_J_ Posted December 25, 2015 Posted December 25, 2015 Всем привет. Я ни разу в руках не держал продукцию Джунипера и у меня есть вопрос к тес кто работал с коммутаторами. Задача следующая: Есть 2 VRF, в каждой свой маршрут по умолчанию и свои сети /24; есть также в global VRF 2 сервиса с двумя ip в /28 сетке; ip сервисов постоянны, добавлять или менять адреса нельзя, 1 сервис = 1 ip-адрес; Задача смаршрутизировать 2 VRF между сетью с сервисами внутри коммутатора, скажем Juniper EX3300. Это возможно? Вставить ник Quote
mightyscv Posted December 25, 2015 Posted December 25, 2015 Возможно, но с ограничениями, которые могут в перспективе сделать конфигурацию сложно поддерживаемой. Вставить ник Quote
myst Posted December 25, 2015 Posted December 25, 2015 А у джунипера весь роутинг такой "с ограничениями". Чего стоит одна только невожможность в PBR сделать next-hop IP на тех же SRX. Вставить ник Quote
mightyscv Posted December 25, 2015 Posted December 25, 2015 myst У меня нет возможности посмотреть вживую сейчас. next-hop указать никогда и нельзя было - только next-instance. Это изменили разве? Вставить ник Quote
myst Posted December 25, 2015 Posted December 25, 2015 myst У меня нет возможности посмотреть вживую сейчас. next-hop указать никогда и нельзя было - только next-instance. Это изменили разве? Я про то и говорю. А это ***ец как криво. Ну просто адски криво. Вставить ник Quote
mightyscv Posted December 25, 2015 Posted December 25, 2015 Сам спросил - сам и ответил. Оказывается с 12.2 можно и next-ip указать. Я так понимаю что пока что не на всех платформах. http://www.juniper.net/techpubs/en_US/junos15.1/topics/topic-map/filter-based-forwarding-policy-based-routing.html myst Это в принципе вопрос предпочтений и контекста конкретной задачи. Если разных next-hop много то создавать отдельные VRF для каждого, конечно, неудобно. Но обычно такая ситуация это уже повод задуматься о правильности дизайна. Вставить ник Quote
myst Posted December 25, 2015 Posted December 25, 2015 Несколько интерфейсов в одном врф/rt. Надо отматчить трафик и завернуть его на конкретный IP. Вполне стандартная ситуация. Я так на тестовые узлы через пол россии трафик прокидывал. На цисках. Вставить ник Quote
nuclearcat Posted December 25, 2015 Posted December 25, 2015 П-ц как криво, это когда в циске(большинство свитчей) нельзя сделать deny в PBR. Моя жизнь стала намного проще после перехода на джуны. Вставить ник Quote
mightyscv Posted December 25, 2015 Posted December 25, 2015 Мы тут немного в оффтопик скатываемся, но всё же. myst Из описания вашей проблемы я так понял, что у вас next-hop один. Тогда принципиальной разницы между next-hop и next-vrf стилем нет, чуть больше конфигурации разве что. Зато я вспомнил какую задачу стилем next-hop не решить - когда требуется динамическая маршрутизация для резервирования например. Указав next-vrf можно очень гибко ликать в него маршруты из динамических протоколов, вплоть до LSP. С next-ip стилем этого сделать нельзя по очевидным причинам. Вставить ник Quote
myst Posted December 25, 2015 Posted December 25, 2015 П-ц как криво, это когда в циске(большинство свитчей) нельзя сделать deny в PBR. Моя жизнь стала намного проще после перехода на джуны. Шта? Мы тут немного в оффтопик скатываемся, но всё же. myst Из описания вашей проблемы я так понял, что у вас next-hop один. Тогда принципиальной разницы между next-hop и next-vrf стилем нет, чуть больше конфигурации разве что. Зато я вспомнил какую задачу стилем next-hop не решить - когда требуется динамическая маршрутизация для резервирования например. Указав next-vrf можно очень гибко ликать в него маршруты из динамических протоколов, вплоть до LSP. С next-ip стилем этого сделать нельзя по очевидным причинам. У меня некстхоп, вот именно некст-хоп отличный от динамической маршрутизации и статиков. Вставить ник Quote
nuclearcat Posted December 26, 2015 Posted December 26, 2015 Шта? Давайте разговаривать техническим языком, а не "шта". Есть прозрачная прокся, но надо сделать заворот на нее траффика кроме некоторых подсетей и ip: route-map PROXY1-PBR permit 20 match ip address TOWWW set ip next-hop 10.0.101.2 попытка сделать в acl TOWWW deny, или route-map PROXY1-PBR deny приведет к гарантированному уходу траффика на CPU на свитчах серии 3560, 3750, 4948 и окочуриванию железки. Вставить ник Quote
myst Posted December 28, 2015 Posted December 28, 2015 ну так то да, deny в pbr там отрабатывают софтово. но не стоит забывать что это свищи всетаки. я в данном случае борюсь использованем VRF. Вставить ник Quote
nuclearcat Posted December 28, 2015 Posted December 28, 2015 myst - ну для меня это самая оптимальная платформа, т.к. из l3 требуется минимум. И тут циска пролетает как фанера над парижем :) Мне этот софтовый deny уже поперек горла стоит. Дальше - что у Циски есть TOR 10G, из полноценного l3? У Джуна есть волшебные EX4500/EX4550(этот 40G может), у циски с кучей SFP+ - C4500X в лучшем случае (дороже и меньше портов). Вставить ник Quote
myst Posted December 28, 2015 Posted December 28, 2015 myst - ну для меня это самая оптимальная платформа, т.к. из l3 требуется минимум. И тут циска пролетает как фанера над парижем :) Мне этот софтовый deny уже поперек горла стоит. Дальше - что у Циски есть TOR 10G, из полноценного l3? У Джуна есть волшебные EX4500/EX4550(этот 40G может), у циски с кучей SFP+ - C4500X в лучшем случае (дороже и меньше портов). Да чо говорить, у всего есть свои сильные и слабые стороны... У джунипера свои приколы которые просто вымораживают. Попробуйте на том же SRX sh route сделать с парой FV и поиском по табличке. Можно спокойно уходить курить. Вставить ник Quote
nuclearcat Posted December 28, 2015 Posted December 28, 2015 Ну наверное смотря какой SRX. Я пока в BGP их не использую Вставить ник Quote
myst Posted December 28, 2015 Posted December 28, 2015 Да любой, у меня вон пачка 650х в продакшене крутились.. Исплевался весь. Вставить ник Quote
mightyscv Posted December 28, 2015 Posted December 28, 2015 myst Где-то в этот момент обычно люди понимают, что не надо пользоваться конструкцией sh route | match, а надо sh route <prefix>/<length> Вставить ник Quote
myst Posted December 28, 2015 Posted December 28, 2015 myst Где-то в этот момент обычно люди понимают, что не надо пользоваться конструкцией sh route | match, а надо sh route <prefix>/<length> Не всегда приминимо, особенно когда ты длинну префикса не знаешь нопремер. Или надо посмотреть что-то специфичное, например все вхождения в том числе и hidden. Вставить ник Quote
mightyscv Posted December 28, 2015 Posted December 28, 2015 myst sh route <prefix>/<length> all sh route <prefix>/<length> hidden итд Указывая <prefix>/<length> вы получите все специфики, входящие в этот префикс. Возможно пора уже почитать документацию по JUNOS CLI? Вставить ник Quote
myst Posted December 28, 2015 Posted December 28, 2015 myst sh route <prefix>/<length> all sh route <prefix>/<length> hidden итд Указывая <prefix>/<length> вы получите все специфики, входящие в этот префикс. Возможно пора уже почитать документацию по JUNOS CLI? Ещё раз, это когда ты знаешь точно что искать, а когда ты знаешь только кусок и надо посмотреть все вхождения это уже не прокатывает. Вставить ник Quote
mightyscv Posted December 28, 2015 Posted December 28, 2015 myst Не понимаю. Пример привести можете? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.