Перейти к содержимому
Калькуляторы

Оборудование Juniper Network. Отзывы, реальная производительность. Особенности, плюсы, минусы

DVM-Avgoor, с ios-xr 4.3.1 ликинг делается довольно просто, нужно указать откуда (vrf или global) и какую route-policy применить. отдельно для импорта и экспорта соответственно.

 

Ну всё, покупаю CRS-1. :)

 

Я так понимаю, что XR на классических платформах-то все равно не появится? Так что можно забыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сразу узнаете чем хорош рут-ликинг между инстансами и грт, без всяких левых протоколов :)
у циски vrf это просто часть mpls'а, на что намекает необходимость задавать им rd в обязательном порядке и использовать rt import/export для ликинга.

а у J две сущности: vrf и virtual-router. последнему все эти куски mpls'а никуда не стучат. :) там есть еще разные типы рутинк-инстансев, но интересующиеся сами выяснят чокаво.

Хм, Вы хотите сказать, что и порты на MX104 тоже разлочены 10GE?
лицензии чекаются на порты на mx5/20/40 и только с версией софта 12.2 и выше: http://www.juniper.net/techpubs/en_US/junos12.2/topics/concept/junos-license-key-components.html

The Junos OS licensing infrastructure currently associates a license feature with attributes such as date, platform, and validity. In addition to these attributes, for MX Series routers running Junos OS Release 12.2 and later, a licensed feature can be associated with a release number at the time of generating the license key.

но учитывая что 11.4, наверно, дропнут в этом году, а следующий eeol это 12.3, то выхода нет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю, что XR на классических платформах-то все равно не появится? Так что можно забыть.

Теперь классическая платформа - это a9k )

 

у циски vrf это просто часть mpls'а, на что намекает необходимость задавать им rd в обязательном порядке и использовать rt import/export для ликинга.

а у J две сущности: vrf и virtual-router. последнему все эти куски mpls'а никуда не стучат. :) там есть еще разные типы рутинк-инстансев, но интересующиеся сами выяснят чокаво.

в xr по другому, речь же идёт про xr, а не классический ios, которому хз сколько лет. Да и там есть vrf-lite, который без mpls.

 

Ладно, всё, закрываю флейм про цыску в теме про джунипер - буду мучать vmx и смотреть что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какие крутые фишки есть у junos, что вам xr не нравится?

 

Junos так-то вообще няшка. Куча функционала работы с конфигом, патчи, разные форматы конфига (set, xml), расширенные wildcard операции, dynamic-db, auto-complete.

Всего пожалуй и не перечислишь, мелочь, детальки из которых складывается картина.

 

Ну и junos един, а XR пока что удел избранных железяк.

Няшка то оно няшка... Но вот особенность части его функционала просто убивают.

Например нет IPSEC в транспортном режиме...

Или next-hop, которым может быть только routing instance. Для меня это было вообще шоком.

Простейшая вещь которую умеет даже каждый уважающий себя l3 коммутатор, не умеет большой SRX. Чудо.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какие крутые фишки есть у junos, что вам xr не нравится?

 

Junos так-то вообще няшка. Куча функционала работы с конфигом, патчи, разные форматы конфига (set, xml), расширенные wildcard операции, dynamic-db, auto-complete.

Всего пожалуй и не перечислишь, мелочь, детальки из которых складывается картина.

 

Ну и junos един, а XR пока что удел избранных железяк.

Няшка то оно няшка... Но вот особенность части его функционала просто убивают.

Например нет IPSEC в транспортном режиме...

Или next-hop, которым может быть только routing instance. Для меня это было вообще шоком.

Простейшая вещь которую умеет даже каждый уважающий себя l3 коммутатор, не умеет большой SRX. Чудо.

Функция PBR есть и работает. А то что только через rote instance - это лишь особенности конфигурирования. В некоторых случаях такой подход даже лучше и позволяет делать более крутые вещи, чем простой PBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какие крутые фишки есть у junos, что вам xr не нравится?

 

Junos так-то вообще няшка. Куча функционала работы с конфигом, патчи, разные форматы конфига (set, xml), расширенные wildcard операции, dynamic-db, auto-complete.

Всего пожалуй и не перечислишь, мелочь, детальки из которых складывается картина.

 

Ну и junos един, а XR пока что удел избранных железяк.

Няшка то оно няшка... Но вот особенность части его функционала просто убивают.

Например нет IPSEC в транспортном режиме...

Или next-hop, которым может быть только routing instance. Для меня это было вообще шоком.

Простейшая вещь которую умеет даже каждый уважающий себя l3 коммутатор, не умеет большой SRX. Чудо.

Функция PBR есть и работает. А то что только через rote instance - это лишь особенности конфигурирования. В некоторых случаях такой подход даже лучше и позволяет делать более крутые вещи, чем простой PBR.

Давайте простой пример:

Есть SRX650_1

Есть интерфейс в main табличке за которым находится сервера подсесть 10.0.0.0/24.

Есть второй 650й SRX650_2 который соединен с первым посредствам туннеля/ей

Конец туннеля со стороны SRX650_1 находится в routing instance

Со стороны SRX650_2 просто в main.

За SRX650_2 находится некий сервера на который надо зарулить Интернет трафик с части серверов из подсети 10.0.0.0/24

 

Схема:

10.0.0.0/24 -- (main)SRX650_1(RI) ---IPIP--- (main)SRX650_1(main) -- SERVER

 

Что надо сделать на циске:

ip access-list extended LocalNETs
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 10.0.0.15 0.0.0.255 any
permit ip 10.0.0.16 0.0.0.255 any


route-map Forward_GlobalIP permit 10
match ip address LocalNETs
set ip next-hop 172.20.1.210 (Туннельный адрес на той стороне)

 

На стороне SRX650_2 ровно тоже самое но set ip next-hop уже указать адрес сервера.

 

Как это сделать джунипером?

Очень простая задача. Очень простой пример.

Используется много где и активно.

А вы говорите "PBR у джунипера гибкий."

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

создать route-instance, где будет один статичный маршрут с next-hop

создать acl, где указать условия и действие по маршрутизации пакета через созданный route-instance

навесить acl на нужный интерфейс, откуда должны прилететь пакеты, которые нужно завернуть как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

создать route-instance, где будет один статичный маршрут с next-hop

создать acl, где указать условия и действие по маршрутизации пакета через созданный route-instance

навесить acl на нужный интерфейс, откуда должны прилететь пакеты, которые нужно завернуть как надо.

Невозможно.

1) Те ацл что я привел выше, срабатывают на трафик только в сторону НЕ локальные сети тобешь в сторону Интернет.

2) В RI в котором туннель НЕ прилетает дефолт. Там OSPF и дефолт смотрит в другом направлении.

3) На сторону второго джуна RI создавать нельзя. Там все должно быть в основной табличке маршрутизации.

 

Для чего это нужно?

Чтоб интернет трафик хостов 10.0.0.15 10.0.0.16 завернуть на другую проксю. Упрощенно говоря.

 

Создавать дополнительный пустой RI в котором надо делать аж два роут ликинга это совершенно неадекватная конструкция. Да и работать не будет потому что п2 и п3

 

И вообще, возможность указывать в качестве некст хоп только RI граничит с тяжелейшими повреждениями головного мозга и противоречит самому понятию ХОП.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL выглядит так:

 

 

destination-address 172.16.0.0

permit

 

destination-address 10.0.0.0

permit

 

destination-address 192.168.0.0

permit

 

source-address 10.0.0.15

route-instance ...

permit

 

 

В это route-instance будут попадать пакеты только, попавшие под ACL. на остальной трафик это не будет влиять. Основную таблицу не трогаем. один интерфейс могут использовать разные route-instance.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL выглядит так:

 

 

destination-address 172.16.0.0

permit

 

destination-address 10.0.0.0

permit

 

destination-address 192.168.0.0

permit

 

source-address 10.0.0.15

route-instance ...

permit

 

 

В это route-instance будут попадать пакеты только, попавшие под ACL. на остальной трафик это не будет влиять. Основную таблицу не трогаем.

 

Отлично. А в RI нет дефолта.

И теперь мне нужно создавать некий транзитный RI, настраивать между двумя RI роут ликинг, чтоб транзитный RI знал таки где некст хоп.

И все равно упирается в то, что на другой стороне конец туннеля не в RI и я не могу в качестве некс-хоп для этого трафика указать IP адрес сервера.

 

 

один интерфейс могут использовать разные route-instance.

 

Не могут.

myst@VL_SRX650_1# set routing-instances TRANSIT interface ip-0/0/0.1031

[edit]
myst@VL_SRX650_1# commit check 
[edit routing-instances TRANSIT interface]
 'ip-0/0/0.1031'
   RT Instance: Interface ip-0/0/0.1031 already configured under instance ADM
error: configuration check-out failed


Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот тут вот: http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 написано как нарисовать FBF, не добавляя интерфейсы в RI.

Но вообще да, FBF на Juniper-е это знатный костыль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да. я на самом деле интерфейсы никуда не добавлял. создавал таблицы ipv4 и там добавлял static route. а при помощи acl говорил по какой таблице маршрутизировать пакет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот тут вот: http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 написано как нарисовать FBF, не добавляя интерфейсы в RI.

Но вообще да, FBF на Juniper-е это знатный костыль.

К сожалению, там не получится интерфейс не в ВРФ. Там по обределенным причинам надо изолировать области OSPF и делать сугубо рут ликинг в основную табличку.

 

Вот кстати рут ликинг на джуне реализован вполне себе зачотно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот тут вот: http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 написано как нарисовать FBF, не добавляя интерфейсы в RI.

Но вообще да, FBF на Juniper-е это знатный костыль.

К сожалению, там не получится интерфейс не в ВРФ.

 

Эта конструкция для SRX650_2, у которого в Вашей схеме и ingres и egress интерфейсы в GRT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот тут вот: http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 написано как нарисовать FBF, не добавляя интерфейсы в RI.

Но вообще да, FBF на Juniper-е это знатный костыль.

К сожалению, там не получится интерфейс не в ВРФ.

 

Эта конструкция для SRX650_2, у которого в Вашей схеме и ingres и egress интерфейсы в GRT.

Ну так опять же не получится. Там в маршрутизации нет дефолта. Надо именно PBR в основной табличке распихать по нужным хопам интернет трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нужно понять. что предлагаема конструкция заменят в цисковом конфиге next-hop x.x.x.x

т.е. делаете route-instance (внтури по одному default static-route) на каждый next-hop. и потом алгоритм как в цыске, но вместо

next-hop x.x.x.x

пишите

route-instance forward_to_x.x.x.x

 

так вы получите PBR в классическом виде. на следующем роутере пакет будет маршрутизироваться в зависимости уже локальных настроек, какому VRF принадлежит интерфейс или если никакому, то маршрутизация в соттветсвии с таблицей inet.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нужно понять. что предлагаема конструкция заменят в цисковом конфиге next-hop x.x.x.x

т.е. делаете route-instance (внтури по одному default static-route) на каждый next-hop. и потом алгоритм как в цыске, но вместо

next-hop x.x.x.x

пишите

route-instance forward_to_x.x.x.x

 

так вы получите PBR в классическом виде. на следующем роутере пакет будет маршрутизироваться в зависимости уже локальных настроек, какому VRF принадлежит интерфейс или если никакому, то маршрутизация в соттветсвии с таблицей inet.0

 

Ну так про что и речь. Вместо простейшего роут мэпа в явных указанием next-hop куча изврата с ВРФ, роут ликингом и прочим.

Вот такой жирнючий мега костыль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вместо простейшего роут мэпа в явных указанием next-hop куча изврата с ВРФ, роут ликингом и прочим.
рутмап - бесполезного говна кусок. вы просто не понимаете всего изящества идеологии J.

вместо того чтобы плеваться и демонстрировать публике симптомы "циско-головного-мозга" можно и поразмыслить почему и для чего оно сделано так, и почему для маршрутизации альтернатив J по факту нет. ну т.е. они, конечно, есть, но вот есть J - душечка и няша, а есть C и ей подобные - боль, страдание, уныние, разбитые в кровь руки. :)

 

ps: не пытаюсь начать холивар или завязать беседу о юзкейсах и преимуществах. просто иногда полезно подумать в ключе "зачем так?" и "что это даст?".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вместо простейшего роут мэпа в явных указанием next-hop куча изврата с ВРФ, роут ликингом и прочим.
рутмап - бесполезного говна кусок. вы просто не понимаете всего изящества идеологии J.

вместо того чтобы плеваться и демонстрировать публике симптомы "циско-головного-мозга" можно и поразмыслить почему и для чего оно сделано так, и почему для маршрутизации альтернатив J по факту нет. ну т.е. они, конечно, есть, но вот есть J - душечка и няша, а есть C и ей подобные - боль, страдание, уныние, разбитые в кровь руки. :)

 

ps: не пытаюсь начать холивар или завязать беседу о юзкейсах и преимуществах. просто иногда полезно подумать в ключе "зачем так?" и "что это даст?".

Ну так расскажите нам, почему вместо простого next-hop x.x.x.x в J надо делать анальное извращение с врфами, роут ликами и прочей хренотой?

Может я тоже проникнусь изяществом.

 

Вопрос "что это даст" в корне не правильный. Я точно знаю что мне нужно, меня не интересуют прочие плюшки, мне надо решить вполне конкретную задачу без всяких подтекстов.

 

PS: циско головного мозга не страдаю, мне пофигу что настраивать.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так расскажите нам, почему вместо простого next-hop x.x.x.x в J надо делать анальное извращение с врфами, роут ликами и прочей хренотой?

Может я тоже проникнусь изяществом.

 

Вопрос "что это даст" в корне не правильный. Я точно знаю что мне нужно, меня не интересуют прочие плюшки, мне надо решить вполне конкретную задачу без всяких подтекстов.

 

PS: циско головного мозга не страдаю, мне пофигу что настраивать.

 

Вы его немного не поняли, мне кажется. Он имел ввиду, что есть вот этот циско-подход с роутмапами "бай-дефолт", потому что так якобы исторически сложилось и это якобы правильно. Но все на самом деле может быть не так, просто это лишь циско-подход. У джунипера он иной, в нем есть свои плюсы и минусы. Но дело не в них, он просто иной, не повторяющий циско. Когда человек с джуна приходит на циски он начинает от этого страдать и плакать, "руки в кровь", погоны генерала блокнота, вот это все (С) Точно так же и наоборот, переход на джун местами может не вызывать восторга. Но се ля ви, как говорят жеманные французишки.

 

ПС. Лично мне подход джунипера нравится в разы больше, потому как когда ты мыслишь категориями джунипера, у тебя уже не возникает никакого желания навернуть костыль из PBR поверх VRF :D А next-table это вообще божественно, не знаю есть ли подобное в IOS XR, но они точно на 15 лет опоздали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst

у вас просто консервативный взгляд на вещи и вы напоминаете бабульку на крыльце, жалующуюся на жизнь или олдфаговского сисадмина, постоянно ноящего на тему "как было хорошо в фидо" и как "засрали его интернеты"

 

посмотрите как на ios-xr смотреть мак-таблицу и после этого "громоздкие" конструкции juniper не будут страшны

я до сих пор эту адскую команду с подсказками(1-2) нахожу. а учитывая то, что этот говна кусок не подсказывает имена бридж-группы и бридж-домена ещё и куча времени уходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так расскажите нам, почему вместо простого next-hop x.x.x.x в J надо делать анальное извращение с врфами, роут ликами и прочей хренотой?

Может я тоже проникнусь изяществом.

 

Вопрос "что это даст" в корне не правильный. Я точно знаю что мне нужно, меня не интересуют прочие плюшки, мне надо решить вполне конкретную задачу без всяких подтекстов.

 

PS: циско головного мозга не страдаю, мне пофигу что настраивать.

 

Вы его немного не поняли, мне кажется. Он имел ввиду, что есть вот этот циско-подход с роутмапами "бай-дефолт", потому что так якобы исторически сложилось и это якобы правильно. Но все на самом деле может быть не так, просто это лишь циско-подход. У джунипера он иной, в нем есть свои плюсы и минусы. Но дело не в них, он просто иной, не повторяющий циско. Когда человек с джуна приходит на циски он начинает от этого страдать и плакать, "руки в кровь", погоны генерала блокнота, вот это все (С) Точно так же и наоборот, переход на джун местами может не вызывать восторга. Но се ля ви, как говорят жеманные французишки.

 

ПС. Лично мне подход джунипера нравится в разы больше, потому как когда ты мыслишь категориями джунипера, у тебя уже не возникает никакого желания навернуть костыль из PBR поверх VRF :D А next-table это вообще божественно, не знаю есть ли подобное в IOS XR, но они точно на 15 лет опоздали.

 

Отлично. next-hop это вполне типовая задача. В циске это решается двумя сущностями, ACL + роутмэп.

В джунипере это решается анальным извращением типа ВРФ. Причем, если оставлять все интерфейсы в основной таблице маршрутизации, задача не решабельна вообще.

И чей подход правильный?

 

 

На на самом деле глубоко класть на мифическую "правильность" подхода. Есть задача, и есть решение этой задачи. Если для решения нужно подить дополнительные сущности (врф, рут ликинг) - этот подход априори становится не правильным.

 

myst

у вас просто консервативный взгляд на вещи и вы напоминаете бабульку на крыльце, жалующуюся на жизнь или олдфаговского сисадмина, постоянно ноящего на тему "как было хорошо в фидо" и как "засрали его интернеты"

 

посмотрите как на ios-xr смотреть мак-таблицу и после этого "громоздкие" конструкции juniper не будут страшны

я до сих пор эту адскую команду с подсказками(1-2) нахожу. а учитывая то, что этот говна кусок не подсказывает имена бридж-группы и бридж-домена ещё и куча времени уходит

Никапли не консервативный. Я спустя неделю как джун впервые увидел, поставил его в работу на высоконагруженный ответственный проект. Подход джуна понятен и во много гораздо удобнее циски. Но есть вещи, которые на нем реализованы адово криво.

Выше я объяснил какие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто использует MX для терминирования pppoe?

У циски есть замечательная команда ip tcp adjust-mss 1452 для пппое интерфейсов, которая решает почти все проблемы с фрагментацией пакетов.

Для джунипера судя по ссылке ниже для этого необходимо иметь специальную MS плату. И при этом необходимо прогонять весь трафик через эту плату со всеми вытекающими отсюда последствиями и ограничениями(например плата MS-MIC-16G только 9G трафика пропустить).

 

http://forums.junipe...480/td-p/229231

 

кто-то реализовывал это?

если это так, то для пппое и л2тп это большая беда.

Изменено пользователем alexusss

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да ладно вам, сейчас все роутеры сами делают этот tcp-mss-adjust. абонентов, которые подняли nat на iptables, но забыли сделать adjust tcp-mss менее 1%. просто ради интереса отсниферите tcp.syn-ы и убедитесь что с tcp.mss=1460 очень мало абонентов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отлично. next-hop это вполне типовая задача. В циске это решается двумя сущностями, ACL + роутмэп.
а что если ACL должен быть динамическим, исходя из того что приехало в bgp/isis/ospf ? по крону раз в надцать минут ходить обновлять ацл, снимая и одевая назад политику ?
В джунипере это решается анальным извращением типа ВРФ.
в J просто ликаешь нужные маршруты в врф и оно всё ок сразу работает.
Причем, если оставлять все интерфейсы в основной таблице маршрутизации, задача не решабельна вообще.
то о чем здесь речь это ri type forwarding. он не требует добавления интерфейсов в ri:
forwarding—Provide support for filter-based forwarding, where interfaces are not associated with instances. All interfaces belong to the default instance. Other instances are used for populating RPD learned routes. For this instance type, there is no one-to-one mapping between an interface and a routing instance. All interfaces belong to the default instance inet.0.
рекомендую читать документацию.

 

не знаю как на asr'ах, но на всём старом легаси булшите от циске, попытка сделать пбр с исключениями и динамикой всегда приводила к аду: то ткам кончится, то тормозит, то еще какая напасть. в J не плодил сущностей, он просто сделал то чем на самом деле и является такой пбр - таблицей маршрутизации. например, если у тебя есть блок статических сетей от оператора, пачка своих сетей и апстримов, а так же пачка маршрутизаторов своих, то нужно просто фильтром по srcip закинуть статические сети в ri, куда слить дефолт на оператора, чьи это сети, а с динамикой залить свои сети с сайтов. итого есть связность с сайтами, трафик ходит куда надо, всё оки и просто. как это будет выглядеть на поросшей мхом 7600 я даже думать не хочу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.