Добро пожаловать в блог! Надеемся, что Вы еще вернетесь.
Задача
Ограничить клиента (блок IP адресов) по полосе на пограничном BGP маршутизаторе Juniper M7i.
Готовых решений в интернете и в доках не нашел, скомпилировал свое на базе найденного и док.
Решение
Создаем полисер на нужную полосу пропускания (5Mbit в данном случае) и правила firewall`а для выделения нужной сетки по образцу:
получилось примерно так:
policer 5mp {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 100k;
}
then discard;
}
family inet {
filter lokalka-in {
term 5mshape {
from {
source-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term 5mshape2 {
from {
destination-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term normal {
then accept;
}
}
filter lokalka-out {
term 5mshape {
from {
destination-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term 5mshape2 {
from {
source-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term normal {
then accept;
}
}
}
Добавил его на смотрящий внутрь интерфейс Juniper`а :
ge-0/3/0 {
vlan-tagging;
unit 0 {
vlan-id 1025;
family inet {
filter {
input lokalka-in;
output lokalka-in;
}
address myIPaddress/27;
}
}
}
Все 🙂
может быть можно сделать красивее,или менее напряжно для Juniper’a — коментарии приветсвуются.
Автор: stalex
(голосов: 7, среднее: 4,71 из 5)
Загрузка...
Отправить на почту
