Перейти к содержимому
Калькуляторы

Оборудование Juniper Network. Отзывы, реальная производительность. Особенности, плюсы, минусы

Тогда с сайта тяните или с торентов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день - не подскажите, есть ли возможность выгрузить образ JunOS с рабочего коммутатора, чтобы поставить его на другой?

Гугление результатов не дало.

P.s. В джунах не силен.

Как вариант - на рабочей железке втыкаете флешку, делаете

> request system snapshot partition media external

Потом на второй железке загружаетесь с этой флешки и делаете обратную операцию

> request system snapshot media internal 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mystray железка была удаленная, хотел слить по tftp. В любом случае, уже нашел на просторах интернета, перепрошил с флешки и все завелось. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто может более детально подсказать, какие есть подводные камни покупки такой железки БУ и какие могут быть последствия, ведь она требует периодического обновления сигнатур, без оф поддержки это явно не добиться.
зависит от того какие фичи вы хотите использовать. роутинг, мплс, ipsec'и и стейтфул файервол не требуют лицензий. для некоторых фич лицензий немного есть в коробке (для клиентского впна - 2 шт.).

так же для BGP RR нужна SRX-BGP-ADV-LTU. но в целом держать RR на srx мне никогда не требовалось. но тут уж все зависит от вашей сети. но лицензия дорогая: $3k по GPL.

Ну и в общем целом может есть, кто работал с ASA5515-X например и с SRX550 или 650? Что лучше выбрать?
я тут обычно топлю за J, поэтому да, SRX самый лучший файервол на рынке. просто потому что он еще и роутер ок, в отличии от конкурентов.
Как вообще лицензируются такие железки, или спрошу по другому, как можно получить без гемороя полный функционал и последние обновления?
про J: софт получить не проблема, если у вас есть железка. можно даже ее себе на аккаунт повесить, если J предоставить инвойсы и платежные документы по покупке оборудования на вторичном рынке. и даже потом можно саппорт на нее купить, если она, конечно, исправна. но надо быть готовым заплатить штраф за дырку в саппорте, если она такая есть. но обычно миллионов там не насчитывают.

подписки на антивирусы и идс лично я не покупал (нет нужды) и, вероятно, у вас ее тоже не будет, ибо для 650ого это не три копейки: антивирус касперь-софос почти $4k, идс-ипс/защита приложений - около $6k. это в GPL, но расчитывать на большие скидки для лицензий на оборудование со вторичных рынков я бы не стал. всяких разных лицензий и их бандлов там много, можете сами по изучать, цены я привел только для идс и антивируса для того чтобы осозновать их порядок.

про циску тут и так вам расскажут или вы сами знаете. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper MX80 не получатся реализовать схему Http-redirect для пользователей заблокированных по балансу.

Для подключения пользователей с положительным балансом используем фильтры:

 

set firewall family inet filter fltr-100Mb-NAT interface-specific

set firewall family inet filter fltr-100Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-100Mb-NAT term 1 then service-accounting

set firewall family inet filter fltr-100Mb-NAT term 1 then routing-instance NAT-RI

set firewall family inet filter fltr-100Mb-NAT term 2 then service-accounting

 

set firewall family inet filter fltr-50Mb-NAT interface-specific

set firewall family inet filter fltr-50Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-50Mb-NAT term 1 then policer plcr-100Mb

set firewall family inet filter fltr-50Mb-NAT term 1 then service-accounting

set firewall family inet filter fltr-50Mb-NAT term 2 then policer plcr-100Mb

set firewall family inet filter fltr-50Mb-NAT term 2 then service-accounting

 

set firewall policer plcr-100Mb logical-interface-policer

set firewall policer plcr-100Mb if-exceeding bandwidth-limit 1g

set firewall policer plcr-100Mb if-exceeding burst-size-limit 38400000

set firewall policer plcr-100Mb then discard

 

 

 

Для заблокированных по балансу пытались сделать через фильтр такого плана:

 

set firewall family inet filter fltr-http-redirect term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-http-redirect term 1 from protocol icmp

set firewall family inet filter fltr-http-redirect term 1 from port bootpc

set firewall family inet filter fltr-http-redirect term 1 from port dhcp

set firewall family inet filter fltr-http-redirect term 1 from port domain

set firewall family inet filter fltr-http-redirect term 1 from port netbios-ns

set firewall family inet filter fltr-http-redirect term 1 then policer plcr-8Mb

set firewall family inet filter fltr-http-redirect term 1 then count service_accept

set firewall family inet filter fltr-http-redirect term 1 then accept

set firewall family inet filter fltr-http-redirect term 2 from port http

set firewall family inet filter fltr-http-redirect term 2 then policer plcr-8Mb

set firewall family inet filter fltr-http-redirect term 2 then count redirected

set firewall family inet filter fltr-http-redirect term 2 then routing-instance http-redirect

set firewall family inet filter fltr-http-redirect term 3 then count else_discard

 

set firewall policer plcr-8Mb logical-interface-policer

set firewall policer plcr-8Mb if-exceeding bandwidth-limit 8m

set firewall policer plcr-8Mb if-exceeding burst-size-limit 1920000

set firewall policer plcr-8Mb then discard

 

set routing-instances http-redirect instance-type forwarding

set routing-instances http-redirect routing-options static route 0.0.0.0/0 next-hop xxx.xxx.xxx.xxx

 

Но данная схема не заработала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А дефолт в routing-instance http-redirect активен? Или он hidden из-за недоступности next-hop? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и как ходит обратный трафик, тут нет ни фильтра (который должен разрешать трафик с port 80 и tcp established) ни информации как трафик обратно попадает по маршрутизации...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не получается найти инфу даже на сайте juniper, на mx-серии, в частности mx104 на встроенных 10g-интерфейсах доступен ли шейпинг по vlan-интерфейсам? и если доступен то как его включить? per-Unit Scheduling на интерфейс не срабатывает:

[edit interfaces xe-2/0/1]

youar@MX104_1# commit check

[edit interfaces]

'xe-2/0/1'

per-unit-scheduler is not valid on this interface

error: configuration check-out failed

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по опыту MX80 встроенные порты - это порты, которые должны смотреть на switch fabric и поэтому не имеют Q-чипа. следовательно не умеют H-QoS, т.е. 8 очередей на порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Новая информация:

Поддержка очередизация и остальных механизмов H-QOS на встроенных портах mx104 появилась в релизе 16.1

 

Ниже описание этой software feature, и информация из release notes 16.1R1

(параграф Support for queuing features on built-in ports to provide customized traffic shaping services (MX80, MX104))

 

https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=7243&fn=Queuing+features+on+built-in+ports+to+provide+customized+traffic+shaping+services

 

http://www.juniper.net/techpubs/en_US/junos16.1/information-products/topic-collections/release-notes/16.1/junos-release-notes-16.1r1.pdf

Изменено пользователем Ancient

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто-нибудь использует converged CPCD на MX?

Что-то не получается запустить, пробовал Junos 15.1R5.5 , 16.2R1.6 , 17.1R1.8

Настраиваю так:

show services
captive-portal-content-delivery {
   profile P1 {
       dynamic;
   }
}
service-set SS1 {
   service-set-options {
       subscriber-awareness;
       routing-engine-services;
   }
   captive-portal-content-delivery-profile P1;
   interface-service {
       service-interface si-0/0/0.0;
   }
}

 

show dynamic-profiles HTTP-REDIRECT

variables {
   redirect-url mandatory;
}
interfaces {
   "$junos-interface-ifd-name" {
       unit "$junos-interface-unit" {
               service {
                   input {
                       service-set SS1 service-filter walled;
                   }
                   output {
                       service-set SS1 service-filter skip;
                   }
               }
           }
       }
   }
}
services {
   captive-portal-content-delivery {
       rule R1 {
           match-direction input;
           term 1 {
               then {
                   redirect "$redirect-url";
               }
           }
       }
   }
}

 

На абонента сервис накладывается:

run show dynamic-profile session service-id 5

 

HTTP-REDIRECT {
   interfaces {
       ge-0/0/0 {
           unit 3221225473 {
               family {
                   inet {
                       service {
                               service-set SS1 {
                               }
                           input service-filter walled;
                               service-set SS1 {
                               }
                           output service-filter skip;
                       }
                   }
               }
           }
       }
   }
   services {
       captive-portal-content-delivery {
           rule R1 {
               match-direction input;
               term 1 {
                   then {
                       redirect http://192.168.1.1;
                   }
               }
           }
       }
   }
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все так

думаю вот в чем дело

 

Converged CPCD supported from 16.1R4

 

https://kb.juniper.net/InfoCenter/index?page=content&id=KB31615

 

у меня на 16.1r4 срабатывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так вроде на 16.2R1.6 должно работать... Или я что-о не понимаю в junos? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

теперь опять все по другому

опять все по новому

 

16.1 будет eeol или типа того, даже не знаю как назвать теперь ))

а не как раньше .3/.4

 

так что фичапаритета тут не стоит по дефолту ожидать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

short

А вот Вы правы :)

Прошился на 16.1 и всё заработало :)

Спасибо!

Изменено пользователем purecopper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И снова я с вопросом к сообществу :)

Пустил на стенде dual-stack.

Вроде все работает, адреса раздаются, пинги идут.

Но ipv4 и ipv6 сессии авторизуются как разные абоненты.

 

ae0.3221225855 0x8100.4000 0x8100.3000 default:default

ae0.3221225856 172.17.1.2 ae0:4000-3000 default:default

ae0.3221225857 2001:db8::17 ipv6subscriber&ae0:4000-3000 default:default

В принципе ок.

Но вот полисер навешивается на каждую сессию свой, так что скорость у абонента фактически равна скорость ipv4+скорость ipv6, что не есть хорошо.

Вопрос соответственно такой, можно ли применять firewall filter не к абонентскому интерфейсу (ae0.3221225856, ae0.3221225856), а к интерфейсу ae0.3221225855, который типа underlying?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На обычных интерфейсах это делается добавлением interface-specific в фильтр, вот документация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

interface-specific есть

 RATE-LIMIT {
       variables {
           var-bw mandatory;
           var-burst equals "round($var-bw/8)";
           var-ff-in uid;
           var-ff-ou;
           var-plr uid;
           var-ff-out uid;
       }
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-underlying-interface-unit" {
                   family inet {
                       filter {
                           input "$var-ff-in" precedence 50;
                           output "$var-ff-out" precedence 50;
                       }
                   }
               }
           }
       }
       firewall {
           family inet {
               filter "$var-ff-in" {
                   interface-specific;
                   term 1 {
                       then {
                           policer "$var-plr";
                           accept;
                       }
                   }
               }
               filter "$var-ff-out" {
                   interface-specific;
                   term 1 {
                       then {
                           policer "$var-plr";
                           accept;
                       }
                   }
               }
           }
           policer "$var-plr" {
               logical-interface-policer;
               if-exceeding {
                   bandwidth-limit "$var-bw";
                   burst-size-limit "$var-burst";
               }
               then discard;
           }
       }

Без него policer на stacked-vlan интерфейсах вообще не работает.

Вопрос: при этом по show interfaces ae0.3221225855 extensive должен ли полисер отображаться на "основном" интерфейсе, или он будет отображаться только на интерфейсе для ipv4 абонента и "действовать" на ipv6?

Изменено пользователем purecopper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

logical interface policer

вроде должен помочь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

short

Не-а, не помогает :(

Навешиваю полисер на ipv4 абонента - режется только ipv6.

Тот же dynamic-profile (RATE-LIMIT) пытаюсь навесить на ipv6 абонента - получаю Error-Cause = Invalid-Request

Соответственно копирую RATE-LIMIT в RATE-LIMIT-V6 и навешиваю на ipv6 абонента - ipv6 режется, но скорость у абонента равна ipv4+ipv6.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так у вас family inet filter, а для IPv6 надо family inet6 filter, или family any filter.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

v_r

Скопировал не тот dynamic-profile :)

variables {
   var-bw mandatory;
   var-burst equals "round($var-bw/8)";
   var-ff-in uid;
   var-ff-ou;
   var-plr uid;
   var-ff-out uid;
}
interfaces {
   "$junos-interface-ifd-name" {
       unit "$junos-underlying-interface-unit" {
           family inet {
               filter {
                   input "$var-ff-in" precedence 50;
                   output "$var-ff-out" precedence 50;
               }
           }
           family inet6 {
               filter {
                   input "$var-ff-in" precedence 50;
                   output "$var-ff-out" precedence 50;
               }
           }
       }
   }
}
firewall {
   family inet {
       filter "$var-ff-in" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
       filter "$var-ff-out" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
   }
   family inet6 {
       filter "$var-ff-in" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
       filter "$var-ff-out" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
   }
   policer "$var-plr" {
       logical-interface-policer;
       if-exceeding {
           bandwidth-limit "$var-bw";
           burst-size-limit "$var-burst";
       }
       then discard;
   }
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда вероятно вам поможет layer2-policer назначенный на логический интерфейс, не на family.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

v_r скорее всего нет, он же только output :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.