pbr на juniper srx240

[oleg9301]

Коллеги есть на cisco такой pbr:

 

ip local policy route-map test

 

route-map test permit 10

match ip address 13

set ip next-hop 79.X.X.1

!

route-map test permit 15

match ip address 14

set ip next-hop 213.X.X.1

 

access-list 13 remark ------

access-list 13 permit 1.1.1.1

 

 

access-list 14 remark ------

access-list 14 permit 2.2.2.2

 

int vlan 1

ip addr 1.1.1.1 255.255.255.252

 

int vlan 2

ip addr 2.2.2.2 255.255.255.252

 

 

Как можно подобную схему реализовать на juniper используя FBF ( Filter Base Forwarding) или что нибудь другое.

Чтобы траффик, который генерируется control-plane'ом роутера попадал под PBR ( FBF ).

Идём с source ip 1.1.1.1 меняем next-hop на 79.X.X.1

Идём с source ip 2.2.2.2 меняем next-hop на 213.X.X.1

Где ip адреса 1.1.1.1 и 2.2.2.2 являются svi маршрутизатора.

[oleg9301]

Забыл уточнить, иcпользовать vrf-lite не хочется, т.к. эти svi используются для gre.

[rdntw]

может на лупбек попробовать фильтры с правилами повесить?

ну и стандартная схема с rib-group+RI

[oleg9301]

Настроил fbf по ману

http://jsrx.juniperwiki.com/index.php?title=Filter_Based_Forwarding

 

и повесил filter на лупбек. Не работает. В итоге переделал схему и отказался от fbf.

[Night_Snake]

и повесил filter на лупбек. Не работает. В итоге переделал схему и отказался от fbf.

Вот тут почитайте: http://nixman.info/?p=2476

Делал тоже с мана, но у меня все заработало, поэтому решил оставить в своем переложении

 

P.S. Кстати а смысл всех этих телодвижений в чем? Ради чего вся эта свистопляска?

Edited August 28, 2015 by Night_Snake

[fernal99]

и повесил filter на лупбек. Не работает. В итоге переделал схему и отказался от fbf.

Вот тут почитайте: http://nixman.info/?p=2476

Делал тоже с мана, но у меня все заработало, поэтому решил оставить в своем переложении

 

P.S. Кстати а смысл всех этих телодвижений в чем? Ради чего вся эта свистопляска?

 

Смотрите есть у вас 2 интернета и 1 л2 канал. Смысл в ассиметрии траффика. Т.е. если у нас интернет 1 - это 1.1.1.1 , интернет 2 - это 2.2.2.2 и если я захожу удалённо на железку по ip 1.1.1.1 входящий трафик пойдёт через интернет 1, а вот исходящий с железки обратный трафик уже через л2 канал, т.к. он в приоритете. Получается ассиметрия и pbr нужен для того чтобы траффик пришедший с 1.1.1.1 выплёвывать в gateway провайдера , например 1.1.1.2.

[rdntw]

Делал тоже с мана, но у меня все заработало, поэтому решил оставить в своем переложении

у вас FBF для транзитного трафика видимо, а у него для локального

 

Чтобы траффик, который генерируется control-plane'ом роутера попадал под PBR ( FBF ).

Идём с source ip 1.1.1.1 меняем next-hop на 79.X.X.1

Идём с source ip 2.2.2.2 меняем next-hop на 213.X.X.1

Где ip адреса 1.1.1.1 и 2.2.2.2 являются svi маршрутизатора.

а что если нарисовать фильтр который будет матчить SIP..т.е.если SIP будет 1.1.1.1 ( ISP1) то форвардить пакеты в 1.1.1.2, если SIP 2.2.2.2 ( ISP2) то в 2.2.2.1

вешать этот фильтр на OUT в интерфейсе L2-канала

[myst]

set ip next-hop 79.X.X.1 на джунипер не получится просто так, там в качестве next-hop может быть routing-instance Только =)

[fernal99]

Делал тоже с мана, но у меня все заработало, поэтому решил оставить в своем переложении

у вас FBF для транзитного трафика видимо, а у него для локального

 

Да, вы правы rdntw все именно так. Транзитный трафик неинтересен

 

Myst добавлю также что это до Jun OS 12.2, С Jun OS 12.2 можно ещё указывать next-interface вместо routing-instance. Только проблема в том что у нас стоит juniper srx-240H и для него 12.2 я так и не нашёл.

 

Вот пруф http://www.juniper.net/documentation/en_US/junos12.2/topics/topic-map/filter-based-forwarding-policy-based-routing.html

 

"Starting in Junos OS Release 12.2, you can use then next-interface, then next-ip, or then next-ip6 as an action in a firewall filter"