[Megas]

Возникла задачка, завернуть часть трафика через внутренний сервер, попробовал юзать мануал: https://jncie.files.wordpress.com/2008/09/350136_filter-based-forwarding.pdf

но вот проблема, не получается, вижу трафик из сети приходит, но с интерфейса не уходит.

Пока гоняю все в GNS3.

 

Схема такая:

VM01 --> GateMXJuniper --> World,

надо чтобы GateMXJuniper отправил трафик на еще один внутрений сервер-роутер, который снова вернет трафик на GateMXJuniper, но уже в отфильтрованном виде.

 

set firewall filter classify-customers term sp1-customers from source-address 192.168.101.1/32
set firewall filter classify-customers term sp1-customers then log
set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table
set firewall filter classify-customers term default then accept

set interfaces em1 unit 101 family inet filter input classify-customers

set routing-instances sp1-route-table instance-type forwarding
set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 192.168.101.100

set routing-options rib-groups fbf-group import-rib inet.0
set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0

 

Может кто подскажет как лучше реализовать задачу такого плана?

[pfexec]

позовите админа, он вам поможет.

[Megas]

позовите админа, он вам поможет.

 

спасибо, улыбнулся.

[Night_Snake]

Вот тут еще посмотрите

[Megas]

Night_Snake, спасибо, буду изучать.

[Megas]

В общем пока задача решена, дело в маршрутах, намудрил слегка.

Логика такая: имеем роутер сети, к нему подключаем тазик и по ospf отдаем direct маршруты с роутера, ставим пару серых ипов только для машрутизации и перенаправляем на него трафик

Получается лишний хоп и небольшая задержка, но для фильтрации почты и другого мусорного трафика то что надо, единственно не совсем понятно как будет с нагрузкой, ведь это фактически static машрутизация, проходит ли она через CPU на MX? или роутится напрямую?

Изменено 13 февраля, 2015 пользователем Megas

[Megas]

Извняюсь за совсем не скромный вопрос, но ищу куда копать, задача:

 

Достали китайцы, мы с ними в принципе не работаем, но есть большое желение закрыть трафик в их сторону.

Имеется порядка 3-х различных full view, чем это реализуется на JunOS?

Так понимаю надо крутить в сторону: set policy-options as-path

или может есть какой-то рецепт кто использует уже давно?

[orlik]

вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :)

[martini]

проходит ли она через CPU на MX

 

софтварная маршрутизация на МХ ?? не смешите меня )

[Megas]

вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :)

 

Спасибо, но в данном случае это не провайдинг, а скорее хостинг доступ к которому иметь китайцам мне кажется нет смысла, но можно конечно проанализировать имеющиеся flow на предмет страны принадлежности, что и сделаю в ближайшее время.

Но пока интересует возможность блокировки и методы.

 

софтварная маршрутизация на МХ ?? не смешите меня )

Да, уже не много почитал на тему как происходит роутинг и в голове стало более понятно.