Charlie Posted April 23, 2014 (edited) Приветствую! Стоит у нас на тесте MX5 + MS-MIC-16G. В процессе тестирования ната возник вопрос по данной карте. Граждане, кто в теме, отзовитесь. # run show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.2R4.6] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.2R4.6] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.2R4.6] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.2R4.6] Хотим ограничивать session-limit для подписчиков, с целью сберечь ресурсы карты, для примера делаем так: # show services ids rule nat_max_flows { match-direction input; term term10 { then { session-limit { by-source { maximum 800; } } } } } # show services service-set max_flows ids-rules nat_max_flows; interface-service { service-interface ms-0/2/0; } При проверке конфигурации: # commit check [edit services] 'service-set max_flows' ms-interface can't be used for junos services error: configuration check-out failed Означает ли это, что MS-MIC-16G не умеет IDS? Или может не хватает лицензии? Во всех даташитах в service-interface исключительно sp-*/*/*. А у нас на борту его нет. Если указать service-interface sp-0/2/0; коммит проходит нормально, но при попытке повесить связанный динамический профиль на подписчика, данные не идут. При обсуждении в irc товарищи посоветовали ограничивать в конфигурации ната по количеству выделяемых портов max-blocks-per-user. Это видится каким-то выходом из ситуации. Однако хочется выяснить, возможно ли ограничение ids session-limit или нет. Edited April 23, 2014 by Charlie Share this post Link to post Share on other sites More sharing options...
short Posted April 23, 2014 ну PBA как вариант да или такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Share this post Link to post Share on other sites More sharing options...
Charlie Posted April 23, 2014 (edited) такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Такое есть, это уже лучше. Но хотелось бы вешать ограничение на конкретные типы трафика, например на udp. Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Edited April 24, 2014 by Charlie Share this post Link to post Share on other sites More sharing options...
rdntw Posted June 9, 2014 MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Share this post Link to post Share on other sites More sharing options...
twh.mega Posted June 11, 2014 (edited) Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Да, мне то же самое сообщили, что пока еще feature parity нет и MS-MIC/MS-MPC еще будут какое-то время догонять по фичам MS-DPC. Я и сам IDS жду с нетерпением. Каких-либо железных ограничений нет, в конце концов там просто многокорковый MIPS с FBSD и кучей тредов-обработчиков, но пока еще напишут и протестируют....Ну и придется погулять по граблям свежим версиям софта какое-то время. 8-/ MS-MPC тоже не умеет. К слову о многокорковых MIPS-ах. А не покажете с MS-MPC вот такое ? show extension-provider system processes | match "idle: cpu" | count Любопытно :-) На MS-MIC их 32, из которых 28, похоже, под обработку, остальное под систему. Этакий SRX внутри MX-а. PS: На последнем софте, если что, этого все еще нет. Ругается на commit check ровно так же, хотя фич по сравнению с 13.2 добавили: > show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.3R2.7] jservices-crypto-base-xlp64 JUNOS Services Crypto Base PIC package [13.3R2.7] jservices-ipsec-xlp64 JUNOS Services IPSec PIC package [13.3R2.7] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.3R2.7] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.3R2.7] jservices-rpm-xlp64 JUNOS Services RPM PIC package (xlp64) [13.3R2.7] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.3R2.7] Edited June 11, 2014 by twh.mega Share this post Link to post Share on other sites More sharing options...
rdntw Posted June 24, 2014 show extension-provider system processes | match "idle: cpu" | count admin@m9_mx480> ... system processes | match "idle: cpu" | count Count: 128 lines admin@m9_mx480> Share this post Link to post Share on other sites More sharing options...
twh.mega Posted June 25, 2014 Спасибо, я примерно такое и предполагал, исходя из заявленных в datasheet значениях. Share this post Link to post Share on other sites More sharing options...
_VLAD_ Posted November 29, 2016 MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Кстати PBA работает на версии 15.1R4 - c MS-MIC-16G Share this post Link to post Share on other sites More sharing options...
