posted 2020-01-22 10:25:37 Author Share Posted 2020-01-22 10:25:37 (edited) 19 минут назад, l1ght сказал: ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ? Edited 2020-01-22 10:27:26 by Cybernet1k Link to post Share on other sites
l1ght 377 Posted 2020-01-22 10:49:17 Share Posted 2020-01-22 10:49:17 (edited) 24 минуты назад, Cybernet1k сказал: Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ? я ж выше показал на основе source-ip который в nat-list l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 172.16.0.0/16; мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options) у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае Edited 2020-01-22 10:50:06 by l1ght 1 Link to post Share on other sites
Cybernet1k 3 Posted 2020-01-22 12:45:16 Author Share Posted 2020-01-22 12:45:16 1 час назад, l1ght сказал: я ж выше показал на основе source-ip который в nat-list l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 172.16.0.0/16; мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options) у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае Дякую, forwarding-options не налаштовували, на тестових налаштуваннях так заробило. А яким чином у вас навішується policer? Можете скинути шматок конфігу з вашого динамічного профілю? Link to post Share on other sites
l1ght 377 Posted 2020-01-22 13:28:18 Share Posted 2020-01-22 13:28:18 41 минуту назад, Cybernet1k сказал: Можете скинути шматок конфігу з вашого динамічного профілю? l1ght@BRAS-1> show configuration dynamic-profiles inet variables { speed-var-out; speed-var-in; fw-name-in { equals "'FW-IN'"; uid; } fw-name-out { equals "'FW-OUT'"; uid; } policer-in { equals "'PLR-IN'"; uid; } policer-out { equals "'PLR-OUT'"; uid; } burst-in equals " ($speed-var-in * 0.6 / 8) "; burst-out equals " ($speed-var-out * 0.6 / 8) "; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$fw-name-in" precedence 100; output "$fw-name-out" precedence 100; } } } } } firewall { family inet { filter "$fw-name-out" { interface-specific; term 0 { then policer "$policer-out"; } } filter "$fw-name-in" { interface-specific; term 0 { then policer "$policer-in"; } } } policer "$policer-out" { if-exceeding { bandwidth-limit "$speed-var-out"; burst-size-limit "$burst-out"; } then discard; } policer "$policer-in" { if-exceeding { bandwidth-limit "$speed-var-in"; burst-size-limit "$burst-in"; } then discard; } } скорость передаю в битах в параметрах сервиса радиусом Link to post Share on other sites
Stalker1 143 Posted 2020-01-22 13:44:48 Share Posted 2020-01-22 13:44:48 Через радиус э 4 часа назад, Cybernet1k сказал: Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles: firewall { family inet { filter "$INET_IN" { interface-specific; *********** term t2 { from { source-address { 172.20.0.0/22; } } then { policer "$POLICER_IN"; service-accounting; service-filter-hit; routing-instance l4-nat2; } } show routing-instances l4-nat2 instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.9.3; } } І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач? А у вас сколько профилей на firewall ? Link to post Share on other sites
l1ght 377 Posted 2020-01-22 16:03:53 Share Posted 2020-01-22 16:03:53 (edited) 2 часа назад, deltatelecom сказал: Через радиус э ну да, перекинь так СоА запросами с одного ната на другой пару тыщ юзеров с учетом калькуляторности МХ80 Edited 2020-01-22 16:04:54 by l1ght Link to post Share on other sites
Cybernet1k 3 Posted 2020-01-23 06:48:24 Author Share Posted 2020-01-23 06:48:24 16 часов назад, deltatelecom сказал: А у вас сколько профилей на firewall Як підкреслив l1ght, у нас на кожного сабскрайбера створюється купу правил, хочемо усе це оптимізувати, гарна була порада стосовно forwarding-options, бо була вже думка відправляти увесь трафік у vrf, а це була б кабз*а. Link to post Share on other sites
l1ght 377 Posted 2020-01-23 09:25:55 Share Posted 2020-01-23 09:25:55 2 часа назад, Cybernet1k сказал: думка відправляти увесь трафік у vrf ну это не гибко бы получилось в данном кейсе, но врф это нормально, никакой это не п@зд#ц Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now