[Charlie]

Приветствую!

 

Стоит у нас на тесте MX5 + MS-MIC-16G.

В процессе тестирования ната возник вопрос по данной карте.

Граждане, кто в теме, отзовитесь.

 

# run show extension-provider system packages
Interface: ms-0/2/0
jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.2R4.6]
jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.2R4.6]
jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.2R4.6]
jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.2R4.6]

Хотим ограничивать session-limit для подписчиков, с целью сберечь ресурсы карты, для примера делаем так:

# show services ids                                   
rule nat_max_flows {
   match-direction input;
   term term10 {
       then {
           session-limit {
               by-source {
                   maximum 800;
               }
           }
       }
   }
}
# show services service-set max_flows                                               
ids-rules nat_max_flows;
interface-service {
   service-interface ms-0/2/0;
}

При проверке конфигурации:

# commit check
[edit services]
 'service-set max_flows'
   ms-interface can't be used for junos services
error: configuration check-out failed

Означает ли это, что MS-MIC-16G не умеет IDS?

Или может не хватает лицензии?

Во всех даташитах в service-interface исключительно sp-*/*/*. А у нас на борту его нет.

Если указать service-interface sp-0/2/0; коммит проходит нормально, но при попытке повесить связанный динамический профиль на подписчика, данные не идут.

 

При обсуждении в irc товарищи посоветовали ограничивать в конфигурации ната по количеству выделяемых портов max-blocks-per-user. Это видится каким-то выходом из ситуации.

Однако хочется выяснить, возможно ли ограничение ids session-limit или нет.

Edited April 23, 2014 by Charlie

[short]

ну PBA как вариант да

 

или

 

такого нету у вас?

set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ?

Possible completions:

<max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000)

[Charlie]

такого нету у вас?

set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ?

Possible completions:

<max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000)

Такое есть, это уже лучше.

Но хотелось бы вешать ограничение на конкретные типы трафика, например на udp.

 

Прошла информация, что IDP/IDS MS-MIC еще не умеет.

Видимо, придется ждать новых версий junos.

Edited April 24, 2014 by Charlie

[rdntw]

MS-MPC тоже не умеет. + PBA не хочет

admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300

[edit]
admin@m9_mx480# commit check
error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1
error: configuration check-out failed

[edit]
admin@m9_mx480#

 

admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation

[edit]
admin@m9_mx480# commit check
[edit services nat rule r1 term t1 then translated source-pool]
 'source-pool POOL1'
   Deterministic source pool must be used with deterministic-napt44 rule only
error: configuration check-out failed: (statements constraint check failed)

[edit]

[twh.mega]

Прошла информация, что IDP/IDS MS-MIC еще не умеет.

Видимо, придется ждать новых версий junos.

 

Да, мне то же самое сообщили, что пока еще feature parity нет и MS-MIC/MS-MPC еще будут какое-то время догонять по фичам MS-DPC.

 

Я и сам IDS жду с нетерпением. Каких-либо железных ограничений нет, в конце концов там просто многокорковый MIPS с FBSD и кучей тредов-обработчиков, но пока еще напишут и протестируют....Ну и придется погулять по граблям свежим версиям софта какое-то время. 8-/

 

MS-MPC тоже не умеет.

К слову о многокорковых MIPS-ах. А не покажете с MS-MPC вот такое ?

show extension-provider system processes | match "idle: cpu" | count

Любопытно :-) На MS-MIC их 32, из которых 28, похоже, под обработку, остальное под систему. Этакий SRX внутри MX-а.

 

 

PS: На последнем софте, если что, этого все еще нет. Ругается на commit check ровно так же, хотя фич по сравнению с 13.2 добавили:

 

> show extension-provider system packages

Interface: ms-0/2/0

jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.3R2.7]

jservices-crypto-base-xlp64 JUNOS Services Crypto Base PIC package [13.3R2.7]

jservices-ipsec-xlp64 JUNOS Services IPSec PIC package [13.3R2.7]

jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.3R2.7]

jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.3R2.7]

jservices-rpm-xlp64 JUNOS Services RPM PIC package (xlp64) [13.3R2.7]

jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.3R2.7]

Edited June 11, 2014 by twh.mega

[rdntw]

show extension-provider system processes | match "idle: cpu" | count

admin@m9_mx480> ... system processes | match "idle: cpu" | count

Count: 128 lines

 

admin@m9_mx480>

[twh.mega]

Спасибо, я примерно такое и предполагал, исходя из заявленных в datasheet значениях.

[_VLAD_]

MS-MPC тоже не умеет. + PBA не хочет

admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300

[edit]
admin@m9_mx480# commit check
error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1
error: configuration check-out failed

[edit]
admin@m9_mx480#

 

admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation

[edit]
admin@m9_mx480# commit check
[edit services nat rule r1 term t1 then translated source-pool]
 'source-pool POOL1'
   Deterministic source pool must be used with deterministic-napt44 rule only
error: configuration check-out failed: (statements constraint check failed)

[edit]

 

Кстати PBA работает на версии 15.1R4 - c MS-MIC-16G