Megas Posted February 7, 2015 · Report post Возникла задачка, завернуть часть трафика через внутренний сервер, попробовал юзать мануал: https://jncie.files.wordpress.com/2008/09/350136_filter-based-forwarding.pdf но вот проблема, не получается, вижу трафик из сети приходит, но с интерфейса не уходит. Пока гоняю все в GNS3. Схема такая: VM01 --> GateMXJuniper --> World, надо чтобы GateMXJuniper отправил трафик на еще один внутрений сервер-роутер, который снова вернет трафик на GateMXJuniper, но уже в отфильтрованном виде. set firewall filter classify-customers term sp1-customers from source-address 192.168.101.1/32 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table set firewall filter classify-customers term default then accept set interfaces em1 unit 101 family inet filter input classify-customers set routing-instances sp1-route-table instance-type forwarding set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 192.168.101.100 set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 Может кто подскажет как лучше реализовать задачу такого плана? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted February 8, 2015 · Report post позовите админа, он вам поможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted February 9, 2015 · Report post позовите админа, он вам поможет. спасибо, улыбнулся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted February 10, 2015 · Report post Вот тут еще посмотрите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted February 10, 2015 · Report post Night_Snake, спасибо, буду изучать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted February 13, 2015 (edited) · Report post В общем пока задача решена, дело в маршрутах, намудрил слегка. Логика такая: имеем роутер сети, к нему подключаем тазик и по ospf отдаем direct маршруты с роутера, ставим пару серых ипов только для машрутизации и перенаправляем на него трафик Получается лишний хоп и небольшая задержка, но для фильтрации почты и другого мусорного трафика то что надо, единственно не совсем понятно как будет с нагрузкой, ведь это фактически static машрутизация, проходит ли она через CPU на MX? или роутится напрямую? Edited February 13, 2015 by Megas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted March 28, 2015 · Report post Извняюсь за совсем не скромный вопрос, но ищу куда копать, задача: Достали китайцы, мы с ними в принципе не работаем, но есть большое желение закрыть трафик в их сторону. Имеется порядка 3-х различных full view, чем это реализуется на JunOS? Так понимаю надо крутить в сторону: set policy-options as-path или может есть какой-то рецепт кто использует уже давно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted March 28, 2015 · Report post вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted March 28, 2015 · Report post проходит ли она через CPU на MX софтварная маршрутизация на МХ ?? не смешите меня ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted March 28, 2015 · Report post вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Спасибо, но в данном случае это не провайдинг, а скорее хостинг доступ к которому иметь китайцам мне кажется нет смысла, но можно конечно проанализировать имеющиеся flow на предмет страны принадлежности, что и сделаю в ближайшее время. Но пока интересует возможность блокировки и методы. софтварная маршрутизация на МХ ?? не смешите меня ) Да, уже не много почитал на тему как происходит роутинг и в голове стало более понятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...