Charlie Опубликовано 23 апреля, 2014 (изменено) · Жалоба Приветствую! Стоит у нас на тесте MX5 + MS-MIC-16G. В процессе тестирования ната возник вопрос по данной карте. Граждане, кто в теме, отзовитесь. # run show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.2R4.6] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.2R4.6] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.2R4.6] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.2R4.6] Хотим ограничивать session-limit для подписчиков, с целью сберечь ресурсы карты, для примера делаем так: # show services ids rule nat_max_flows { match-direction input; term term10 { then { session-limit { by-source { maximum 800; } } } } } # show services service-set max_flows ids-rules nat_max_flows; interface-service { service-interface ms-0/2/0; } При проверке конфигурации: # commit check [edit services] 'service-set max_flows' ms-interface can't be used for junos services error: configuration check-out failed Означает ли это, что MS-MIC-16G не умеет IDS? Или может не хватает лицензии? Во всех даташитах в service-interface исключительно sp-*/*/*. А у нас на борту его нет. Если указать service-interface sp-0/2/0; коммит проходит нормально, но при попытке повесить связанный динамический профиль на подписчика, данные не идут. При обсуждении в irc товарищи посоветовали ограничивать в конфигурации ната по количеству выделяемых портов max-blocks-per-user. Это видится каким-то выходом из ситуации. Однако хочется выяснить, возможно ли ограничение ids session-limit или нет. Изменено 23 апреля, 2014 пользователем Charlie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 23 апреля, 2014 · Жалоба ну PBA как вариант да или такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Charlie Опубликовано 23 апреля, 2014 (изменено) · Жалоба такого нету у вас? set services service-set SS_NAT_SP-2-1-0 nat-options max-sessions-per-subscriber ? Possible completions: <max-sessions-per-subscriber> Limit the number of sessions per subscriber (applicable only for NAPT-44) (1..32000) Такое есть, это уже лучше. Но хотелось бы вешать ограничение на конкретные типы трафика, например на udp. Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Изменено 24 апреля, 2014 пользователем Charlie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 9 июня, 2014 · Жалоба MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
twh.mega Опубликовано 11 июня, 2014 (изменено) · Жалоба Прошла информация, что IDP/IDS MS-MIC еще не умеет. Видимо, придется ждать новых версий junos. Да, мне то же самое сообщили, что пока еще feature parity нет и MS-MIC/MS-MPC еще будут какое-то время догонять по фичам MS-DPC. Я и сам IDS жду с нетерпением. Каких-либо железных ограничений нет, в конце концов там просто многокорковый MIPS с FBSD и кучей тредов-обработчиков, но пока еще напишут и протестируют....Ну и придется погулять по граблям свежим версиям софта какое-то время. 8-/ MS-MPC тоже не умеет. К слову о многокорковых MIPS-ах. А не покажете с MS-MPC вот такое ? show extension-provider system processes | match "idle: cpu" | count Любопытно :-) На MS-MIC их 32, из которых 28, похоже, под обработку, остальное под систему. Этакий SRX внутри MX-а. PS: На последнем софте, если что, этого все еще нет. Ругается на commit check ровно так же, хотя фич по сравнению с 13.2 добавили: > show extension-provider system packages Interface: ms-0/2/0 jservices-alg-xlp64 JUNOS Services Application Level Gateway (xlp64) [13.3R2.7] jservices-crypto-base-xlp64 JUNOS Services Crypto Base PIC package [13.3R2.7] jservices-ipsec-xlp64 JUNOS Services IPSec PIC package [13.3R2.7] jservices-jflow-xlp64 JUNOS Services JFLOW PIC package (xlp64) [13.3R2.7] jservices-nat-xlp64 JUNOS Services NAT PIC package (xlp64) [13.3R2.7] jservices-rpm-xlp64 JUNOS Services RPM PIC package (xlp64) [13.3R2.7] jservices-sfw-xlp64 JUNOS Services Stateful Firewall PIC package (xlp64) [13.3R2.7] Изменено 11 июня, 2014 пользователем twh.mega Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 24 июня, 2014 · Жалоба show extension-provider system processes | match "idle: cpu" | count admin@m9_mx480> ... system processes | match "idle: cpu" | count Count: 128 lines admin@m9_mx480> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
twh.mega Опубликовано 25 июня, 2014 · Жалоба Спасибо, я примерно такое и предполагал, исходя из заявленных в datasheet значениях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_VLAD_ Опубликовано 29 ноября, 2016 · Жалоба MS-MPC тоже не умеет. + PBA не хочет admin@m9_mx480# set services nat pool POOL1 port secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300 [edit] admin@m9_mx480# commit check error: ms-interface does not support PBA and Deterministic NAT configuration for pool POOL1 error: configuration check-out failed [edit] admin@m9_mx480# admin@m9_mx480# set services nat pool POOL1 port deterministic-port-block-allocation [edit] admin@m9_mx480# commit check [edit services nat rule r1 term t1 then translated source-pool] 'source-pool POOL1' Deterministic source pool must be used with deterministic-napt44 rule only error: configuration check-out failed: (statements constraint check failed) [edit] Кстати PBA работает на версии 15.1R4 - c MS-MIC-16G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...