Jump to content
Калькуляторы

JunOS, mx, filter base forwarding Завернуть трафик

Возникла задачка, завернуть часть трафика через внутренний сервер, попробовал юзать мануал: https://jncie.files.wordpress.com/2008/09/350136_filter-based-forwarding.pdf

но вот проблема, не получается, вижу трафик из сети приходит, но с интерфейса не уходит.

Пока гоняю все в GNS3.

 

Схема такая:

VM01 --> GateMXJuniper --> World,

надо чтобы GateMXJuniper отправил трафик на еще один внутрений сервер-роутер, который снова вернет трафик на GateMXJuniper, но уже в отфильтрованном виде.

 

set firewall filter classify-customers term sp1-customers from source-address 192.168.101.1/32
set firewall filter classify-customers term sp1-customers then log
set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table
set firewall filter classify-customers term default then accept

set interfaces em1 unit 101 family inet filter input classify-customers

set routing-instances sp1-route-table instance-type forwarding
set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 192.168.101.100

set routing-options rib-groups fbf-group import-rib inet.0
set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0

 

Может кто подскажет как лучше реализовать задачу такого плана?

Share this post


Link to post
Share on other sites

В общем пока задача решена, дело в маршрутах, намудрил слегка.

Логика такая: имеем роутер сети, к нему подключаем тазик и по ospf отдаем direct маршруты с роутера, ставим пару серых ипов только для машрутизации и перенаправляем на него трафик

Получается лишний хоп и небольшая задержка, но для фильтрации почты и другого мусорного трафика то что надо, единственно не совсем понятно как будет с нагрузкой, ведь это фактически static машрутизация, проходит ли она через CPU на MX? или роутится напрямую?

Edited by Megas

Share this post


Link to post
Share on other sites

Извняюсь за совсем не скромный вопрос, но ищу куда копать, задача:

 

Достали китайцы, мы с ними в принципе не работаем, но есть большое желение закрыть трафик в их сторону.

Имеется порядка 3-х различных full view, чем это реализуется на JunOS?

Так понимаю надо крутить в сторону: set policy-options as-path

или может есть какой-то рецепт кто использует уже давно?

Share this post


Link to post
Share on other sites

вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :)

Share this post


Link to post
Share on other sites

вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :)

 

Спасибо, но в данном случае это не провайдинг, а скорее хостинг доступ к которому иметь китайцам мне кажется нет смысла, но можно конечно проанализировать имеющиеся flow на предмет страны принадлежности, что и сделаю в ближайшее время.

Но пока интересует возможность блокировки и методы.

 

софтварная маршрутизация на МХ ?? не смешите меня )

Да, уже не много почитал на тему как происходит роутинг и в голове стало более понятно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.