Aleksandr123456

Добрый день, нет ли у кого то адекватных oid для ZXA C610?

А кто нибудь делал редирект когда используется Dual Stack для ipv4/ipv6 ? Не работает почему то, даже если создать персональные правила для ipv6.

Нет, снифаком видно что она вшита, и до стыка с Джунипером доходит.

Добрый день. Это конечно сделано. Но не вшивается.

Подскажите пожалуйста, как заставить Juniper принимать опцию 82?

Добрый день! С наступающим! Думаю что уже нет, разобрался. Есть ли у вас есть какие то наработки по процессу авторизации IPoE через Captive Portal? Или как вы понимаете что нового- полностью неизвестного абонента надо пустить в интернет и при этом привязать к нужному договору. На цисках у нас был редирект на портал регистрации, здесь хочу тоже самое что то сделать...

Подскажите пожалуйста, не могу понять что делаю не так: Обычный интерфейс show configuration interfaces irb.29 family inet { filter { input DENY2; } address 10.168.0.254/24 { vrrp-group 1 { virtual-address 10.168.0.1; priority 150; preempt; accept-data; authentication-key "$9$H.Q31IhSyewYfTznCA"; ## SECRET-DATA track { interface et-0/0/2.29 { priority-cost 50; set firewall filter DENY2 term 1 from destination-prefix-list 13 set firewall filter DENY2 term 1 from source-prefix-list 12 set firewall filter DENY2 term 1 then accept set firewall filter DENY2 term then reject set policy-options prefix-list 12 10.163.3.224/29 set policy-options prefix-list 13 10.168.0.0/24 Навесил фильтр. Я правильно понимаю что если у меня трафик идёт не с 10.163.3.224/29 он должен блочиться? Блокировка не происходит.

Переделал route leake с помощью lt set routing-instances MGMT protocols ospf export TEST area 0.0.0.0 interface lt-0/0/0.1 set routing-instances USERS protocols ospf export TEST area 0.0.0.0 interface lt-0/0/0.0 set interfaces lt-0/0/0 unit 0 encapsulation ethernet peer-unit 1 family inet address 10.0.0.1/24 set interfaces lt-0/0/0 unit 1 encapsulation ethernet peer-unit 0 family inet address 10.0.0.2/24 set chassis fpc 0 pic 0 tunnel-services set policy-options policy-statement TEST from protocol ospf set policy-options policy-statement TEST from protocol direct set policy-options policy-statement TEST from protocol static set policy-options policy-statement TEST from protocol access Теперь если смотреть маршруты то все ок, пинги внутри juniper бегают, а вот если попытаться достучаться с любой сети которая в USERS, не пингуется. Ну и с фильтрами тоже самое.

Навешивание filter на сабы ospf и lo результатов не дало. Используется следующая конфигурация. Может быть в самой policy-options можно изначально зафильтровать сети? set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol static set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol direct set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol ospf set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol local set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 then accept set policy-options policy-statement ROUTE-LEAKE-MGMT term 2 then reject set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol static set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol direct set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol local set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol ospf set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 then accept set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 2 then reject set routing-options rib-groups M->U import-rib MGMT.inet.0 set routing-options rib-groups M->U import-rib USERS.inet.0 set routing-options rib-groups M->U import-policy ROUTE-LEAKE-MGMT set routing-options rib-groups U->M import-rib USERS.inet.0 set routing-options rib-groups U->M import-rib MGMT.inet.0 set routing-options rib-groups U->M import-policy ROUTE-LEAKE-MGMT_2 set routing-instances MGMT routing-options static rib-group M->U set routing-instances MGMT routing-options interface-routes rib-group inet M->U set routing-instances MGMT protocols ospf rib-groups inet M->U set routing-instances USERS routing-options static rib-group U->M set routing-instances USERS routing-options interface-routes rib-group inet U->M set routing-instances USERS protocols ospf rib-groups inet U->M

Вот быстрое решение на циске. route-policy vrf_MGMT if extcommunity rt matches-any (10:10) then pass elseif extcommunity rt matches-any (200:200) and destination in (**.**.**.**/23 le 32, 192.168.4.0/24, **.**.**.**/24) then pass else drop endif end-policy

Получается по факту нужно вешать на интерфейсы на которых висит ospf в RI? Вот это новости... В цисках совсем по другому решался этот вопрос...

Подскажите при route-leake, куда правильно навешивать ACL чтобы он отработал? Когда увидел что там нет подходящего варианта, создал filter filter vrf_MGMT_firewall { term 1 { from { destination-prefix-list { vrf_MGMT_firewall; } } then accept; } term 2 { then { reject; } } Однако так и не понял, как правильно его применить.

Спасибо большое. Можно еще вопрос. Поднимаю маршруты из MGMT в USERS и обратно для связности. set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol static set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol direct set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol ospf set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 from protocol local set policy-options policy-statement ROUTE-LEAKE-MGMT term 1 then accept set policy-options policy-statement ROUTE-LEAKE-MGMT term 2 then reject set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol static set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol direct set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol local set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 from protocol ospf set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 1 then accept set policy-options policy-statement ROUTE-LEAKE-MGMT_2 term 2 then reject set routing-options rib-groups M->U import-rib MGMT.inet.0 set routing-options rib-groups M->U import-rib USERS.inet.0 set routing-options rib-groups M->U import-policy ROUTE-LEAKE-MGMT set routing-options rib-groups U->M import-rib USERS.inet.0 set routing-options rib-groups U->M import-rib MGMT.inet.0 set routing-options rib-groups U->M import-policy ROUTE-LEAKE-MGMT_2 set routing-instances MGMT routing-options static rib-group M->U set routing-instances MGMT routing-options interface-routes rib-group inet M->U set routing-instances MGMT protocols ospf rib-groups inet M->U set routing-instances USERS routing-options static rib-group U->M set routing-instances USERS routing-options interface-routes rib-group inet U->M set routing-instances USERS protocols ospf rib-groups inet U->M Как можно сделать так, чтобы из USERS все сети в MGMT были доступны только для одного префикса?

Сессия поднялась. Все заработало, но поднимал ее в VRF BORDER где fw, теперь пытаюсь переделать в VRF USERS. И уперся в маршрутизацию. Стоит задача передать маршруты между двумя MX240 в RI USERS и передать его в RI BORDER. В RI USERS есть оба маршрута loopback с обоих машин. Один direct, другой получен по bgp (bgp+mpls+ospf). В RI BORDER есть только маршрут на локальный loopback. Полученный по bgp не передается. Используется вот такая политика. set routing-options rib-groups U->B import-rib USERS.inet.0 set routing-options rib-groups U->B import-rib BORDER.inet.0 set routing-options rib-groups U->B import-policy FROM-USERS set policy-options policy-statement FROM-USERS term 1 from protocol static set policy-options policy-statement FROM-USERS term 1 from protocol direct set policy-options policy-statement FROM-USERS term 1 from protocol bgp set policy-options policy-statement FROM-USERS term 1 then accept set policy-options policy-statement FROM-USERS term 2 then reject set routing-instances USERS routing-options interface-routes rib-group inet U->B set routing-instances USERS routing-options static rib-group U->B show route table USERS хх.хх.3.134/32 *[Direct/0] 00:58:16 > via lo0.3 хх.хх.3.135/32 *[BGP/170] 00:42:53, localpref 100, from 10.165.0.17 AS path: I, validation-state: unverified > to 10.165.0.34 via et-0/0/3.0, label-switched-path ASBR1-BBACC1 ASBR1> show route table BORDER хх.хх.3.134/32 BORDER.inet.0: 868316 destinations, 868316 routes (868316 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both хх.хх.3.134/32 *[Direct/0] 00:54:51 > via lo0.3 ASBR1> show route table BORDER хх.хх.3.135/32 ASBR1> BBACC1> show route advertising-protocol bgp 10.165.0.15 USERS.inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * хх.хх.3.135/32 Self 100 I В чем может быть ошибка?

Разобрался почему даже сессия не могла стартовать. Проблема была в коммутаторе Eltex. Решил. Разбираюсь дальше.