Charlie Posted April 23, 2014 (edited) Приветствую! Стоит у нас на тесте MX5 + MS-MIC-16G. В процессе тестирования ната возник вопрос по данной карте. Граждане, кто в теме, отзовитесь. # run show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.2R4.6] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.2R4.6] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.2R4.6] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.2R4.6] Хотим ограничивать session-limit для подписчиков, с целью сберечь ресурсы карты, для примера делаем так: # show services ids rule nat_max_flows { match-direction input; term term10 { then { session-limit { by-source { maximum 800; } } } } } # show services service-set max_flows ids-rules nat_max_flows; interface-service { service-interface ms-0/2/0; } При проверке конфигурации: # commit check [edit services] 'service-set max_flows' ms-interface can't be used for junos services error: configuration check-out failed Означает ли это, что MS-MIC-16G не умеет IDS? Или может не хватает лицензии? Во всех даташитах в service-interface исключительно sp-*/*/*. А у нас на борту его нет. Если указать service-interface sp-0/2/0; коммит проходит нормально, но при попытке повесить связанный динамический профиль на подписчика, данные не идут. При обсуждении в irc товарищи посоветовали ограничивать в конфигурации ната по количеству выделяемых портов max-blocks-per-user. Это видится каким-то выходом из ситуации. Однако хочется выяснить, возможно ли ограничение ids session-limit или нет. Edited April 23, 2014 by Charlie Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
short Posted April 23, 2014 ну PBA как вариант да или такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Charlie Posted April 23, 2014 (edited) такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Такое есть, это уже лучше. Но хотелось бы вешать ограничение на конкретные типы трафика, например на udp. Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Edited April 24, 2014 by Charlie Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted June 9, 2014 MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
twh.mega Posted June 11, 2014 (edited) Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Да, мне то же самое сообщили, что пока еще feature parity нет и MS-MIC/MS-MPC еще будут какое-то время догонять по фичам MS-DPC. Я и сам IDS жду с нетерпением. Каких-либо железных ограничений нет, в конце концов там просто многокорковый MIPS с FBSD и кучей тредов-обработчиков, но пока еще напишут и протестируют....Ну и придется погулять по граблям свежим версиям софта какое-то время. 8-/ MS-MPC тоже не умеет. К слову о многокорковых MIPS-ах. А не покажете с MS-MPC вот такое ? show extension-provider system processes | match "idle: cpu" | count Любопытно :-) На MS-MIC их 32, из которых 28, похоже, под обработку, остальное под систему. Этакий SRX внутри MX-а. PS: На последнем софте, если что, этого все еще нет. Ругается на commit check ровно так же, хотя фич по сравнению с 13.2 добавили: > show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.3R2.7] jservices-crypto-base-xlp64 JUNOS Services Crypto Base PIC package [13.3R2.7] jservices-ipsec-xlp64 JUNOS Services IPSec PIC package [13.3R2.7] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.3R2.7] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.3R2.7] jservices-rpm-xlp64 JUNOS Services RPM PIC package (xlp64) [13.3R2.7] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.3R2.7] Edited June 11, 2014 by twh.mega Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted June 24, 2014 show extension-provider system processes | match "idle: cpu" | count admin@m9_mx480> ... system processes | match "idle: cpu" | count Count: 128 lines admin@m9_mx480> Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
twh.mega Posted June 25, 2014 Спасибо, я примерно такое и предполагал, исходя из заявленных в datasheet значениях. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
_VLAD_ Posted November 29, 2016 MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Кстати PBA работает на версии 15.1R4 - c MS-MIC-16G Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...