网络工程 - 瞻博网络动态用户管理流量监管 - 吾爱随笔录

瞻博网络动态用户管理流量监管

网络工程杜松瞻博网络警务

2021-07-24 19:38:22

我已经设法让 QinQ 订户管理工作。现在我想塑造/监管两个 VLAN 连接。作为测试，我已经配置了这个：

DYNINTF-STACKED-KANTOOR-TEST {
    interfaces {
        "$junos-interface-ifd-name" {
            unit "$junos-interface-unit" {
                proxy-arp restricted;
                vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
                filter {
                    input "$junos-input-filter";
                    output "$junos-output-filter";
                }
                family inet {
                    unnumbered-address lo0.0 preferred-source-address 10.110.110.1;
                }
            }
        }
    }

}

过滤器：

show firewall filter 17Mb 
term test {
    then policer 17Mb-policer;
}

最后，警察：

policer 17Mb-policer {
    if-exceeding {
        bandwidth-limit 17m;
        burst-size-limit 1m;
    }
    then discard;
}

例如，如果我在动态配置文件中的输入和输出过滤器层次结构上都配置了police-17M，那么它工作正常：

IPv4 Input Filter Name: police-17M-ge-1/1/4.1073936801-in
IPv4 Output Filter Name: police-17M-ge-1/1/4.1073936801-out

但这不是它应该的方式..

更新

这是我现在在瞻博网络上收到的信息：

Apr  7 12:16:58.908497 radius-access-accept: Ingress-Policy-Name (Juniper-ERX-VSA) received: police-17M
Apr  7 12:16:58.908552 radius-access-accept: Egress-Policy-Name (Juniper-ERX-VSA) received: police-17M

但是，以扩展模式显示此订阅者，我没有看到它应用于动态界面。知道为什么吗？

3个回答

所以你需要两个动态配置文件。一个 VLAN 和一个 IP 配置文件。VLAN 配置文件用于创建动态配置文件，IP 配置文件用于对其应用过滤器。

请注意 $junos-underlhing-interface-unit 的使用，它基本上是 VLAN 配置文件动态创建的单元。

VLAN 配置文件：

DYNINTF-VLAN-DHCP-INET-KPN {
    interfaces {
        "$junos-interface-ifd-name" {
            unit "$junos-interface-unit" {
                proxy-arp restricted;
                vlan-id "$junos-vlan-id";
                family inet {
                    unnumbered-address lo0.0 preferred-source-address 10.110.110.1;
                }
            }
        }
    }
 }

IP 配置文件：

 DYNSUB-IP-PROFILE-KPN {
    interfaces {
        "$junos-interface-ifd-name" {
            unit "$junos-underlying-interface-unit" {
                family inet {
                    filter {
                        input "$junos-input-filter";
                        output "$junos-output-filter";
                    }
                }
            }
        }
    }
}

——

在我的情况下，我有两个 VLAN 配置文件。一种用于单一的，一种用于堆叠的 VLAN 客户。IP 配置文件在整个接口的 DHCP 组下配置，而只有堆叠的 VLAN 配置文件应使用它们。如果有人对此有想法，我很高兴听到你的消息:-)

您可以检查监管器的计数器是否在增加：

显示警察 | 匹配接口“ge-1/1/4”

我要在这里冒险，如果这不是你想要的，请告诉我。我认为您可能会被基本上是语法问题的问题所困扰。

[edit firewall filter] 和 [edit firewall family inet filter] 都是有效的配置层次结构。[edit firewall filter] 配置部分是 JUNOS 早期版本遗留下来的，虽然在某些情况下仍然有效，但使用 family inet 会更加清晰（这也是最佳实践）。

DYNINTF-STACKED-KANTOOR-TEST {
    interfaces {
        "$junos-interface-ifd-name" {
            unit "$junos-interface-unit" {
                proxy-arp restricted;
                vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
                filter {
                    input "$junos-input-filter";
                    output "$junos-output-filter";
                }
                family inet {
                    unnumbered-address lo0.0 preferred-source-address 10.110.110.1;
                }
            }
        }
    }
}

您可能应该拥有的是：

DYNINTF-STACKED-KANTOOR-TEST {
    interfaces {
        "$junos-interface-ifd-name" {
            unit "$junos-interface-unit" {
                proxy-arp restricted;
                vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
                family inet {
                    filter {
                        input "$junos-input-filter";
                        output "$junos-output-filter";
                    }                    
                    unnumbered-address lo0.0 preferred-source-address 10.110.110.1;
                }
            }
        }
    }
}

因此，基本上，您没有在动态配置文件中将过滤器定义为“inet”。

或者

可能是您的过滤器本身没有定义为“inet”。

jhead@lab01# show firewall family inet filter 17Mb
term test {
    then policer 17Mb-policer;
}

jhead@lab# show firewall policer 17Mb-policer
if-exceeding {
    bandwidth-limit 17m;
    burst-size-limit 1m;
}
then discard;

或者两者兼而有之。

其它你可能感兴趣的问题

上一篇站点到站点 VPN 隧道配置下一篇大型 IPv4 网络中的移动 IP