Diamond911 Posted May 17, 2017 · Report post Здравствуйте форумчане, подскажите по железки Juniper ex4550-32f Можно ли на ней реализовать работу Policy Routing? Share this post Link to post Share on other sites
buckethead Posted May 17, 2017 · Report post Можно, там же junos, filter based forwarding в гугле. Share this post Link to post Share on other sites
pingz Posted May 17, 2017 · Report post Если у тебя настроены интерфейсы: ge-0/0/3 { description ABK-1; unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ 33 44 55 66 77 ]; } native-vlan-id 22; } } } То нужно будет через vlan22 { description upravlenie; vlan-id 22; l3-interface vlan.22; vlan { unit 22 { family inet { address 192.168.22.2/24; } } } Есть свои ограничения. Как я понял одновременно нельзя собирать вот такие интерфейсы: ge-1/1/0 { unit 33 { vlan-id 33; family inet { address 192.168.33.3/24; } } } Вот во втором варианте скорей у тебя все хорошо получится, только трафик, который нужно будет отправить транзитом нужно будет через бридж прогонять, а тут накладываются другие ограничения. Если нужен будет еще мирорить для сорма, то думаю получится и это сделать. Share this post Link to post Share on other sites
vvertexx Posted May 17, 2017 · Report post pingz а как ты на транк на L2 хочешь повесить IP? На циске разве такое возможно? Share this post Link to post Share on other sites
vvertexx Posted May 17, 2017 (edited) · Report post EX3200 [edit interfaces xe-0/1/0] root# show vlan-tagging; unit 24 { vlan-id 24; family inet { address 192.168.24.24/24; } } [edit interfaces xe-0/1/0] root# commit check configuration check succeeds Edited May 17, 2017 by vvertexx Share this post Link to post Share on other sites
pingz Posted May 17, 2017 · Report post l3-interface вешается IP если ты через ethernet-switching собираешь. Фильтры и роуты только вешаются не очень. Вроде про джун разговариваем. P.S. Есть закрытый раздел на наше по джуну. Share this post Link to post Share on other sites
vvertexx Posted May 17, 2017 · Report post pingz [edit interfaces xe-0/1/0] root# show vlan-tagging; unit 24 { vlan-id 24; family inet { address 192.168.24.24/24; } } unit 48 { vlan-id 48; family inet { address 192.168.48.48/24; } } [edit interfaces xe-0/1/0] root# commit check configuration check succeeds разные способы/идеология создания. можно прикрутить фильтр. Так не работает? ps: нет меня там Share this post Link to post Share on other sites
Diamond911 Posted May 23, 2017 · Report post Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит или я что-то не понимаю. Поясню по подробнее, что именно я хочу: Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip Share this post Link to post Share on other sites
nuclearcat Posted May 23, 2017 · Report post Если вы хотите изменять IP в пакете (NAT) - вам нужно устройство совершенно другого класса. fbf работает по аналогии с PBR, просто траффик отправляется по другой таблице роутинга, на другой хост Share this post Link to post Share on other sites
pingz Posted May 23, 2017 · Report post Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит или я что-то не понимаю. Поясню по подробнее, что именно я хочу: Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip Дай больше инфы В принципе для разных IP можно прописать разные фильтры и разные RI. Как я понял вы хотите перенаправлять на страницу заглушки? Share this post Link to post Share on other sites
Diamond911 Posted May 24, 2017 · Report post нужно абонентский трафик по сетям направлять на разные NASы напр: 192.168.1.0/24 на NAS 192.168.100.1 192.168.2.0/24 на NAS 192.168.100.1 192.168.3.0/24 на NAS 192.168.100.2 192.168.4.0/24 на NAS 192.168.100.2 Share this post Link to post Share on other sites
pingz Posted May 24, 2017 · Report post Получится должно, что-то такое: filter 1 { term 1 { from { source-address { 192.168.1.0/24; } } then { routing-instance nat1; term 2 { from { source-address { 192.168.2.0/24; } } then { routing-instance nat2; } } show routing-instances nat1 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.1; nat2 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.2; По поводу виртуального роутера это не точно, можно делать через форвардинг. Все зависит, как у тебя интерфейсы собраны, я уже про это писал выше. На насах не забывай прописать обратный маршрут. Share this post Link to post Share on other sites
Diamond911 Posted May 24, 2017 · Report post Забыл еще указать, что все абон сети не созданы на Юнипере, а приходят по OSPF маршрутам с разных линков и обратно с NASA так же по OSPF OSPF интерфейсы все сделаны так: set vlans OSPF_1 vlan-id 20 set vlans OSPF_1 l3-interface vlan.20 set interfaces vlan unit 20 family inet address 192.168.200.233/30 Share this post Link to post Share on other sites
vvertexx Posted May 24, 2017 · Report post а при чем тут fbf? если ты им по ospf передашь маршрут до NAS 192.168.100.0/24, кому что выбирать - решается не коммутатором. Если надо запретить доступ к другому NAS - значит файерволом режь Share this post Link to post Share on other sites
Diamond911 Posted May 24, 2017 · Report post По OSPF на Юнипер только абон сети прилетают, а дальше с NASа пока не важно, сейчас на него не приходят пакеты. Вот, как сейчас сделано: set firewall family inet filter fbf-1 term 1 from source-address 192.168.1.0/24 set firewall family inet filter fbf-1 term 1 then routing-instance fbf-1 set routing-instances fbf-1 instance-type virtual-router set routing-instances fbf-1 routing-options static route 0.0.0.0/0 next-hop 192.168.100.1 Share this post Link to post Share on other sites
pingz Posted May 24, 2017 · Report post Как обычно, начали с простого, заканчиваем очень интересно. ТС рисуй схему, она тебе то же будет нужна инфа 100% На NAS есть маршрут для сети 192.168.1.0/24? C NAS трассировка на, чем заканчивается? С клиента трасировка, на чем заканчивается? Через forwarding на МХ у меня работало. routing-options { interface-routes { rib-group inet nat; } rib-groups { nat { import-rib [ inet.0 nat1.inet.0 nat2.inet.0 nat3.inet.0 nat4.inet.0 nat5.inet.0 ]; } } } filter policer-1m-nat { interface-specific; term 1 { from { prefix-list { nat1; } } then { policer 1m; routing-instance nat1; } } routing-instances { nat1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 192.168.255.1; } } } Share this post Link to post Share on other sites
Diamond911 Posted June 1, 2017 (edited) · Report post вышеописанное не помогает, опишу все по подробнее схема такая: абонент (192.168.1.10)--->свитч L3(на нем поднята абон сеть 192.168.1.1/24)---по OSPF vlan 20--->Juniper EX4550---(vlan 11)-->NAS 192.168.100.1 (должны прилететь пакеты от 192.168.1.10) конфиг: show interfaces ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 11; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } vlan { unit 0 { family inet; } unit 11 { family inet { filter { input fbr; } address 192.168.100.10/24; } } unit 20 { family inet { filter { input fbr; } address 192.168.200.233/30; } } show routing-options rib-groups { fbf-group { import-rib [ inet.0 route-fbr.inet.0 ]; } } router-id 192.168.200.1; show routing-instances route-fbr { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.1; } } } show firewall family inet { filter fbr { term 1 { from { source-address { 192.168.1.1/24; } } then { log; routing-instance route-fbr; } } term default { then accept; } } } Edited June 1, 2017 by Diamond911 Share this post Link to post Share on other sites
Diamond911 Posted June 6, 2017 (edited) · Report post Спасибо все за советы - разобрался использовал этот мануал, как основу: http://www.juniper.net/documentation/en_US/junos/topics/example/firewall-filter-option-filter-based-forwarding-example.html Edited June 6, 2017 by Diamond911 Share this post Link to post Share on other sites
