purecopper

Активный участник
  • Публикаций

    279
  • Зарегистрирован

  • Посещение

Информация о purecopper

  • Звание
    Студент
  • День рождения

Контакты

  • ICQ
    0
  1. Коллеги приветствую. А кто-нибудь использует MS-MIC для ната? Пытаюсь настроить, но что-то не получается. Сейчас конфигурация выглядит так: show chassis fpc 1 pic 0 { inline-services { bandwidth 10g; } adaptive-services { service-package layer-3; } } show interfaces ms-1/0/0 unit 10 { family inet; service-domain inside; } unit 20 { family inet; service-domain outside; } show services nat pool NAT { address 1.1.1.0/24; port { automatic { random-allocation; } secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300; } address-allocation round-robin; } rule NAT-1 { match-direction input; term t1 { from { source-address { 10.228.8.0/22; } } then { translated { source-pool NAT; translation-type { napt-44; } address-pooling paired; } } } } show firewall family inet filter NAT interface-specific; term 10 { from { source-address { 10.228.8.0/22; } destination-address { 10.228.0.0/16; } } then accept; } term 100 { from { source-address { 10.228.8.0/22; } } then { routing-instance NAT; } } term 200 { then accept; } show dynamic-profiles NAT interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input NAT precedence 100; } } } } } show routing-instances NAT instance-type virtual-router; interface ms-1/0/0.10; routing-options { static { route 0.0.0.0/0 next-hop ms-1/0/0.10; route 10.228.8.0/24 next-table inet.0; } } Абонент с профилем NAT: run show subscribers Interface IP Address/VLAN ID User Name LS:RI demux0.3221225496 1000 default:default demux0.3221225496 10.228.10.254 ge-0/0/1:1000&000403E80018&010B7465737473776974636832 default:default Service Session ID: 12 Service Session Name: NAT Service Session Version: 1 State: Active Family: inet IPv4 Input Filter Name: NAT-demux0.3221225478-in Service Activation time: 2017-11-01 17:53:05 EET Со всеми этими настройками нат не случается. Точнее так . Нат происходит. На бордере при пинге 8.8.8.8 есть пакет исходящий из пула 1.1.1.0/24 на 8.8.8.8. От 8.8.8.8 есть ответ, а до клиента он не доходит. Проблема решена. Ошибся в маске в routing-instance.
  2. s.lobanov Как отписал выше, частично решаемо. На ревизии C1 решаемо. Функция rate-limit dhcp-запросов есть на свежих прошивках.
  3. s.lobanov Во время подобной проблемы общался с инженерами длинк. Делали и CPU ACL и "просто" ACL - не помогало ничего. Поднял переписку - точнее так. Спасает "просто" ACL на коммутаторе с проблемным абонентом (вырезаем весь ipv6). При этом на самом коммутаторе CPU utilization заметно увеличивается, но флуд дальше него не идет.
  4. Demiurgos ни через CPU ACL, ни через ACL не помогало.
  5. Ну, как уже сказали выше, возможен вариант фильтрации по ethertype на вышестоящем коммутаторе.
  6. На a1/b1 dhcpv6 не победить вообще никакими ACL. Не помогает даже фильтрация по ethertype. Единственное решение - C1 со свежими прошивками и config address_binding dhcp snooping ports
  7. Только Vmware Distributed switch. Он вроде мог QinQ. Но проще вынести QinQ на физический коммутатор.
  8. Коллеги, а кто-нибудь делал SPAN на MX? Возникла проблема - на зеркале вижу только ingress трафик. Настраиваю так: show forwarding-options analyzer MIRROR-UPLINK { input { ingress { interface ae1.15; interface xe-2/0/0.16; } egress { interface ae1.15; interface xe-2/0/0.16; } } output { interface xe-2/0/1.0; } } show interfaces xe-2/0/1 description MIRROR; disable; mtu 9192; encapsulation ethernet-bridge; unit 0; show bridge-domains MIRROR { interface xe-2/0/1.0; }
  9. Вам шашечки или ехать? вы объявили network /16, при этом пытаетесь скормить т.н. more-specific /24, да еще и indirect connected, т.е. static. Мне как-то давно попадалась статейка из серии "Best Practices" где через network анонсили сети как internal, но в той статейке это было применительно к direct connected сети, в то время как вы скармливаете static. Дык вот же оно у ТС: Вроде как оно должно улететь в IGP. Я могу ошибаться - сижу на джуне.
  10. QWE смысл - без команды redistribute распространить информацию о 172.18.0.0 в LSA 1.
  11. QWE там вроде как passive-interface default
  12. nousaibot После coa-disconnect устройство отправит новый discover и получит новый адрес.