[komper]

Доброго времени суток друзья!

 

Имеем двух провайдеров, в пике до 1гигабита трафик на одного провайдера, второй провайдер резерв.

Имеем 2 Juniper SRX240H которые будут смотреть каждый на своего провайдера.

Имеем 2 Juniper EX4200 как комутаторы ядра.

В доступе имеем 18 Juniper EX2200 которые смотрят на оба коммутатора ядра.

В прочем прилогаю схему. там лучше понятно...

 

Подскажите пожалуйста как настроить такую схему для одного AS и одной подсети IPV4/24

[NikBSDOpen]

eBGP наружу+iBGP между двумя SRX + OSPF на коммутатор. Да, еще не забыть перевести SRX в пакетный режим, если не хочется с "полиси" ковыряться.

Надеюсь вы не будете full route table у своих апстримов брать, так как железка примет только 64к маршрутов, не забудте на всякий случай отфильтровать все префиксы, кроме дефолта.

 

По характеристикам SRX240 может переварить только 500 Мбит/с IMIX трафика.

 

 

И еще если у вас Jun не корпоративный стандарт и вы еще не купили его, то лучше вместо двух SRX, один RedBack SE100 взять. Его вам за глаза хватит для всех ваших нужд за те же деньги.

[msdt]

Надеюсь вы не будете full route table у своих апстримов брать, так как железка примет только 64к маршрутов, не забудте на всякий случай отфильтровать все префиксы, кроме дефолта.

По характеристикам SRX240 может переварить только 500 Мбит/с IMIX трафика.

 

В спецификациях (http://www.juniper.net/us/en/local/pdf/datasheets/1000281-en.pdf) указано, что SRX240H может принять 600K маршрутов в BGP. То есть fullview осилит. Ну и производительность в packet mode будет больше, чем в режиме stateful firewall. На гигабит трафика скорее всего хватит.

[NikBSDOpen]

В спецификациях (http://www.juniper.n.../1000281-en.pdf) указано, что SRX240H может принять 600K маршрутов в BGP. То есть fullview осилит. Ну и производительность в packet mode будет больше, чем в режиме stateful firewall. На гигабит трафика скорее всего хватит.

 

Хм, раньше другую спецификацию наблюдал, в которой было указано 64к маршрутов, но спецификация спецификацией, а все же хотелось бы посмотреть на show chassis routing-engine в момент получения FV и немного после. Думаю если и взлетит, то после "флапа" минут 40 будет "очухиваться". И любопытно будет посмотреть на route advertising-protocol bgp. Анонсты префиксов сети не пойдут апстриму, опять сработает хлопушка и самое бестолковое в этом будет то, что RE интегрирован на MB и зайти на него даже консолью будет проблематично.

 

Хотя можно будет попробовать ограничивать прием префиксов поэтапно, по /23 сетку приблизительно 190к маршрутов.

 

Хотя я и большой сторонник можевельника, но в данной ситуации лучше в качестве пограничника взять SE100.

[msdt]

Хм, раньше другую спецификацию наблюдал, в которой было указано 64к маршрутов, но спецификация спецификацией, а все же хотелось бы посмотреть на show chassis routing-engine в момент получения FV и немного после. Думаю если и взлетит, то после "флапа" минут 40 будет "очухиваться". И любопытно будет посмотреть на route advertising-protocol bgp. Анонсты префиксов сети не пойдут апстриму, опять сработает хлопушка и самое бестолковое в этом будет то, что RE интегрирован на MB и зайти на него даже консолью будет проблематично.

 

Насколько я понимаю, в SRX240 для routing engine выделено одно ядро, для data plane - остальные три, и загрузка в одной подсистеме не оказывает критического влияния на другую. Когда у нас задосили SRX650, загрузка data plane была 100% и трафик практически не ходил, но на управлении им это не сказалось. Свободный SRX240 есть, появится fullview - можно будет попробовать протестировать, как он его переварит.

Edited December 14, 2012 by msdt

[NikBSDOpen]

У меня с одним их SRX650 похожая проблема была, но там RE вынесен отдельным модулем, не составило труда перегрузить модуль и еще SRX650 легко переваривает 2 FV. С младшими моделями таоке не "выгорит". И цена на SRX650 значительно выше чем на SE100.

 

Да, еще топикстартер не объяснил причину выбора именно SRX для пограничников. Будут ли использоваться IDP, если да, то кол-во маршрутов упадет в половину и "кусок" памяти в RE будет зарезервированнна под функции фильтрации(безопасности).

Edited December 14, 2012 by NikBSDOpen

[CityFox]

В спецификациях (http://www.juniper.n.../1000281-en.pdf) указано, что SRX240H может принять 600K маршрутов в BGP. То есть fullview осилит. Ну и производительность в packet mode будет больше, чем в режиме stateful firewall. На гигабит трафика скорее всего хватит.

 

Памяти для FV ему хватает, но ,по отзывам, он очень долго его переваривает.

На сколько я помню рекомендации Juniper - для реальной работы с FV нужен SRX650 или 550

 

В вашей схеме из двух SRX можно сделать mixed mode cluster.

[Elshad]

Ну и производительность в packet mode будет больше, чем в режиме stateful firewall.

 

Если не ошибаюсь, то в packet-mode NAT не поддерживается. Для NAT-а как раз flow-mode нужен. А НАТ я думаю нужен будет топикстартеру.

[komper]

Да нам достаточно от каждого принять по дефолту, bgp нужен только чтобы работать со своими провайдеро независимыми адресами. Ну и балансировать трафик между резервным и основным провайдером.

Спасибо.

[zi_rus]

не прошло и трех лет :D

[uxcr]

В спецификациях (http://www.juniper.n.../1000281-en.pdf) указано, что SRX240H может принять 600K маршрутов в BGP.

SRX240H<>SRX240H2, разные объёмы памяти, спека про второй.

[myst]

не забудте на всякий случай отфильтровать все префиксы, кроме дефолта.

Чем это поможет если железке ВДРУГ прилетит FV?

[uxcr]

Чем это поможет если железке ВДРУГ прилетит FV?

Придётся узнать про опцию "set protocols bgp keep none", например?