[_J_]

Всем привет.

Я ни разу в руках не держал продукцию Джунипера и у меня есть вопрос к тес кто работал с коммутаторами.

Задача следующая:

 

• Есть 2 VRF, в каждой свой маршрут по умолчанию и свои сети /24;
  
• есть также в global VRF 2 сервиса с двумя ip в /28 сетке;
  
• ip сервисов постоянны, добавлять или менять адреса нельзя, 1 сервис = 1 ip-адрес;
  

Задача смаршрутизировать 2 VRF между сетью с сервисами внутри коммутатора, скажем Juniper EX3300.

Это возможно?

[mightyscv]

Возможно, но с ограничениями, которые могут в перспективе сделать конфигурацию сложно поддерживаемой.

[myst]

А у джунипера весь роутинг такой "с ограничениями".

Чего стоит одна только невожможность в PBR сделать next-hop IP на тех же SRX.

[mightyscv]

myst

У меня нет возможности посмотреть вживую сейчас. next-hop указать никогда и нельзя было - только next-instance. Это изменили разве?

[myst]

myst

У меня нет возможности посмотреть вживую сейчас. next-hop указать никогда и нельзя было - только next-instance. Это изменили разве?

Я про то и говорю.

А это ***ец как криво. Ну просто адски криво.

[mightyscv]

Сам спросил - сам и ответил.

Оказывается с 12.2 можно и next-ip указать. Я так понимаю что пока что не на всех платформах.

http://www.juniper.net/techpubs/en_US/junos15.1/topics/topic-map/filter-based-forwarding-policy-based-routing.html

 

myst

Это в принципе вопрос предпочтений и контекста конкретной задачи. Если разных next-hop много то создавать отдельные VRF для каждого, конечно, неудобно. Но обычно такая ситуация это уже повод задуматься о правильности дизайна.

[myst]

Несколько интерфейсов в одном врф/rt.

Надо отматчить трафик и завернуть его на конкретный IP.

Вполне стандартная ситуация. Я так на тестовые узлы через пол россии трафик прокидывал. На цисках.

[nuclearcat]

П-ц как криво, это когда в циске(большинство свитчей) нельзя сделать deny в PBR. Моя жизнь стала намного проще после перехода на джуны.

[mightyscv]

Мы тут немного в оффтопик скатываемся, но всё же.

myst

Из описания вашей проблемы я так понял, что у вас next-hop один. Тогда принципиальной разницы между next-hop и next-vrf стилем нет, чуть больше конфигурации разве что.

Зато я вспомнил какую задачу стилем next-hop не решить - когда требуется динамическая маршрутизация для резервирования например. Указав next-vrf можно очень гибко ликать в него маршруты из динамических протоколов, вплоть до LSP. С next-ip стилем этого сделать нельзя по очевидным причинам.

[myst]

П-ц как криво, это когда в циске(большинство свитчей) нельзя сделать deny в PBR. Моя жизнь стала намного проще после перехода на джуны.

 

Шта?

 

Мы тут немного в оффтопик скатываемся, но всё же.

myst

Из описания вашей проблемы я так понял, что у вас next-hop один. Тогда принципиальной разницы между next-hop и next-vrf стилем нет, чуть больше конфигурации разве что.

Зато я вспомнил какую задачу стилем next-hop не решить - когда требуется динамическая маршрутизация для резервирования например. Указав next-vrf можно очень гибко ликать в него маршруты из динамических протоколов, вплоть до LSP. С next-ip стилем этого сделать нельзя по очевидным причинам.

 

У меня некстхоп, вот именно некст-хоп отличный от динамической маршрутизации и статиков.

[nuclearcat]

Шта?

 

Давайте разговаривать техническим языком, а не "шта".

Есть прозрачная прокся, но надо сделать заворот на нее траффика кроме некоторых подсетей и ip:

 

route-map PROXY1-PBR permit 20

match ip address TOWWW

set ip next-hop 10.0.101.2

 

попытка сделать в acl TOWWW deny, или route-map PROXY1-PBR deny приведет к гарантированному уходу траффика на CPU на свитчах серии 3560, 3750, 4948 и окочуриванию железки.

[myst]

ну так то да, deny в pbr там отрабатывают софтово. но не стоит забывать что это свищи всетаки.

я в данном случае борюсь использованем VRF.

[nuclearcat]

myst - ну для меня это самая оптимальная платформа, т.к. из l3 требуется минимум. И тут циска пролетает как фанера над парижем :)

Мне этот софтовый deny уже поперек горла стоит.

Дальше - что у Циски есть TOR 10G, из полноценного l3? У Джуна есть волшебные EX4500/EX4550(этот 40G может), у циски с кучей SFP+ - C4500X в лучшем случае (дороже и меньше портов).

[myst]

myst - ну для меня это самая оптимальная платформа, т.к. из l3 требуется минимум. И тут циска пролетает как фанера над парижем :)

Мне этот софтовый deny уже поперек горла стоит.

Дальше - что у Циски есть TOR 10G, из полноценного l3? У Джуна есть волшебные EX4500/EX4550(этот 40G может), у циски с кучей SFP+ - C4500X в лучшем случае (дороже и меньше портов).

Да чо говорить, у всего есть свои сильные и слабые стороны...

У джунипера свои приколы которые просто вымораживают.

Попробуйте на том же SRX sh route сделать с парой FV и поиском по табличке. Можно спокойно уходить курить.

[nuclearcat]

Ну наверное смотря какой SRX. Я пока в BGP их не использую

[myst]

Да любой, у меня вон пачка 650х в продакшене крутились.. Исплевался весь.

[mightyscv]

myst

Где-то в этот момент обычно люди понимают, что не надо пользоваться конструкцией sh route | match, а надо sh route <prefix>/<length>

[myst]

myst

Где-то в этот момент обычно люди понимают, что не надо пользоваться конструкцией sh route | match, а надо sh route <prefix>/<length>

Не всегда приминимо, особенно когда ты длинну префикса не знаешь нопремер. Или надо посмотреть что-то специфичное, например все вхождения в том числе и hidden.

[mightyscv]

myst

sh route <prefix>/<length> all

sh route <prefix>/<length> hidden

итд

Указывая <prefix>/<length> вы получите все специфики, входящие в этот префикс.

 

Возможно пора уже почитать документацию по JUNOS CLI?

[myst]

myst

sh route <prefix>/<length> all

sh route <prefix>/<length> hidden

итд

Указывая <prefix>/<length> вы получите все специфики, входящие в этот префикс.

 

Возможно пора уже почитать документацию по JUNOS CLI?

Ещё раз, это когда ты знаешь точно что искать, а когда ты знаешь только кусок и надо посмотреть все вхождения это уже не прокатывает.

[mightyscv]

myst

Не понимаю. Пример привести можете?