Jump to content
Калькуляторы

Оборудование Juniper Network. Отзывы, реальная производительность. Особенности, плюсы, минусы

Добрый день - не подскажите, есть ли возможность выгрузить образ JunOS с рабочего коммутатора, чтобы поставить его на другой?

Гугление результатов не дало.

P.s. В джунах не силен.

Как вариант - на рабочей железке втыкаете флешку, делаете

> request system snapshot partition media external

Потом на второй железке загружаетесь с этой флешки и делаете обратную операцию

> request system snapshot media internal 

Share this post


Link to post
Share on other sites

Mystray железка была удаленная, хотел слить по tftp. В любом случае, уже нашел на просторах интернета, перепрошил с флешки и все завелось. Спасибо.

Share this post


Link to post
Share on other sites

Может кто может более детально подсказать, какие есть подводные камни покупки такой железки БУ и какие могут быть последствия, ведь она требует периодического обновления сигнатур, без оф поддержки это явно не добиться.
зависит от того какие фичи вы хотите использовать. роутинг, мплс, ipsec'и и стейтфул файервол не требуют лицензий. для некоторых фич лицензий немного есть в коробке (для клиентского впна - 2 шт.).

так же для BGP RR нужна SRX-BGP-ADV-LTU. но в целом держать RR на srx мне никогда не требовалось. но тут уж все зависит от вашей сети. но лицензия дорогая: $3k по GPL.

Ну и в общем целом может есть, кто работал с ASA5515-X например и с SRX550 или 650? Что лучше выбрать?
я тут обычно топлю за J, поэтому да, SRX самый лучший файервол на рынке. просто потому что он еще и роутер ок, в отличии от конкурентов.
Как вообще лицензируются такие железки, или спрошу по другому, как можно получить без гемороя полный функционал и последние обновления?
про J: софт получить не проблема, если у вас есть железка. можно даже ее себе на аккаунт повесить, если J предоставить инвойсы и платежные документы по покупке оборудования на вторичном рынке. и даже потом можно саппорт на нее купить, если она, конечно, исправна. но надо быть готовым заплатить штраф за дырку в саппорте, если она такая есть. но обычно миллионов там не насчитывают.

подписки на антивирусы и идс лично я не покупал (нет нужды) и, вероятно, у вас ее тоже не будет, ибо для 650ого это не три копейки: антивирус касперь-софос почти $4k, идс-ипс/защита приложений - около $6k. это в GPL, но расчитывать на большие скидки для лицензий на оборудование со вторичных рынков я бы не стал. всяких разных лицензий и их бандлов там много, можете сами по изучать, цены я привел только для идс и антивируса для того чтобы осозновать их порядок.

про циску тут и так вам расскажут или вы сами знаете. :)

Share this post


Link to post
Share on other sites

Juniper MX80 не получатся реализовать схему Http-redirect для пользователей заблокированных по балансу.

Для подключения пользователей с положительным балансом используем фильтры:

 

set firewall family inet filter fltr-100Mb-NAT interface-specific

set firewall family inet filter fltr-100Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-100Mb-NAT term 1 then service-accounting

set firewall family inet filter fltr-100Mb-NAT term 1 then routing-instance NAT-RI

set firewall family inet filter fltr-100Mb-NAT term 2 then service-accounting

 

set firewall family inet filter fltr-50Mb-NAT interface-specific

set firewall family inet filter fltr-50Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-50Mb-NAT term 1 then policer plcr-100Mb

set firewall family inet filter fltr-50Mb-NAT term 1 then service-accounting

set firewall family inet filter fltr-50Mb-NAT term 2 then policer plcr-100Mb

set firewall family inet filter fltr-50Mb-NAT term 2 then service-accounting

 

set firewall policer plcr-100Mb logical-interface-policer

set firewall policer plcr-100Mb if-exceeding bandwidth-limit 1g

set firewall policer plcr-100Mb if-exceeding burst-size-limit 38400000

set firewall policer plcr-100Mb then discard

 

 

 

Для заблокированных по балансу пытались сделать через фильтр такого плана:

 

set firewall family inet filter fltr-http-redirect term 1 from source-prefix-list NAT-PREFIX-LIST

set firewall family inet filter fltr-http-redirect term 1 from protocol icmp

set firewall family inet filter fltr-http-redirect term 1 from port bootpc

set firewall family inet filter fltr-http-redirect term 1 from port dhcp

set firewall family inet filter fltr-http-redirect term 1 from port domain

set firewall family inet filter fltr-http-redirect term 1 from port netbios-ns

set firewall family inet filter fltr-http-redirect term 1 then policer plcr-8Mb

set firewall family inet filter fltr-http-redirect term 1 then count service_accept

set firewall family inet filter fltr-http-redirect term 1 then accept

set firewall family inet filter fltr-http-redirect term 2 from port http

set firewall family inet filter fltr-http-redirect term 2 then policer plcr-8Mb

set firewall family inet filter fltr-http-redirect term 2 then count redirected

set firewall family inet filter fltr-http-redirect term 2 then routing-instance http-redirect

set firewall family inet filter fltr-http-redirect term 3 then count else_discard

 

set firewall policer plcr-8Mb logical-interface-policer

set firewall policer plcr-8Mb if-exceeding bandwidth-limit 8m

set firewall policer plcr-8Mb if-exceeding burst-size-limit 1920000

set firewall policer plcr-8Mb then discard

 

set routing-instances http-redirect instance-type forwarding

set routing-instances http-redirect routing-options static route 0.0.0.0/0 next-hop xxx.xxx.xxx.xxx

 

Но данная схема не заработала.

Share this post


Link to post
Share on other sites

Ну и как ходит обратный трафик, тут нет ни фильтра (который должен разрешать трафик с port 80 и tcp established) ни информации как трафик обратно попадает по маршрутизации...

Share this post


Link to post
Share on other sites

Не получается найти инфу даже на сайте juniper, на mx-серии, в частности mx104 на встроенных 10g-интерфейсах доступен ли шейпинг по vlan-интерфейсам? и если доступен то как его включить? per-Unit Scheduling на интерфейс не срабатывает:

[edit interfaces xe-2/0/1]

youar@MX104_1# commit check

[edit interfaces]

'xe-2/0/1'

per-unit-scheduler is not valid on this interface

error: configuration check-out failed

Share this post


Link to post
Share on other sites

по опыту MX80 встроенные порты - это порты, которые должны смотреть на switch fabric и поэтому не имеют Q-чипа. следовательно не умеют H-QoS, т.е. 8 очередей на порт.

Share this post


Link to post
Share on other sites

Новая информация:

Поддержка очередизация и остальных механизмов H-QOS на встроенных портах mx104 появилась в релизе 16.1

 

Ниже описание этой software feature, и информация из release notes 16.1R1

(параграф Support for queuing features on built-in ports to provide customized traffic shaping services (MX80, MX104))

 

https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=7243&fn=Queuing+features+on+built-in+ports+to+provide+customized+traffic+shaping+services

 

http://www.juniper.net/techpubs/en_US/junos16.1/information-products/topic-collections/release-notes/16.1/junos-release-notes-16.1r1.pdf

Edited by Ancient

Share this post


Link to post
Share on other sites

А кто-нибудь использует converged CPCD на MX?

Что-то не получается запустить, пробовал Junos 15.1R5.5 , 16.2R1.6 , 17.1R1.8

Настраиваю так:

show services
captive-portal-content-delivery {
   profile P1 {
       dynamic;
   }
}
service-set SS1 {
   service-set-options {
       subscriber-awareness;
       routing-engine-services;
   }
   captive-portal-content-delivery-profile P1;
   interface-service {
       service-interface si-0/0/0.0;
   }
}

 

show dynamic-profiles HTTP-REDIRECT

variables {
   redirect-url mandatory;
}
interfaces {
   "$junos-interface-ifd-name" {
       unit "$junos-interface-unit" {
               service {
                   input {
                       service-set SS1 service-filter walled;
                   }
                   output {
                       service-set SS1 service-filter skip;
                   }
               }
           }
       }
   }
}
services {
   captive-portal-content-delivery {
       rule R1 {
           match-direction input;
           term 1 {
               then {
                   redirect "$redirect-url";
               }
           }
       }
   }
}

 

На абонента сервис накладывается:

run show dynamic-profile session service-id 5

 

HTTP-REDIRECT {
   interfaces {
       ge-0/0/0 {
           unit 3221225473 {
               family {
                   inet {
                       service {
                               service-set SS1 {
                               }
                           input service-filter walled;
                               service-set SS1 {
                               }
                           output service-filter skip;
                       }
                   }
               }
           }
       }
   }
   services {
       captive-portal-content-delivery {
           rule R1 {
               match-direction input;
               term 1 {
                   then {
                       redirect http://192.168.1.1;
                   }
               }
           }
       }
   }
}

Share this post


Link to post
Share on other sites

все так

думаю вот в чем дело

 

Converged CPCD supported from 16.1R4

 

https://kb.juniper.net/InfoCenter/index?page=content&id=KB31615

 

у меня на 16.1r4 срабатывает

Share this post


Link to post
Share on other sites

теперь опять все по другому

опять все по новому

 

16.1 будет eeol или типа того, даже не знаю как назвать теперь ))

а не как раньше .3/.4

 

так что фичапаритета тут не стоит по дефолту ожидать

Share this post


Link to post
Share on other sites

И снова я с вопросом к сообществу :)

Пустил на стенде dual-stack.

Вроде все работает, адреса раздаются, пинги идут.

Но ipv4 и ipv6 сессии авторизуются как разные абоненты.

 

ae0.3221225855 0x8100.4000 0x8100.3000 default:default

ae0.3221225856 172.17.1.2 ae0:4000-3000 default:default

ae0.3221225857 2001:db8::17 ipv6subscriber&ae0:4000-3000 default:default

В принципе ок.

Но вот полисер навешивается на каждую сессию свой, так что скорость у абонента фактически равна скорость ipv4+скорость ipv6, что не есть хорошо.

Вопрос соответственно такой, можно ли применять firewall filter не к абонентскому интерфейсу (ae0.3221225856, ae0.3221225856), а к интерфейсу ae0.3221225855, который типа underlying?

Share this post


Link to post
Share on other sites

interface-specific есть

 RATE-LIMIT {
       variables {
           var-bw mandatory;
           var-burst equals "round($var-bw/8)";
           var-ff-in uid;
           var-ff-ou;
           var-plr uid;
           var-ff-out uid;
       }
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-underlying-interface-unit" {
                   family inet {
                       filter {
                           input "$var-ff-in" precedence 50;
                           output "$var-ff-out" precedence 50;
                       }
                   }
               }
           }
       }
       firewall {
           family inet {
               filter "$var-ff-in" {
                   interface-specific;
                   term 1 {
                       then {
                           policer "$var-plr";
                           accept;
                       }
                   }
               }
               filter "$var-ff-out" {
                   interface-specific;
                   term 1 {
                       then {
                           policer "$var-plr";
                           accept;
                       }
                   }
               }
           }
           policer "$var-plr" {
               logical-interface-policer;
               if-exceeding {
                   bandwidth-limit "$var-bw";
                   burst-size-limit "$var-burst";
               }
               then discard;
           }
       }

Без него policer на stacked-vlan интерфейсах вообще не работает.

Вопрос: при этом по show interfaces ae0.3221225855 extensive должен ли полисер отображаться на "основном" интерфейсе, или он будет отображаться только на интерфейсе для ipv4 абонента и "действовать" на ipv6?

Edited by purecopper

Share this post


Link to post
Share on other sites

short

Не-а, не помогает :(

Навешиваю полисер на ipv4 абонента - режется только ipv6.

Тот же dynamic-profile (RATE-LIMIT) пытаюсь навесить на ipv6 абонента - получаю Error-Cause = Invalid-Request

Соответственно копирую RATE-LIMIT в RATE-LIMIT-V6 и навешиваю на ipv6 абонента - ipv6 режется, но скорость у абонента равна ipv4+ipv6.

Share this post


Link to post
Share on other sites

v_r

Скопировал не тот dynamic-profile :)

variables {
   var-bw mandatory;
   var-burst equals "round($var-bw/8)";
   var-ff-in uid;
   var-ff-ou;
   var-plr uid;
   var-ff-out uid;
}
interfaces {
   "$junos-interface-ifd-name" {
       unit "$junos-underlying-interface-unit" {
           family inet {
               filter {
                   input "$var-ff-in" precedence 50;
                   output "$var-ff-out" precedence 50;
               }
           }
           family inet6 {
               filter {
                   input "$var-ff-in" precedence 50;
                   output "$var-ff-out" precedence 50;
               }
           }
       }
   }
}
firewall {
   family inet {
       filter "$var-ff-in" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
       filter "$var-ff-out" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
   }
   family inet6 {
       filter "$var-ff-in" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
       filter "$var-ff-out" {
           interface-specific;
           term 1 {
               then {
                   policer "$var-plr";
                   accept;
               }
           }
       }
   }
   policer "$var-plr" {
       logical-interface-policer;
       if-exceeding {
           bandwidth-limit "$var-bw";
           burst-size-limit "$var-burst";
       }
       then discard;
   }
}

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.