Андрей Пинаев – старший системный инженер компании Juniper Networks – о самых полезных функциях маршрутизаторов серии MX, а также об основных сценариях настройки на примере сети оператора и в сетях широкополосного доступа.

1. Настройка
маршрутизаторов Juniper
серии MX
ведущий:
Андрей Пинаев
23 октября 2013
apinaev@juniper.net

2. MX – УНИВЕРСАЛЬНАЯ ПЛАТФОРМА
Пинаев Андрей
apinaev@juniper.net

3. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
3
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

4. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
4
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

5. MX-СЕРИЯ
ПРОИЗВОДИТЕЛЬНОСТЬ ОТ 20ГБИТ/C ДО 80ТБИТ/С
80Тбит/с
34Тбит/с
40Тбит/с
Единая операционная система Junos
Микросхемы собственной разработки 3D TRIO
Концепция универсальной границы
17Тбит/c
4.8Тбит/с
2.8Тбит/c
1.6Тбит/с
8.8Тбит/c
5.3Тбит/c
2.6Тбит/с
1.4Тбит/c
MX104
20Гбит/с
MX 5
40Гбит/с
MX 10
60Гбит/с
MX 40
80Гбит/с
MX 80
∧
MX 240
MX 480
Защита инвестиций
5
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
MX 960
MX 2010
MX 2020

6. MX-СЕРИЯ: MX960/480/240
MX-СЕРИЯ
§
MX960
§
MX480
§
MX240
Компоненты системы
§
§
MPC/DPC
§
Switch Control Board (SCB)
§
Power
§
6
Routing Engine (RE)
Fans
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

7. MX960: АППАРТНЫЕ ХАРАКТЕРИСТИКИ
7
14-и слотовое шасси
Габариты
§ Высота: 16RU (примерно 1/3 стойки)
§ Глубина: 800mm
Компоненты
§ Пассивный Mid-Plane
§ Резервируемые Routing Engines
§ Резервируемые фабрики коммутации (2+1)
§ Распределенная архитектура коммутации пакетов
§ Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания
§ Обдув спереди назад
§ Два блока вентиляторов (1+1 резервирование)
§ 4 блока питания (2+2 DC, 2+2 AC)
Емкость
§ 2 слота для фабрик коммутации и RE
§ 1 слот двойного назначения( SCB/MPC)
§ 12 слотов для линейных карт
§ Производительность 8.8Тбит/с
Copyright © 2013 Juniper Networks, Inc.
SCB +
RE
www.juniper.net
SCB or
DPC

8. MX480 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
8
8-и слотовое шасси
Габариты
§ Высота: 8RU (примерно 1/6 стойки)
§ Глубина: 800mm
Компоненты
§ Пассивный Mid-Plane
§ Резервируемые Routing Engines
§ Резервируемые фабрики коммутации (1+1)
§ Распределенная архитектура коммутации пакетов
§ Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания
§ Обдув боковой
§ 1 блока вентиляторов
§ 4 блока питания (2+2 DC, 2+2 AC)
SCB +
RE
Емкость
§ 2 слота для фабрик коммутации и RE
§ 6 слотов для линейных карт
§ Производительность 4.8Тбит/с
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

9. MX240 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
9
4-и слотовое шасси
Габариты
§ Высота: 5RU (примерно 1/6 стойки)
§ Глубина: 800mm
Компоненты
§ Пассивный Mid-Plane
§ Резервируемые Routing Engines
§ Резервируемые фабрики коммутации (1+1)
§ Распределенная архитектура коммутации пакетов
§ Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания
§ Обдув боковой
§ 1 блока вентиляторов
§ 4 блока питания (2+2 DC, 2+2 AC)
SCB +
RE
Емкость
§ 2/1 слота для фабрик коммутации и RE
§ 2/3 слотов для линейных карт
§ Производительность 1.6Тбит/с
Copyright © 2013 Juniper Networks, Inc.
SCB or
DPC
www.juniper.net

10. MX2020 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
§ Производительность системы до 80Тбит/с
§ 20 слотов под линейные карты
§ 2Тбит/c на слот
§ Высота: 45RU
§ Поддержка всех существующих MPCs
§ Производительность фабрики – 860Гбит/c на слот
§ Компоненты системы
§ Резервируемая система питания
§ Резервируемые Routing Engines
§ Резервируемые фабрики коммутации
§ Распределенная архитектура коммутации пакетов
10
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

11. MX2010 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
§ Производительность системы до 40Тбит/с
§ 10 слотов под линейные карты
§ 2Тбит/c на слот
§ Высота: 34RU
§ Поддержка всех существующих MPCs
§ Производительность фабрики – 860Гбит/c на слот
§ Компоненты системы
§ Резервируемая система питания
§ Резервируемые Routing Engines
§ Резервируемые фабрики коммутации
§ Распределенная архитектура коммутации пакетов
11
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

12. MX2020: CХЕМА ОХЛАЖДЕНИЯ
Exhaust Plenum
Fan Tray 3/4
§
Две зоны охлаждения
§
Power Supply Cooling
Обдув спереди назад
Card Cage
Middle Inlet Plenum
Card Cage
Bottom Exhaust
Plenum
Airflow divider
Card Cage
Fan Tray 1/2
Bottom Inlet Plenum
12
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

13. MX2000 CB-RE
“RE-1800” as used in
MX240/480/960
n
Quad-­‐core
1.73Ghz
Intel
Nehalem
Processor
n
64-­‐bit
ready
n
Symmetric
MulA-­‐processing
ready
n
16G
Memory
n
Dual
Solid
State
Drives
n
Timing
and
Mgmt
interfaces
n
13
Air
Diverter
to
isolate
upper
and
lower
cooling
zones
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

14. MX20XX: ПИТАНИЕ
Power
Zone
1
Power
Zone
2
14
• Chassis
is
divided
into
2
power
zones
• Top
10
slots
belong
to
Zone
1
• BoOom
10
slots
belong
to
Zone
2
• REs,
SFBs
and
Fan
trays
connected
to
both
zones
• Uses
power
from
one
zone
at
a
Ame
• AC
&
DC
can’t
be
mixed
• Unique
PDM
for
AC
and
DC
power
• A
zone
can
fail
without
affecAng
the
other
zone
• Each
zone
has
9
Power
Supply
Modules
(PSM)
• 8+1
redundancy
model
per
zone
• 18
total
PSMs
per
MX2020
chassis
• Each
zone
has
1
acAve
Power
DistribuAon
Module
(PDM)
• Second
PDM
for
redundancy
per
zone
• 9
DC
feeds
plug
into
one
PDM
not
the
PSM
• 9
more
feeds
for
redundancy
(1:1)
• A
60A
or
80A
feed
per
PSM
• 2
AC
feeds
per
AC
PDM
• 2
more
AC
feeds
plug
into
backup
PDM
• Feeds
can
be
changed
independent
of
the
PSM
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

15. MX20XX: ФАБРИКА
SFB
• MX2020/MX2010
specific
Switch
Fabric
Board
• Does
not
contain
the
control
board,
unlike
MX960
• 8
total
SFBs
per
chassis
for
both
MX2020
&
MX2010
Architecture
• Always
in
8+0
mode
• Connects
to
adapter
card
on
the
I/O
slots
for
shared
MPCs
Capacity
• 8+0
mode
can
support
up
to
860Gbps
per
line
card
slot
Redundancy
• All
SFBs
are
always
used
for
8+0
mode
• If
one
SFB
fails,
fabric
capacity
is
750Gbps
per
I/O
slot
15
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

16. ИСПОЛЬЗОВАНИЕ СУЩЕСТВУЮЩИХ MPC: ЗАЩИТА
ИНВЕСТИЦИЙ
MPC
АДАПТЕР
• Адаптер для MPC’s
• Определется в конфигурации
• Не требуется никакой настройки
• Поддерживает все MPC’s
MPC
модуль
• Любая MPCs
• Определется в конфигурации
• Не требуется никакой настройки
16
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

17. СВОДНАЯ ТАБЛИЦА ПО MX240/480/960/20XX
MX240
MX480
MX960
MX2010
MX2020
1.6Тбит/c
4.8Тбит/c
8.8Тбит/c
40Тбит/c
80Тбит/c
Высота (RU)
6
8
16
34
45
Слоты
2
6
11
10
20
240Гбит/c
240Гбит/c
240Гбит/c
860Гбит/c
860Гбит/c
Кол-во 100GE портов*
4
12
20
40
80
Кол-во 10GE портов*
64
192
336
320
640
Резервировние RE
Да
Да
Да
Да
Да
Резервирование
фабрики
Да
Да
Да
Да
Да
Резервирование
блоков питания
Да - AC/DC
Да - AC/DC
Да - AC/DC
Да – AC/DC
Да – AC/DC
Максимальная
производительность
системы
Производительность
на слот*
17
Copyright © 2013 Juniper Networks, Inc.
* Производительность и плотность портов на текущий момент
www.juniper.net

18. MX-СЕРИЯ: MX5/10/40/80/104
Высокопроизводительные Mid-Range
маршрутизаторы
MX5: 5G Router
§ 20x1G
MX5
MX10: 10G Router
§ 20x1G & 1 Modular Slot
MX10
MX40: 40G Router
§ 2 Modular Slots & 2x10G
MX40
MX80
NEW
MX80:
§ 2 Modular Slots & 4x10G
MX80
MX104
MX104:
§ 4 Modular Slots & 4x10G
18
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

19. MX5/10/40/80 КОМПЛЕКТАЦИЯ
Слот для
сервисного
модуля
Произво
дительно
сть
Шасси
Слот MIC0
Слот MIC1
10G порты
(0-3)
MX5
Доступен;
Предустановлен модуль
MIC-3D-20GE-SFP
Заблокирован
Порты
заблокированы
Доступен
20 Гбит/с
MX10
Доступен;
Предустановлен модуль
MIC-3D-20GE-SFP
Доступен; Возможно
использование любых
MIC модулей
Порты
заблокированы
Доступен
40 Гбит/с
MX40
Возможно использование
любых MIC модулей
Возможно
использование любых
MIC модулей
2 из 4 портов
доступны
Доступен
60 Гбит/с
MX80
Возможно использование
любых MIC модулей
Возможно
использование любых
MIC модулей
Доступны
4 порта
Доступен
80 Гбит/с
Доступны
4 порта
Доступен
80 Гбит/с
МХ80-48Т
19
Фиксированная конфигурация –
48 x 10/100/1000Base-T портов
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

20. MX104 – МАРШРУТИЗАТОР УРОВНЯ АГРЕГАЦИИ
Компактность и резервирование
§ TRIO chipset – 80G
§ Габариты: 17.5 in (W) x 3.5RU (H) x 9.5(D)
§ ETSI-300 compliant
§ Резервируемый RE
§ Резервируемые блоки питания AC/DC
§ Широкий рабочий диапазон -40C to +65C
§ Заменяемый блок вентиляторов
Модульная архитектура
§ Встроенные порты 4x10GE SFP+ LAN/
WAN
§ 4 слота под MICs ; ~20Гбит/с на слот
§ Поддержка сервисного MIC
Синхронизации
§ BITS (T1/E1), 10MHz &1PPS and
ToD timing I/O interfaces
§ SyncE, SONET, PTP (Brilliant IP
integration) timing features
20
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

21. MX104 MICs
MIC TYPE
MODEL
MIC -3D 20GE-SFP
MIC-3D-2XGE-XFP
ETHERNET
MIC-3D-40GE-TX
MIC-3D-20GE-SFP-E [ MACSEC PHY,
Timing PHY ]
MIC-3D-20GE-SFP-EH [ Hardened,
MACSEC PHY , Timing phy]
MIC-3D-4CHOC3-2CHOC12
MIC-3D-4OC3OC12-1OC48
MIC-3D-8CHDS3-E3-B
MIC-3D-8CHOC3-4CHOC12
TDM/ATM/CE
MIC-3D-8DS3-E3
MIC-3D-8OC3-2OC12-ATM
MIC-3D-4CHOC3-1OC12-CE-H
MIC-3D-16CHE1-T1-CE
MIC-3D-16CHE1-T1-CE-H
21
www.juniper.net
MIC-3D-8OC3OC12-4OC48
Copyright © 2013 Juniper Networks, Inc.

22. MX104 ПРИМЕНЕНИЕ: MBH
RAN
TCA8500
3G/4G
ACX
Лучшая
платформа для
MBH агрегации
3G/4G
Mobile
Core
3G/4G
ACX
Metro Transport
Providers
MX Portfolio
MX104
3G/4G
1588v2,
SyncE
• Компактное шасси
• Широкий рабочий диапазон
• Поддержка синхронизации
Microwave
MBH Hub
• Упращенный запуск
22
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

23. MX104 ПРИМЕНЕНИЕ: УНИВЕРСАЛЬНАЯ ГРАНИЦА
Access
NG-CO
RT
Home
DSLAM
AAA
Расширенные возможности
DHCP
OLT
•
MX104 BNG/
•
RE резервирование
Поддержка MPLS L2/L3 VPN and VPLS
•
Metro Ethernet
Agg Router
TRIO чипсет
•
Home
Гибкость в предоставлении IPv4 and
Residential Edge
Data Center
IPv6 сервисов
Corporate HQ
Branch Office
MX104
Business Edge
•
Богатый выбор L4-L7 сервисов
•
Интеллектуальная inline обработка
L2VPN
L3VPN
Provider Edge
Branch Office
Corporate HQ
Data Center
23
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

24. СВОДНАЯ ТАБЛИЦА ПО MX5/10/40/80/104
MX5
MX10
MX40
MX80
MX104
20Гбит/с
40Гбит/с
60Гбит/с
80Гбит/с
80Гбит/c
2
2
2
2
3.5
1 MIC
2 MIC
2 MIC
2 MIC
4 MIC
20Гбит/с
40Гбит/с
60Гбит/с
80Гбит/с
80Гбит/с
2
4
6
8
12
Нет
Нет
Нет
Нет
Да
Резервирование
фабрики
Нет
Нет
Нет
Нет
Нет
Резервирование
блоков питания
Да – AC/DC
Да – AC/DC
Да – AC/DC
Да - AC/DC
Да - AC/DC
Максимальная
производительно
сть системы
Высота(RU)
Слоты
Производительно
сть на слот*
Кол-во 10GE
портов*
Резервировние
RE
24
Copyright © 2013 Juniper Networks, Inc.
* Производительность и плотность портов на текущий момент
www.juniper.net

25. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
25
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

26. MPC3E - 100G MPC
Характеристики
Производительность 130Гбит/с
Два слота под MIC
Модульная архитектура
n
n
n
Модульное исполнение
Новые MICs
n 1x100GE CFP
n 1x100GE CXP
n 2x40GE QSFP
n 10x10GE SFP+
Legacy MICs
n 20x1GE SFP
n 2x10GE XFP
Not Supported
n 4x10GE MIC
Преимущества
n
n
n
26
4
млн.
маршрутов
L3VPN
и
VPLS
сервисы
Интеллектуальная
inline
обработка
Copyright © 2013 Juniper Networks, Inc.
Модульная линейная карта MPC3E
Применение
130 GbE Card
WAN Edge Services
ü
Full MPLS Features
ü
All MX Functionality
ü
www.juniper.net

27. MPC4E
–
МОНОЛИТНАЯ
10G
И
100G
MPC
Производительность/функционал
До 260Гбит/с агрегированной пропускной
способности
n 240 Гбит/с на MX240/480/960
n 260 Гбит/с на MX2000
n Очереди на портах
n Поддержка Synchronous Ethernet
n Поддержка 1588v2
n
2x100G
CFP
+
8x10G
SFPP
ports
32x10GE
SFPP
ports
Применение
Монолитное исполнение
Full
Scale
RouFng
ü
VPLS,
L3VPN,
L2VPN
Вариант 1
n 32x10GE SFP+ ports
ü
Service
Rich
Вариант 2
n 2x100GE CFP & 8x10GE SFP+ ports
27
260G
MPC
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
ü

28. МУЛЬТИСЕРВИСНАЯ MPC – MS-MPC
Сервисный блэйд для MX платформы
NG
NPU
§ XLP процессор
§ 4 NPU
§ Поддержка в MX240/480/960/20XX
NG
NPU
§ Производительность до 32G
TRIO
§ Сервисы SFW, NAT, J-FLOW, IPSec
NG
NPU
§ RPM/TLB/HCM (Roadmap)
NG
NPU
28
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

29. МУЛЬТИСЕРВИСНЫЙ MIC – MS-MIC
Сервисный блэйд для MX платформы
§ XLP процессор
Service
MIC
§ 1 NPU
§ Поддержка на MPC1 MPC2 и MPC3
NG
NPU
§ Поддержка на MX5/10/40/80/104
§ Производительность до 9G
§ Сервисы SFW, NAT, J-FLOW, IPSec
MPC/MX80
§ RPM/TLB/HCM (Roadmap)
29
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

30. СВОДНАЯ ТАБЛИЦА MPC
Производителность
Поддержка на
MX960/480/240
Поддержка на
MX2020/MX2010
MPC 1 & MPC2 (-Q/-EQ)
2 MIC slots (1GE,10GE MICs)
40 & 80 Гбит/c
2010
2013
16 x 10GE Fixed MPC
160 Гбит/c
2010
MPC3
2 MIC slots (100GE, 40GE,
10GE MICs)
130 Гбит/c
2012
2013
MPC4
32 x 10GE Fixed MPC
2x100GE + 8x10GE Fixed MPC
260 Гбит/c
2013
2013
MPC Тип
30
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
2013

31. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
31
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

32. МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО
СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ
JUNIPER NETWORKS
32
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

33. ОПЫТ JUNIPER NETWORKS
Существующие инсталляции NAT
§ 6 крупных проектов на территории России
§ Самый крупный – 350 тыс. одновременных абонентов
§ Примерно 1млн. активных ШПД абонентов в России
обслуживаются NAT-устройствами Juniper Networks
Технология развивалась на протяжении последних 8 лет
§ Широкий набор Application Layer Gateway
§ Балансировка нагрузки и отказоустойчивость
§ Масштабируемость
§ Поддержка DS-Lite, различных режимов NAT-traversal,
распределения портов и протоколирования сессий
33
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

34. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Варианты NAT
Вид трансляции
Описание
NAT44
Трансляция 1:1, IPv4<->IPv4
NAPT44
Трансляция N:1, IPv4<->IPv4
NAPT64
Трансляция N:1, IPv4<->IPv6
Twice NAT, RFC 2663
Двойная трансляция, IPv4 <-> IPv4
NAT66
NAPT66
34
Трансляция 1:1, IPv6<->IPv6
Трансляция N:1, IPv6<->IPv6
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

35. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Средства NAT
Функция
Комментарий
Endpoint Independent Mapping
Средство NAT-traversal, позволяющее абонентским системам
функционировать в обход NAT. Паре адрес/порт назначается одна пара
внешний адрес/порт для множества сессий.
Распределение портов с
сохранением чётности, с
сохранением диапазона
См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений
(семантика чётности портов для RTP/RTCP) и диапазона портов (порты из
диапазона 0-1023 транслируются в порты из того же диапазона).
Ограничение на количество сессий
на адрес источника
Возможность ограничить число сессий от одного абонента
Протоколирование сессий, syslog
Протоколирование без влияния на производительность. Возможность
протоколирования только начала сессии. Протоколирование распределения
блока портов.
Блочное распределение портов
Уменьшает количество событий для протоколирования.
Address Pooling
Внешний адрес не меняется всё время активности абонента.
Распределение нагрузки между
модулями
Гибкое выделение трафика и распределение нагрузки между модулями
ALG
Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP
Но одних функций недостаточно, нужно иметь хорошее решение
35
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

36. ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT
Основные цели
§ Снижение стоимости решения
§ Резервирование элементов, выполняющих обработку пакетов по
схеме N+1 (ценой stateful-failover)
§ Улучшение утилизации устройств
§ Простая интеграция в сеть
§ Масштабирование
§ Линейное масштабирование до сотен миллионов сессий
§ Минимум действий при перенастройке
36
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

37. СТРОИТЕЛЬНЫЙ МАТЕРИАЛ
Маршрутизаторы MX240, MX480, MX960
Параметр
Пропускная способность
Портов 10GE (на скорости канала)
MX480
MX960
2+1
Слотов
MX240
6
11+1
1,6 Тбит/c
4,8 ТБит/c
8,8 ТБит/c
48
144
256
Сервисная карта MS-DPC
NAPT44(4)
NAPT44(4) – блочное
выделение портов
17М
17М
600 тыс/сек
1,2 млн/сек
19 Гбит/c
19 Гбит/c
Число абонентов
8,5 М
8,5 М
Задержка
60 мкс
60 мкс
Нет
Нет
7 секунд
7 секунд
Значение
Всего потоков
Максимальная скорость установления
потоков
Пропускная способность (IMIX)
Влияние протоколирования на скорость
создания новых потоков
Время создания 4М потоков
37
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

38. СТРОИТЕЛЬНЫЙ МАТЕРИАЛ(ПРОДОЛЖЕНИЕ)
Сервисная карта MS-MPC
Значение
NAPT44(4)
Всего потоков
120М
Пропускная способность (IMIX)
32 Гбит/c
Число абонентов
60М
Задержка
55 мкс
Сервисный MIC MS-MIC
Значение
NAPT44(4)
Всего потоков
14М
Пропускная способность (IMIX)
6 Гбит/c
Число абонентов
7М
Задержка
38
70 мкс
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

39. СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И
БОЛЕЕ УСТРОЙСТВ
CPE
BNG
MX
Магистраль
сети
Интернет
CPE
MX
BNG
MX
Трафик поступает с PE/
BNG устройств и
отправляется по одному
маршруту по умолчанию
в технологическом VRF
На MX фермы трафик
расходится по трём
устройствам (за каждым
закреплены свои адресные
блоки) через 6
технологических VRF (всего
6 разных пар active/backup)
На каждом из устройств в
отдельности выполняется
балансировка нагрузки
между NPU MS-DPC (по
адресу источника)
Кстати, схему балансировки можно использовать не только для NAT, но
и для других приложений.
39
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

40. БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ
[edit
firewall
filter
flt-­‐spray]
term
t00
{
from
{
//5
последних
бит
–
00000
source-­‐address
0.0.0.0/0.0.0.31;
}
then
{
routing-­‐instance
ri-­‐r1_primary-­‐r2_backup;
}
…
term
t31
{
from
{
//5
последних
бит
–
11111
source-­‐address
0.0.0.31/0.0.0.31;
}
then
{
routing-­‐instance
ri-­‐r2_primary-­‐r3_backup;
}
40
Copyright © 2013 Juniper Networks, Inc.
Фильтром распределяется
трафик между N * (N-1) = 6
технологическими VRF.
Трафик выделяется по
последним битам адреса.
Фильтр меняется только с
увеличением числа устройств
(N) в NAT-ферме – очень редко!
www.juniper.net

41. ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ
Настройка маршрутизатора R1
[edit
routing-­‐instances]
apply-­‐groups
vrf-­‐commmon;
//
R1
–
основной,
R2
-­‐
запасной
ri-­‐r1_primary-­‐r2_secondary
{
vrf-­‐target
target:100:101;
routing-­‐options
{
static
{
route
0.0.0.0/0
next-­‐hop
[sp-­‐1/3/0.1
sp-­‐1/3/1.1];
}
}
}
//
R1
–
запасной,
R2
-­‐
основной
ri-­‐r2_primary-­‐r1_secondary
{
vrf-­‐target
target:100:103;
routing-­‐options
{
static
{
route
0.0.0.0/0
{
next-­‐hop
[sp-­‐1/3/0.1
sp-­‐1/3/1.1];
no-­‐readvertise;
preference
180;
}
}
}
}
//
R2
–
основной,
R3
-­‐
запасной
ri-­‐r2_primary-­‐r3_secondary
{
vrf-­‐target
target:100:104;
Copyright © 2013 Juniper Networks, Inc. www.juniper.net
}
41
В таблице маршрутизации
VRF всегда два маршрута
по умолчанию – один от
основного устройства, а
другой от резервного.
Выбирается только один с
лучшим preference – он
определяет основное
устройство
Список sp- интерфейсов,
между которыми происходит
балансировка в рамках
одного устройства (хеш по
source-адресу –
настраивается отдельно)

42. ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ
СЕССИЙ
42
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

43. ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ
§ Ограничение по числу
сообщений в секунду
§ Выборочная отправка
сообщений об открытии/
закрытии сессии
§ Уменьшение объёма
сообщений с 200 байт до 80
байт
43
Copyright © 2013 Juniper Networks, Inc.
regress@kevlar#
show
services
service-­‐set
ss1
{
syslog
{
host
local;
options
{
+
session-­‐open;
+
session-­‐close;
+
packet-­‐logs;
+
stateful-­‐firewall-­‐logs;
+
alg-­‐logs;
+
nat-­‐logs;
+
ids-­‐logs;
}
}
}
}
www.juniper.net

44. НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ
РАСПРЕДЕЛЕНИИ ПОРТОВ
Утилизация пула
Безопасность
Объём протоколирования
Высокий
Поведение по умолчанию – случайное
распределение портов
Оценка:
§ Хорошая утилизация пула
§ Одна запись в журнале на сессию
§ Никаких проблем с безопасностью
Низкий
Распределение портов (цвет обозначает абонента)
44
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

45. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
Высокий
Утилизация пула
Безопасность
Объём протоколирования
Низкий
При создании сессии, для абонента выделяется целый блок
портов. Порт выбирается случайным образом из этого блока.
Последующие запросы на распределение порта
обслуживаются из этого блока. Неактивные блоки (без
занятых портов) освобождаются.
Записи генерируются только для события выделения и
освобождения блока.
Оценка:
§ Можно подстраивать размер блока/степень
безопасности/протоколирования
§ Сокращает существенно объём протоколирования
Распределение портов (цвет обозначает абонента)
45
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

46. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
Параметры, которые можно менять
§
Утилизация пула
Объём протоколирования
Безопасность
Низкий
46
Число блоков на абонента
§
Размер блока
§
Высокий
Для повышенной безопасности, таймаут распределения блоков
Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.
ALG также поддерживаются
services
{
nat
{
pool
pool1
{
address-­‐range
low
32.32.32.1
high
32.32.32.32;
port
{
automatic
{
random-­‐allocation;
}
+
block-­‐allocation
{
+
block-­‐size
256;
/*
Min
64,
Max
64512,
default
128
*/
+
max-­‐blocks-­‐per-­‐user
8;
/*
Max
2048,
default
8
*/
+
active-­‐block-­‐timeout
300;
/*
0(default),
Min
120secs,
Max
MAX_UINT
*/
+
}
}
address-­‐allocation
round-­‐robin;
}
}
}
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

47. ПРЕДСКАЗУЕМЫЙ NAT
Утилизация пула
Безопасность
Объём протоколирования
Высокий
Алгоритмическое распределение IP-адресов и портов
(блоков). Публичные IPv4-адреса и порты для заданного
пользователя зафиксированы. Распределение портов
выполняется из диапазона портов абонента.
Оценка:
§ Абоненты используют те же адреса всё время
§ Никакого протоколирования вовсе не требуется
§ Хуже утилизация портов (для неактивных
пользователей также распределяются блоки)
§ При нехватке портов, нельзя распределить новый блок
§ Сложнее балансировка нагрузки
Низкий
Распределение портов (цвет обозначает абонента)
47
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

48. АРХИТЕКТУРА СЕТИ
ШИРОКОПОЛОСНОГО ДОСТУПА
48
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

49. СТАНДАРТИЗАЦИЯ, ОБЩАЯ АРХИТЕКТУРА СЕТИ
1999
TR-25
CPE
2003
ATM агрегация
ADSL
TR-59
DSLAM
DSLAM
ADSL
2007
TR-101
VDSL
2010
TR-156
Интернет, QoS
ATM агрегация
DSLAM/
MSAN
Ethernet
агрегация
BNG/
Интернет
Video BNG Телефония
Телевидение
Ethernet
агрегация
PON
ONT
49
BRAS
ADSL2+
CPE
Интернет
ATM агрегация
ADSL
CPE
BRAS
BNG/
Интернет
Video BNG Телефония
Телевидение
OLT
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

50. КОМПОНЕНТЫ РЕШЕНИЯ И ИХ ФУНКЦИИ
Точка предоставления
услуги
Ethernet
агрегация
ONT
Магистраль
оператора
ААА
BNG
OLT
Управление
политиками
ONT (CPE)
OLT (УЗЕЛ ДОСТУПА)
BNG (BRAS)
L3-маршрутизация и/
или L2-коммутация
Агрегация абонентских
линий
Авторизация абонентов
[L3] NAT
Изоляция абонентов
Изоляция абонентов
[L3] IGMP PROXY
Идентификация линии (CVLAN, PPPoE IA или
включение DHCP опции 82)
Учёт трафика
Восходящий QoS
Обслуживание в соответствии
с описанием услуги
Элементы нисходящего QoS
(приоритезация)
Нисходящий QoS
Оптимизация многоадресной
рассылки
Copyright © 2013 Juniper Networks, Inc.
Назначение политики
обслуживания
Хранение информации о
расположении абонента
Динамическое изменение
политик обслуживания
Фильтрация
Многоадресная рассылка
50
УПРАВЛЕНИЕ ПОЛИТИКАМИ
www.juniper.net
Программные интерфейсы для
приложений

51. S-VLAN ПРОТИВ С-VLAN
ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ
Защита от подделки MAC-адресов,
IP, добавление идентификатора линии в
пакеты DHCP (Option 82) или PPPoE (Remote
Circuit ID)
Запрет коммутации трафика
между абонентами (private VLAN)
1:N (S-VLAN)
ONT
Отображение абонентских
линий в один VLAN
(Ethernet-коммутация)
Коммутатор
OLT
Разбор идентификатора линии
(Option 82, Intermediate Agent),
передача в сторону систем OSS/BSS
BNG
Устройства сети доступа обеспечивают
изоляцию и идентификацию
Коммутация или
мультиплексирование трафика
в пределах каждого VLAN
1:1 (C-VLAN)
ONT
Отображение абонентских линий в
абонентские VLAN
(мультиплексирование)
51
Коммутатор
OLT
BNG
Сеть доступа – труба, без каких-либо
функций
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

52. S-VLAN ПРОТИВ С-VLAN
ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ (ПРОДОЛЖЕНИЕ)
Характеристика
С-VLAN (1:1)
Сложность изоляции трафика
абонентов на устройствах
доступа (OLT/коммутаторы)
Взаимодействие между OLT и
BRAS/BNG
S-VLAN (1:N)
Низкая
Высокая (MAC-security,
изоляция портов, DHCP
Snooping)
Отсутствует
Присутствует
(Option 82 и PPPoE
Intermediate Agent)
Идентификация абонентов
По номеру VLAN +
По Option 82, remote circuit id
сегменту доступа
Применение операторами
связи
Обе модели достаточно распространены
Рекомендации Juniper
52
Использовать 1:1 VLAN, если это возможно. При
прочих равных условиях сеть доступа проще.
Проще внедрение новых услуг.
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

53. PPPOE ПРОТИВ DHCP
ОСНОВНЫЕ ТЕХНОЛОГИИ ДОСТУПА
Выбор технологии определяет способы авторизации,
аутентификации, резервирования, многоадресной рассылки
Функция
IPoE
Назначение адресов
NCP
DHCP
Авторизация
Имя и пароль, CVLAN
Remote Circuit ID
Option 82
CVLAN
Средства OAM
Отлажены, наличие
keepalive.
В процессе стандартизации.
ForceRenew, IP Sessions
Wholesale-механизмы
Отлажены. На основе
L2TP.
В процессе стандартизации.
Различные фирменные
методы (L2 и L3)
Оптимизация
многоадресной
рассылки в сети
доступа
53
PPPoE
Усложнена практическим
отсутствием IGMP
Snooping для PPPoE на
узлах доступа
Имеется. Требует IGMP
Snooping на узлах доступа.
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

54. ВАРИАНТЫ ПРОЕКТИРОВАНИЯ
В сетях ШПД тысячи вариантов проектирования. Одинаковых
сетей нет. Базовые вопросы с которыми нужно определиться:
Вопрос, проблема, задача
Расположение узлов
предоставления услуг
Централизованное или распределённое
Модель агрегации в сети доступа
Количество сервисных устройств
Нисходящий QoS
Варианты решения
1:1 VLAN (CVLAN) или 1:N VLAN (SVLAN)
Одно сервисное устройство или несколько
сервисных устройств для доставки разных
услуг
Полностью на BNG, включая многоадресную
рассылку, или частично на устройстве доступа
Технология подключения
абонентов
Высокая доступность
предоставления услуги
54
PPPoE или IPoE
Резервирование BNG (несколько вариантов),
резервирование карт устройств, виртуальное
шасси
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

55. ФУНКЦИИ BRAS
Функция
MX/JUNOS
DHCP – доступ (Relay/Relay-proxy, LocalServer)
Поддерживается
Динамические абонентские интерфейсы
Поддерживается
Интеграция DHCP AAA (идентификация,
учёт, RADIUS CoA)
Поддерживается
DHCP L3 wholesale
Поддерживается
Сервисный менеджер
Параметризация профилей - поддерживается
Динамическая конфигурация (HQOS, Policy)
Поддерживается
Автоконфигурирование VLAN с
аутентификацией
Поддерживается
Перехват трафика
Поддерживается
DHCPv6PD, IPv4/IPv6oE двойной стек
Поддерживается
PPP + AAA
Поддерживается
L2TP LAC
Поддерживается
L2TP LNS
Поддерживается
IPv4/v6 двойной стек для PPP
Поддерживается
55
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

56. ФУНКЦИИ BRAS
Функция
MX/JUNOS
ISSU
Поддерживается
Multicast (IGMPv2/v3, OIF-MAP,QOSadjust, Bulk-stats, SSM-map)
Поддерживается
Интеграция с SRC
Поддерживается (Diameter)
DHCP ForceRenew
Поддерживается
Масштабирование
128 тыс. и выше
Dynamic L2 Wholesale
Поддерживается
Inter-LM active/backup Subscriber LAG
DHCP – Поддерживается, PPP (в планах)
Inter-LM active/active N-way Subscriber
LAG
(в планах)
Stateful Inter-chassis redundancy
Посредством виртуального шасси
Carrier grade NAT
Поддерживается
Встроенный IDP/DPI
Поддерживается
Встроенный видео-мониторинг
Поддерживается
56
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

57. JUNOS SUBSCRIBER MANAGEMENT
ПРИНЦИПЫ РАБОТЫ
57
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

58. JUNOS SUBSCRIBER MANAGEMENT
ПРОГРАММНЫЕ КОМПОНЕНТЫ: JDHCPD
jdhcpd
§ Juniper DHCP Daemon новый процесс, которые отвечает за на MX-
платформе за всю деятельность, связанную с функциями DHCP
Local Server and DHCP Relay/Proxy
Функции поддерживаются для logical routers и routing instances.
Только один процесс jdhcpd может быть запущен на шасси.
При перезапуске jdhcpd (командой ‘restart’ или в случае сбоя в
работе демона) использует хранимую в виде файла таблицу
активных dhcp-клиентов или active client leases.
При выполнение процедуры graceful shutdown, jdhcpd сохраняет
текущий список «dhcp lease-ов» в отдельном файле на жестком
диске и использует ее при последующем старте
58
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

59. JUNOS SUBSCRIBER MANAGEMENT
ПРОГРАММНЫЕ КОМПОНЕНТЫ: JPPPD, AUTHTD
jpppd
§ Juniper ppp Daemon - отвечает за поддержку функций активации
pppoe интерфейсов. Работает на платформах Juniper M/MX-серии
требует использования определенного типа карт
authtd
§ Juniper Authentication Daemon отвечает за все запросы, связанные с
авторизацией, аутентификацией, сбором статистики, назначением IPадреса на интерфейс подписчика. Начиная с релиза 9.6 добавлен
компонент Juniper Session and Resource Control (JSRC), отвечающий за
взаимодействие с SRC-PE по средством протокола Diameter.
Autoconfd
§ autoconfd – новый процесс в Junos, который обрабатывает на входе пакеты
и генерирует внутренние запросы на через Subscriber Management
Infrastructure (SMI) для создания новых интерфейсов на основе VLAN-tag и
ethertype для : Inet; Inet6; pppoe
59
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

60. Имя пользователя: DHCP_USER$0000.1000.0001$enet$ONU_#100:FTTH-1/0$NG_VIDEO@juniper.net
Сервис INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’)
Сервис APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’)
профиль HQOS (‘$shaping-rate’)
УПРАВЛЕНИЕ ШПД ПОДПИСЧИКАМИ В JUNOS
ИСПОЛЬЗОВАНИЕ RADIUS-А
Билинг
AAA server
username-include {
user-prefix DHCP_USER;
delimiter "$";
mac-address;
circuit-type;
Access-Request
option-82 remote-id;
option-60;
domain-name juniper.net;
}
Access-accept
Unisphere-Activate-Service-tag1 INET-SRVC (filter-in, filter-out)
Unisphere-Activate-Service-tag2 APPL (filter-in, filter-out)
Unisphere-Activate-Service-tag3 HQOS (shaper-rate-1)
Accounting Request (На сессию и на сервис)
Назначение IPадреса: local pool,
local DHCP, Внешний
DHCP relay
DHCP/PPPoE
CPE
Access Node
Ethernet/
L2VPN/
VPLS
Demux0
SP MPLS
Core
MX Series
Dynamic-profile Default (drop all, open-garden, redirect).
Dynamic-profile INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’)
Dynamic-profile APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’)
Dynamic-profile HQOS (‘$rates’, ‘$scheduler-map’)
60
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
Applications/Content
(Video, Voice,…)
Internet
Подписчики
локальной
сети

61. НОВАЯ СЕМАНТИКА CLI: DYNAMIC PROFILE, ACCESS
PROFILE
Access Profile – правила Аутентификации, Авторизации и
динамической настройки параметров
§ Посредством RADIUS
Dynamic profile = Cервис (вкл/выкл)
Определяет структуры сервиса и набор необходимых параметром
§ Динамическая настройка параметров интерфейса:
– Firewall Filter
– Service Set, Address, Routing Instance
§ Динамическая настройка параметров CoS:
– Traffic Control Profile
– Shaping Rates, Weights, Queue Parameters, ....
§ Динамическая настройка параметров протоколов:
IGMP
61
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

62. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
62
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

63. ЛАБОРАТОРНАЯ СХЕМА
63
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

64. ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА
МОДЕЛЬ 1:1 VLAN
interfaces {
ge-1/0/1 {
hierarchical-scheduler;
flexible-vlan-tagging;
auto-configure {
stacked-vlan-ranges {
dynamic-profile DVLAN {
accept dhcp-v4;
ranges {
10-10,10-1000;
1000-1000,10-1000;
}
}
access-profile RAUTH;
}
remove-when-no-subscribers;
}
encapsulation flexible-ethernet-services;
}
}
64
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

65. ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА
МОДЕЛЬ N:1 VLAN
interfaces {
ge-1/0/1 {
hierarchical-scheduler;
flexible-vlan-tagging;
unit 3000 {
demux-source inet;
vlan-id 3000;
family inet {
unnumbered-address lo0.0;
}
}
encapsulation flexible-ethernet-services;
}
}
65
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

66. ТИПОВАЯ НАСТРОЙКА
АУТЕНТИФИКАЦИЯ
access {
profile RAUTH {
authentication-order radius;
radius {
authentication-server 172.30.53.11;
options {
nas-identifier chile_bras;
}
}
radius-server {
172.30.53.11 {
secret "$9$Ak3Ot1heK87dsWLZUiHmP1RE"; ## SECRET-DATA
source-address 172.30.53.127;
}
}
}
}
66
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

67. ТИПОВАЯ НАСТРОЙКА
DHCP СЕРВЕР
dhcp-local-server {
pool-match-order {
ip-address-first;
}
group dvlan {
authentication {
password test123;
username-include {
mac-address;
}
}
dynamic-profile INET;
interface ge-1/0/1.0;
}
}
67
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

68. ТИПОВАЯ НАСТРОЙКА
DHCP POOL
access {
address-assignment {
pool DHCP1 {
family inet {
network 172.18.0.0/23;
range range1 {
low 172.18.0.10;
high 172.18.1.253;
}
dhcp-attributes {
router {
172.18.1.254;
}
}
}
}
}
}
68
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

69. ТИПОВАЯ НАСТРОЙКА
ДИНАМИЧЕСКИЙ ПРОФИЛЬ (1)
dynamic-profiles {
DVLAN {
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
demux-source inet;
proxy-arp unrestricted;
vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";
family inet {
unnumbered-address lo0.0;
}
}
}
}
}
}
69
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

70. ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
70
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

71. АКТИВАЦИЯ СЕРВИСНОГО ПАКЕТА ДЛЯ CGNAT
chassis {
fpc 0 {
pic 0 {
adaptive-services {
service-package layer-3;
}
}
pic 1 {
adaptive-services {
service-package layer-3;
}
}
}
}
71
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

72. НАСТРОЙКА СЕРВИСНЫХ ИНТЕРФЕЙСОВ
interfaces {
sp-0/0/0 {
services-options {
inactivity-timeout 100;
cgn-pic;
}
unit 0 {
family inet {
address 10.77.1.1/32;
}
}
unit 10 {
family inet;
service-domain inside;
}
unit 20 {
family inet;
service-domain outside;
}
}
72
interfaces {
sp-0/1/0 {
services-options {
inactivity-timeout 100;
cgn-pic;
}
unit 0 {
family inet {
address 10.77.1.1/32;
}
}
unit 10 {
family inet;
service-domain inside;
}
unit 20 {
family inet;
service-domain outside;
}
Copyright © 2013 Juniper Networks, Inc.
}
www.juniper.net

73. ОПРЕДЕЛЕНИЕ SERVICE-SET ДЛЯ ИНТЕРФЕЙСОВ
SP-0/0/0 И SP-0/1/0
service-set SP_0_0_0 {
nat-rule-sets SP_0_0_0;
next-hop-service {
inside-service-interface sp-0/0/0.10;
outside-service-interface sp-0/0/0.20;
}
}
service-set SP_0_1_0 {
nat-rule-sets SP_0_1_0;
next-hop-service {
inside-service-interface sp-0/1/0.10;
outside-service-interface sp-0/1/0.20;
}
}
73
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

74. НАСТРОЙКА NAT POOL
nat {
pool 172_16_96_0 {
address-range low 172.16.96.0 high 172.16.103.255;
port {
automatic {
}
secured-port-block-allocation block-size 20000 max-blocks-peraddress 1;
}
address-allocation round-robin;
}
}
74
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net

75. НАСТРОЙКА NAT RULE
rule SP_0_1_0_NAPT {
match-direction input;
term NAT {
from {
source-prefix-list {
RFC6598-1;
}
}
then {
translated {
source-pool 172_16_104_0;
translation-type {
napt-44;
}
mapping-type endpoint-independent;
filtering-type {
endpoint-independent;
}
address-pooling paired;
}
75
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net