Jump to content
Калькуляторы

ACL на Juniper

Reply to this topic

alex4222   

alex4222
Posted (edited)

Подскажите пожалуйста конфиг для EX4200

необходимо пользователю разрешить доступ к 0.0.0.0/0, но заблочить 10.0.0.0 255.0.0.0

на порту создан L3 интерфейс в влане, который является шлюзом для пользователя.

 

желательно не для физического порта, а именно для L3 интерфейса, т.к в других вланах есть свой трафик.

Edited by alex4222

Share this post

Link to post
Share on other sites

alex4222   

alex4222
Posted

 

это сам фильтр

 

[edit firewall family inet]

root# show

filter filter-in {

term block-some-packets {

from {

destination-address {

10.0.0.0/8;

}

}

then {

discard;

}

}

term accept-all-other {

then accept;

}

}

 

а вот он прикручивается на порт

 

[edit]

root# edit interfaces em0

 

[edit interfaces em0]

root# show

unit 0 {

family inet {

filter {

input filter-in;

}

}

}

 

[edit interfaces em0]

root#

 

 

а мне нужно на L3 интерфейс например такой http://xgu.ru/w/images/0/06/Rvi-junos.PNG

как?

Share this post

Link to post
Share on other sites

alex4222   

alex4222
Posted

set interfaces vlan unit 2225 family inet filter ххххххх

 

наверное так я на влан повешу? будет работать?

 

просто нет песочницы. нельзя ошибиться.

Share this post

Link to post
Share on other sites

Mystray   

Mystray
Posted

set interfaces vlan unit 2225 family inet filter ххххххх

 

наверное так я на влан повешу? будет работать?

Да, именно так, interface vlan unit с family inet - в концепции джуна такой же L3-интерфейс, как и любой другой.

просто нет песочницы. нельзя ошибиться.

commit confirmed с этим поможет.

Share this post

Link to post
Share on other sites

alex4222   

alex4222
Posted

set interfaces vlan unit 2225 family inet filter ххххххх

 

наверное так я на влан повешу? будет работать?

Да, именно так, interface vlan unit с family inet - в концепции джуна такой же L3-интерфейс, как и любой другой.

просто нет песочницы. нельзя ошибиться.

commit confirmed с этим поможет.

 

спасибо. commit confirmed само собой, но вопрос вначале нужно провентилировать, а то мало ли что. даже минутный простой будет иметь негативные последствия.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted

Как-то вот так выходит вешаю на сам вилан

 

ТС есть закрытая ветка джуноса на форуме.

 

 

family ethernet-switching {
   filter igmp {
       term 1 {
           from {
               source-address {
                   172.30.20.0/24;
               }
           }
           then {
               discard;
               count source-discard;
           }
       }
       term 2 {
           from {
               destination-address {
                   172.30.20.0/24;
               }
           }
           then count destination-discard;
       }
       term default {
           then {
               accept;
               count accept;
           }
       }
   }

   vlan3013 {
       vlan-id 3013;
       filter {
           input igmp;
           output igmp;

 

Как ты писал у тебя не получится т.к. интерфейсы нужно будет настраивать по другому как на роутере и потом их бриджевать их.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...