Juniper MX Динамические профили и скорость в направление №2

[sedo26 0]

Возникла необходимость сделать скорость в направление №2(UA-IX) больше чем в остальные направления.

Создался дополнительный профиль, но 28к подсетей не прописывается в prefix-list UA-IX. (dynamic-db с фаерволом не работает)

На джуне также поднят BGP - 2bgp апстрима (default) + 1bgp (UA-IX 28k prefix).

Каждый апстрим в отдельном влане.

 

Каким способом можно отфильтровать именно те пакеты, что убегают в UA-IX  (влан или пир). И  применить дин.профиль.

set dynamic-profiles svc-allow-ipoe-ua-ix variables SPEED_IN mandatory
set dynamic-profiles svc-allow-ipoe-ua-ix variables SPEED_OUT mandatory
set dynamic-profiles svc-allow-ipoe-ua-ix variables INET_IN uid
set dynamic-profiles svc-allow-ipoe-ua-ix variables INET_OUT uid
set dynamic-profiles svc-allow-ipoe-ua-ix variables POLICER_IN uid
set dynamic-profiles svc-allow-ipoe-ua-ix variables POLICER_OUT uid
set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter input "$INET_IN"
set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 60
set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter output "$INET_OUT"
set dynamic-profiles svc-ok-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 60
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" interface-specific
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 from source-prefix-list UA-IX
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 then policer "$POLICER_IN"
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 then reject network-prohibited
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 2 then service-accounting
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 2 then accept
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" interface-specific
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 1 from destination-prefix-list UA-IX
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 1 then policer "$POLICER_OUT"
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 2 then service-accounting
set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 2 then accept
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" filter-specific
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" if-exceeding bandwidth-limit "$SPEED_IN"
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" if-exceeding burst-size-limit 512k
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" then discard
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" filter-specific
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" if-exceeding bandwidth-limit "$SPEED_OUT"
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" if-exceeding burst-size-limit 512k
set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" then discard

 

Відредаговано 2021-01-19 12:46:02 sedo26

[l1ght 377]

from interface просто не?

укажи интерфейс юнит где у тебя сессия с ua-ix, не факт что оно так будет работать но проще вряд ли придумаешь, а вообще завязывать надо с этими полисерами по направлениям в 2021 то

[sedo26 0]

2 минуты назад, l1ght сказал:

from interface просто не?

укажи интерфейс юнит где у тебя сессия с ua-ix, не факт что оно так будет работать но проще вряд ли придумаешь, а вообще завязывать надо с этими полисерами по направлениям в 2021 то

 

from interface - непонимает к сожалению... И пока что надо скорость нарезать.  

[Sоrk 48]

Возможно где-то перекрутил и перегнул, но на рабочем уже не хочется менять то что работает.

У меня получилось сделать только через forwarding-class и только на входящий трафик к абоненту (исходящий с точки зрения demux)

set class-of-service classifiers dscp dscp-classifier forwarding-class UAIX loss-priority low code-points cs7
set class-of-service classifiers dscp dscp-classifier forwarding-class World loss-priority low code-points ef
set class-of-service forwarding-classes class UAIX queue-num 0
set class-of-service forwarding-classes class UAIX priority high
set class-of-service forwarding-classes class UAIX policing-priority premium
set class-of-service forwarding-classes class World queue-num 0
set class-of-service forwarding-classes class World priority high
set class-of-service forwarding-classes class World policing-priority premium
set class-of-service interfaces ae1 unit 111 forwarding-class World
set class-of-service interfaces ae1 unit 222 forwarding-class UAIX
set class-of-service interfaces ae1 unit 333 forwarding-class UAIX
set class-of-service interfaces ae1 unit 444 forwarding-class UAIX
set class-of-service rewrite-rules dscp UAIX_World forwarding-class UAIX loss-priority low code-point cs7
set class-of-service rewrite-rules dscp UAIX_World forwarding-class World loss-priority low code-point ef

 

set dynamic-profiles svc-ipoe-global firewall family inet filter "$var-ff-out" term POLICE-UAIX from forwarding-class UAIX
set dynamic-profiles svc-ipoe-global firewall family inet filter "$var-ff-out" term POLICE-UAIX then policer "$var-plr-in-uaix"
set dynamic-profiles svc-ipoe-global firewall family inet filter "$var-ff-out" term POLICE-UAIX then service-accounting
set dynamic-profiles svc-ipoe-global firewall family inet filter "$var-ff-out" term POLICE-UAIX then service-filter-hit
set dynamic-profiles svc-ipoe-global firewall family inet filter "$var-ff-out" term POLICE-UAIX then accept

 

Відредаговано 2021-01-19 15:44:14 Sоrk

[melvin 67]

Если у топикастера бандл mx-5t, то forwarding-class не заработает

[sedo26 0]

1 час назад, melvin сказал:

Если у топикастера бандл mx-5t, то forwarding-class не заработает

 

MX104 version 18.4R3.3

Спасибо, попробую.

[sedo26 0]

В 19.01.2021 в 21:58, sedo26 сказал:

 

MX104 version 18.4R3.3

Спасибо, попробую.

После длительных попыток и редактирования конфогов джуна - получилось задействовать dynamic-db,

но только почему-то только под UA-IX, uablacklist неполучилось через:

set interfaces ae1 unit |vlan-in-isp-bgp| family inet filter input uablacklist

  

[renegade310 0]

On 1/19/2021 at 8:24 PM, melvin said:

Если у топикастера бандл mx-5t, то forwarding-class не заработает

А если есть Model: mx5-t и установленные на нём лицухи mx5-to-mx10-upgrade > mx10-to-mx40-upgrade > mx40-to-mx80-upgrade, будет работать?

[renegade310 0]

On 1/19/2021 at 8:24 PM, melvin said:

Если у топикастера бандл mx-5t, то forwarding-class не заработает

А если есть Model: mx5-t и установленные на нём лицухи mx5-to-mx10-upgrade > mx10-to-mx40-upgrade > mx40-to-mx80-upgrade, будет работать?

[melvin 67]

В 10.03.2021 в 17:30, renegade310 сказал:

А если есть Model: mx5-t и установленные на нём лицухи mx5-to-mx10-upgrade > mx10-to-mx40-upgrade > mx40-to-mx80-upgrade, будет работать?

Нет, не будет. 

Конфиг написать даст, но после    коммита при просмотре конфига будет писать not supported. 
 

Відредаговано 2021-03-12 06:41:36 melvin

[renegade310 0]

2 hours ago, melvin said:

Нет, не будет. 

Конфиг написать даст, но после    коммита при просмотре конфига будет писать not supported. 
 

Хм, странно, прописал конфиг, закомитил но в show config нигде не нашел not supported.

Но работоспособность ещё не проверял...

[renegade310 0]

On 3/12/2021 at 11:19 AM, renegade310 said:

Хм, странно, прописал конфиг, закомитил но в show config нигде не нашел not supported.

Но работоспособность ещё не проверял...

Проверил - все работает.

Только на outbound в сторону абона получилось сделать.