Задача
Ограничить клиента (блок IP адресов) по полосе на пограничном BGP маршутизаторе Juniper M7i.
Готовых решений в интернете и в доках не нашел, скомпилировал свое на базе найденного и док.
Решение
Создаем полисер на нужную полосу пропускания (5Mbit в данном случае) и правила firewall`а для выделения нужной сетки по образцу:
получилось примерно так:
policer 5mp {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 100k;
}
then discard;
}
family inet {
filter lokalka-in {
term 5mshape {
from {
source-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term 5mshape2 {
from {
destination-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term normal {
then accept;
}
}
filter lokalka-out {
term 5mshape {
from {
destination-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term 5mshape2 {
from {
source-address {
x.x.x.x/28;
}
}
then policer 5mp;
}
term normal {
then accept;
}
}
}
Добавил его на смотрящий внутрь интерфейс Juniper`а :
ge-0/3/0 {
vlan-tagging;
unit 0 {
vlan-id 1025;
family inet {
filter {
input lokalka-in;
output lokalka-in;
}
address myIPaddress/27;
}
}
}
Все 🙂
может быть можно сделать красивее,или менее напряжно для Juniper’a — коментарии приветсвуются.
Автор: stalex
Похожие статьи:
- Не найдено
(голосов: 7, среднее: 4,71 из 5)
Загрузка...
Отправить на почту
admin сказал:
А клиент подключен по BGP к этому роутеру ?
14.03.2010, 20:03Т.е. почему шейпится на пограничном маршрутизаторе, а не внутри локалки ?
stalex сказал:
Более детально — задача отдать 900Mibt UA-IX(точка обмена трафиком на 3000 префиксов) и мир 5Mbit всего остального. UA-IX терминируются на core L3 свиче Extreme450, с core default маршрут на Juniper(который держит мировой трафик) — и на Junipere этот вот шейп на 5Mbit/s.
Внутри локалки(900Mbit) шейпится на порту свича к абоненту и сам абонент прямым вланом терминируется в core свиче.
те мне надо было отдать 5mbit имено мира с Junipera и много много ua-ix 🙂
15.03.2010, 15:56stalex сказал:
upd: в этой же схеме понадобилось еще одину сетку также обжать. просто
добавление в Interface :filter { input-list [ 20mb lokalka-in] не заработло. cделал отдельный фильтр accept:
firewall family inet
filter accept {
term accept {
then accept;
}
}
добавил его на интерфейс последним в список
interfaces {
24.03.2010, 14:51ge-0/3/0 {
vlan-tagging;
unit 0 {
vlan-id 1025;
family inet {
filter {
input-list [ 20mb lokalka-in accept ];
output-list [ 20mb lokalka-in accept ];
}
address MyIP/27;
}
}
и убрал accetp из основных фильтров:
убрано:
term normal {
then accept;
}
rednikov сказал:
Могу предложить такой вариант…
15.06.2010, 20:06http://sysblog.rednikov.nov.net/?p=277
Ссылкой, т.к. много там буковок:))