Megas Опубликовано 7 февраля, 2015 Возникла задачка, завернуть часть трафика через внутренний сервер, попробовал юзать мануал: https://jncie.files.wordpress.com/2008/09/350136_filter-based-forwarding.pdf но вот проблема, не получается, вижу трафик из сети приходит, но с интерфейса не уходит. Пока гоняю все в GNS3. Схема такая: VM01 --> GateMXJuniper --> World, надо чтобы GateMXJuniper отправил трафик на еще один внутрений сервер-роутер, который снова вернет трафик на GateMXJuniper, но уже в отфильтрованном виде. set firewall filter classify-customers term sp1-customers from source-address 192.168.101.1/32 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table set firewall filter classify-customers term default then accept set interfaces em1 unit 101 family inet filter input classify-customers set routing-instances sp1-route-table instance-type forwarding set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 192.168.101.100 set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 Может кто подскажет как лучше реализовать задачу такого плана? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 8 февраля, 2015 позовите админа, он вам поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 9 февраля, 2015 позовите админа, он вам поможет. спасибо, улыбнулся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 10 февраля, 2015 Вот тут еще посмотрите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 10 февраля, 2015 Night_Snake, спасибо, буду изучать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 13 февраля, 2015 (изменено) В общем пока задача решена, дело в маршрутах, намудрил слегка. Логика такая: имеем роутер сети, к нему подключаем тазик и по ospf отдаем direct маршруты с роутера, ставим пару серых ипов только для машрутизации и перенаправляем на него трафик Получается лишний хоп и небольшая задержка, но для фильтрации почты и другого мусорного трафика то что надо, единственно не совсем понятно как будет с нагрузкой, ведь это фактически static машрутизация, проходит ли она через CPU на MX? или роутится напрямую? Изменено 13 февраля, 2015 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 марта, 2015 Извняюсь за совсем не скромный вопрос, но ищу куда копать, задача: Достали китайцы, мы с ними в принципе не работаем, но есть большое желение закрыть трафик в их сторону. Имеется порядка 3-х различных full view, чем это реализуется на JunOS? Так понимаю надо крутить в сторону: set policy-options as-path или может есть какой-то рецепт кто использует уже давно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 28 марта, 2015 вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 28 марта, 2015 проходит ли она через CPU на MX софтварная маршрутизация на МХ ?? не смешите меня ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 марта, 2015 вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Спасибо, но в данном случае это не провайдинг, а скорее хостинг доступ к которому иметь китайцам мне кажется нет смысла, но можно конечно проанализировать имеющиеся flow на предмет страны принадлежности, что и сделаю в ближайшее время. Но пока интересует возможность блокировки и методы. софтварная маршрутизация на МХ ?? не смешите меня ) Да, уже не много почитал на тему как происходит роутинг и в голове стало более понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...