ISP`s IT Аутсорсинг
Быстрый переход: Главная блога Главная сайта Форум
Если Вы чего то недопоняли или не нашли - задайте
вопрос на нашем форуме и мы попробуем Вам помочь.
Subnets.ru Регистрация IP и Автономных систем mega-net.ru

Задача

Ограничить клиента (блок IP адресов) по полосе на пограничном BGP маршутизаторе  Juniper M7i.

Готовых решений в интернете и в доках не нашел, скомпилировал свое на базе найденного и док.

Решение

Создаем полисер на нужную полосу пропускания (5Mbit в данном случае) и правила firewall`а для выделения нужной сетки по образцу:

http://www.juniper.net/techpubs/software/junos/junos42/swconfig-interfaces42/html/firewall-config18.html

получилось примерно так:

policer 5mp {
   if-exceeding {
      bandwidth-limit 5m;
      burst-size-limit 100k;
   }
   then discard;
}
family inet {
    filter lokalka-in {
        term 5mshape {
            from {
                source-address {
                    x.x.x.x/28;
                }
            }
            then policer 5mp;
        }
        term 5mshape2 {
            from {
                destination-address {
                    x.x.x.x/28;
                }
            }
            then policer 5mp;
        }
        term normal {
            then accept;
        }
    }

    filter lokalka-out {
        term 5mshape {
            from {
                destination-address {
                    x.x.x.x/28;
                }
            }
            then policer 5mp;
        }
        term 5mshape2 {
            from {
                source-address {
                    x.x.x.x/28;
                }
            }
            then policer 5mp;
        }
        term normal {
            then accept;
        }
    }
}

Добавил его на  смотрящий внутрь интерфейс Juniper`а :

ge-0/3/0 {
    vlan-tagging;
    unit 0 {
        vlan-id 1025;
        family inet {
            filter {
                    input lokalka-in;
                    output lokalka-in;
            }
            address myIPaddress/27;
        }
    }
}

Все 🙂

может быть можно сделать красивее,или менее напряжно для Juniper’a — коментарии приветсвуются.

Автор:  stalex

Похожие статьи:

    Не найдено

Прочитано: 15 036 раз(а)
Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 7, среднее: 4,71 из 5)
Загрузка...
Отправить на почту Отправить на почту

комментария 4

  1. admin сказал:

    А клиент подключен по BGP к этому роутеру ?
    Т.е. почему шейпится на пограничном маршрутизаторе, а не внутри локалки ?

  2. stalex сказал:

    Более детально — задача отдать 900Mibt UA-IX(точка обмена трафиком на 3000 префиксов) и мир 5Mbit всего остального. UA-IX терминируются на core L3 свиче Extreme450, с core default маршрут на Juniper(который держит мировой трафик) — и на Junipere этот вот шейп на 5Mbit/s.
    Внутри локалки(900Mbit) шейпится на порту свича к абоненту и сам абонент прямым вланом терминируется в core свиче.

    те мне надо было отдать 5mbit имено мира с Junipera и много много ua-ix 🙂

  3. stalex сказал:

    upd: в этой же схеме понадобилось еще одину сетку также обжать. просто
    добавление в Interface :filter { input-list [ 20mb lokalka-in] не заработло. cделал отдельный фильтр accept:
    firewall family inet
    filter accept {
    term accept {
    then accept;
    }
    }
    добавил его на интерфейс последним в список

    interfaces {
    ge-0/3/0 {
    vlan-tagging;
    unit 0 {
    vlan-id 1025;
    family inet {
    filter {
    input-list [ 20mb lokalka-in accept ];
    output-list [ 20mb lokalka-in accept ];
    }
    address MyIP/27;
    }
    }
    и убрал accetp из основных фильтров:
    убрано:
    term normal {
    then accept;
    }

  4. rednikov сказал:

    Могу предложить такой вариант…
    http://sysblog.rednikov.nov.net/?p=277
    Ссылкой, т.к. много там буковок:))

Добавить комментарий

Вам следует авторизоваться для размещения комментария.