Jump to content
Калькуляторы

MS-MIC-16G MS-MIC-16G ids session-limits?

Приветствую!

 

Стоит у нас на тесте MX5 + MS-MIC-16G.

В процессе тестирования ната возник вопрос по данной карте.

Граждане, кто в теме, отзовитесь.

 

# run show extension-provider system packages
Interface: ms-0/2/0
jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.2R4.6]
jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.2R4.6]
jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.2R4.6]
jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.2R4.6]

Хотим ограничивать session-limit для подписчиков, с целью сберечь ресурсы карты, для примера делаем так:

# show services ids                                   
rule nat_max_flows {
   match-direction input;
   term term10 {
       then {
           session-limit {
               by-source {
                   maximum 800;
               }
           }
       }
   }
}
# show services service-set max_flows                                               
ids-rules nat_max_flows;
interface-service {
   service-interface ms-0/2/0;
}

При проверке конфигурации:

# commit check
[edit services]
 'service-set max_flows'
   ms-interface can't be used for junos services
error: configuration check-out failed

Означает ли это, что MS-MIC-16G не умеет IDS?

Или может не хватает лицензии?

Во всех даташитах в service-interface исключительно sp-*/*/*. А у нас на борту его нет.

Если указать service-interface sp-0/2/0; коммит проходит нормально, но при попытке повесить связанный динамический профиль на подписчика, данные не идут.

 

При обсуждении в irc товарищи посоветовали ограничивать в конфигурации ната по количеству выделяемых портов max-blocks-per-user. Это видится каким-то выходом из ситуации.

Однако хочется выяснить, возможно ли ограничение ids session-limit или нет.

Edited by Charlie

Share this post


Link to post
Share on other sites

ну PBA как вариант да

 

или

 

такого нету у вас?

set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ?

Possible completions:

<max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000)

Share this post


Link to post
Share on other sites

такого нету у вас?

set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ?

Possible completions:

<max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000)

Такое есть, это уже лучше.

Но хотелось бы вешать ограничение на конкретные типы трафика, например на udp.

 

Прошла информация, что IDP/IDS MS-MIC еще не умеет.

Видимо, придется ждать новых версий junos.

Edited by Charlie

Share this post


Link to post
Share on other sites

MS-MPC тоже не умеет. + PBA не хочет

admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300

[edit]
admin@m9_mx480# commit check
error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1
error: configuration check-out failed

[edit]
admin@m9_mx480#

 


admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation

[edit]
admin@m9_mx480# commit check
[edit services nat rule r1 term t1 then translated source-pool]
 'source-pool POOL1'
   Deterministic source pool must be used with deterministic-napt44 rule only
error: configuration check-out failed: (statements constraint check failed)

[edit]

Share this post


Link to post
Share on other sites

Прошла информация, что IDP/IDS MS-MIC еще не умеет.

Видимо, придется ждать новых версий junos.

 

Да, мне то же самое сообщили, что пока еще feature parity нет и MS-MIC/MS-MPC еще будут какое-то время догонять по фичам MS-DPC.

 

Я и сам IDS жду с нетерпением. Каких-либо железных ограничений нет, в конце концов там просто многокорковый MIPS с FBSD и кучей тредов-обработчиков, но пока еще напишут и протестируют....Ну и придется погулять по граблям свежим версиям софта какое-то время. 8-/

 

MS-MPC тоже не умеет.

К слову о многокорковых MIPS-ах. А не покажете с MS-MPC вот такое ?

show extension-provider system processes | match "idle: cpu" | count

Любопытно :-) На MS-MIC их 32, из которых 28, похоже, под обработку, остальное под систему. Этакий SRX внутри MX-а.

 

 

PS: На последнем софте, если что, этого все еще нет. Ругается на commit check ровно так же, хотя фич по сравнению с 13.2 добавили:

 

> show extension-provider system packages

Interface: ms-0/2/0

jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.3R2.7]

jservices-crypto-base-xlp64 JUNOS Services Crypto Base PIC package [13.3R2.7]

jservices-ipsec-xlp64 JUNOS Services IPSec PIC package [13.3R2.7]

jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.3R2.7]

jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.3R2.7]

jservices-rpm-xlp64 JUNOS Services RPM PIC package (xlp64) [13.3R2.7]

jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.3R2.7]

Edited by twh.mega

Share this post


Link to post
Share on other sites

MS-MPC тоже не умеет. + PBA не хочет

admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300

[edit]
admin@m9_mx480# commit check
error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1
error: configuration check-out failed

[edit]
admin@m9_mx480#

 


admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation

[edit]
admin@m9_mx480# commit check
[edit services nat rule r1 term t1 then translated source-pool]
 'source-pool POOL1'
   Deterministic source pool must be used with deterministic-napt44 rule only
error: configuration check-out failed: (statements constraint check failed)

[edit]

 

Кстати PBA работает на версии 15.1R4 - c MS-MIC-16G

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.