Megas Опубликовано 7 февраля, 2015 · Жалоба Возникла задачка, завернуть часть трафика через внутренний сервер, попробовал юзать мануал: https://jncie.files.wordpress.com/2008/09/350136_filter-based-forwarding.pdf но вот проблема, не получается, вижу трафик из сети приходит, но с интерфейса не уходит. Пока гоняю все в GNS3. Схема такая: VM01 --> GateMXJuniper --> World, надо чтобы GateMXJuniper отправил трафик на еще один внутрений сервер-роутер, который снова вернет трафик на GateMXJuniper, но уже в отфильтрованном виде. set firewall filter classify-customers term sp1-customers from source-address 192.168.101.1/32 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table set firewall filter classify-customers term default then accept set interfaces em1 unit 101 family inet filter input classify-customers set routing-instances sp1-route-table instance-type forwarding set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 192.168.101.100 set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 Может кто подскажет как лучше реализовать задачу такого плана? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 8 февраля, 2015 · Жалоба позовите админа, он вам поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 9 февраля, 2015 · Жалоба позовите админа, он вам поможет. спасибо, улыбнулся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 10 февраля, 2015 · Жалоба Вот тут еще посмотрите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 10 февраля, 2015 · Жалоба Night_Snake, спасибо, буду изучать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 13 февраля, 2015 (изменено) · Жалоба В общем пока задача решена, дело в маршрутах, намудрил слегка. Логика такая: имеем роутер сети, к нему подключаем тазик и по ospf отдаем direct маршруты с роутера, ставим пару серых ипов только для машрутизации и перенаправляем на него трафик Получается лишний хоп и небольшая задержка, но для фильтрации почты и другого мусорного трафика то что надо, единственно не совсем понятно как будет с нагрузкой, ведь это фактически static машрутизация, проходит ли она через CPU на MX? или роутится напрямую? Изменено 13 февраля, 2015 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 марта, 2015 · Жалоба Извняюсь за совсем не скромный вопрос, но ищу куда копать, задача: Достали китайцы, мы с ними в принципе не работаем, но есть большое желение закрыть трафик в их сторону. Имеется порядка 3-х различных full view, чем это реализуется на JunOS? Так понимаю надо крутить в сторону: set policy-options as-path или может есть какой-то рецепт кто использует уже давно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 28 марта, 2015 · Жалоба вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 28 марта, 2015 · Жалоба проходит ли она через CPU на MX софтварная маршрутизация на МХ ?? не смешите меня ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 марта, 2015 · Жалоба вы хотите совсем их заблокировать, весь китай ? А что вам на это ваши абоненты скажут, там всякие dx.com , alibaba и куча других :) Спасибо, но в данном случае это не провайдинг, а скорее хостинг доступ к которому иметь китайцам мне кажется нет смысла, но можно конечно проанализировать имеющиеся flow на предмет страны принадлежности, что и сделаю в ближайшее время. Но пока интересует возможность блокировки и методы. софтварная маршрутизация на МХ ?? не смешите меня ) Да, уже не много почитал на тему как происходит роутинг и в голове стало более понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...