[Diamond911]

Здравствуйте форумчане, подскажите по железки Juniper ex4550-32f

Можно ли на ней реализовать работу Policy Routing?

[buckethead]

Можно, там же junos, filter based forwarding в гугле.

[pingz]

Если у тебя настроены интерфейсы:

ge-0/0/3 {
   description ABK-1;
   unit 0 {
       family ethernet-switching {
           port-mode trunk;
           vlan {
               members [ 33 44 55 66 77 ];
           }
           native-vlan-id 22;
       }
   }
}

 

То нужно будет через

    vlan22 {
       description upravlenie;
       vlan-id 22;
       l3-interface vlan.22;

 

    vlan {
       unit 22 {
           family inet {
               address 192.168.22.2/24;
       }
   }
}

Есть свои ограничения.

Как я понял одновременно нельзя собирать вот такие интерфейсы:

 

ge-1/1/0 {
   unit 33 {
       vlan-id 33;
       family inet {
           address 192.168.33.3/24;
       }
   }
}

 

Вот во втором варианте скорей у тебя все хорошо получится, только трафик, который нужно будет отправить транзитом нужно будет через бридж прогонять, а тут накладываются другие ограничения.

 

Если нужен будет еще мирорить для сорма, то думаю получится и это сделать.

[vvertexx]

pingz

а как ты на транк на L2 хочешь повесить IP? На циске разве такое возможно?

[vvertexx]

EX3200

[edit interfaces xe-0/1/0]
root# show
vlan-tagging;
unit 24 {
   vlan-id 24;
   family inet {
       address 192.168.24.24/24;
   }
}

[edit interfaces xe-0/1/0]
root# commit check
configuration check succeeds

Изменено 17 мая, 2017 пользователем vvertexx

[pingz]

l3-interface вешается IP если ты через ethernet-switching собираешь. Фильтры и роуты только вешаются не очень.

Вроде про джун разговариваем.

P.S. Есть закрытый раздел на наше по джуну.

[vvertexx]

pingz

[edit interfaces xe-0/1/0]
root# show
vlan-tagging;
unit 24 {
   vlan-id 24;
   family inet {
       address 192.168.24.24/24;
   }
}
unit 48 {
   vlan-id 48;
   family inet {
       address 192.168.48.48/24;
   }
}
[edit interfaces xe-0/1/0]
root# commit check
configuration check succeeds

разные способы/идеология создания. можно прикрутить фильтр. Так не работает?

ps: нет меня там

[Diamond911]

Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит

или я что-то не понимаю.

 

Поясню по подробнее, что именно я хочу:

Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip

[nuclearcat]

Если вы хотите изменять IP в пакете (NAT) - вам нужно устройство совершенно другого класса.

fbf работает по аналогии с PBR, просто траффик отправляется по другой таблице роутинга, на другой хост

[pingz]

Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит

или я что-то не понимаю.

 

Поясню по подробнее, что именно я хочу:

Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip

 

Дай больше инфы

В принципе для разных IP можно прописать разные фильтры и разные RI.

Как я понял вы хотите перенаправлять на страницу заглушки?

[Diamond911]

нужно абонентский трафик по сетям направлять на разные NASы

напр:

192.168.1.0/24 на NAS 192.168.100.1

192.168.2.0/24 на NAS 192.168.100.1

192.168.3.0/24 на NAS 192.168.100.2

192.168.4.0/24 на NAS 192.168.100.2

[pingz]

Получится должно, что-то такое:

filter 1 {
       term 1 {
           from {
               source-address {
                   192.168.1.0/24;
               }
           }
           then {
               routing-instance nat1;
       term 2 {
           from {
               source-address {
                   192.168.2.0/24;
               }
           }
           then {
               routing-instance nat2;
           }

       }

 

 

show routing-instances
nat1 {
   instance-type virtual-router;
   routing-options {
       static {
           route 0.0.0.0/0 next-hop 192.168.100.1;
nat2 {
   instance-type virtual-router;
   routing-options {
       static {
           route 0.0.0.0/0 next-hop 192.168.100.2;

 

По поводу виртуального роутера это не точно, можно делать через форвардинг.

 

Все зависит, как у тебя интерфейсы собраны, я уже про это писал выше.

На насах не забывай прописать обратный маршрут.

[Diamond911]

Забыл еще указать, что все абон сети не созданы на Юнипере, а приходят по OSPF маршрутам с разных линков

и обратно с NASA так же по OSPF

OSPF интерфейсы все сделаны так:

set vlans OSPF_1 vlan-id 20

set vlans OSPF_1 l3-interface vlan.20

set interfaces vlan unit 20 family inet address 192.168.200.233/30

[vvertexx]

а при чем тут fbf? если ты им по ospf передашь маршрут до NAS 192.168.100.0/24, кому что выбирать - решается не коммутатором. Если надо запретить доступ к другому NAS - значит файерволом режь

[Diamond911]

По OSPF на Юнипер только абон сети прилетают, а дальше с NASа пока не важно, сейчас на него не приходят пакеты.

Вот, как сейчас сделано:

set firewall family inet filter fbf-1 term 1 from source-address 192.168.1.0/24
set firewall family inet filter fbf-1 term 1 then routing-instance fbf-1
set routing-instances fbf-1 instance-type virtual-router
set routing-instances fbf-1 routing-options static route 0.0.0.0/0 next-hop 192.168.100.1

[pingz]

Как обычно, начали с простого, заканчиваем очень интересно.

 

ТС рисуй схему, она тебе то же будет нужна инфа 100%

 

На NAS есть маршрут для сети 192.168.1.0/24?

C NAS трассировка на, чем заканчивается? С клиента трасировка, на чем заканчивается?

 

 

Через forwarding на МХ у меня работало.

 

routing-options {
   interface-routes {
       rib-group inet nat;
   }
   rib-groups {
       nat {
           import-rib [ inet.0 nat1.inet.0 nat2.inet.0 nat3.inet.0 nat4.inet.0 nat5.inet.0 ];
       }
   }
}

 

 

 filter policer-1m-nat {
           interface-specific;
           term 1 {
               from {
                   prefix-list {
                       nat1;
                   }
               }
               then {
                   policer 1m;
                   routing-instance nat1;
               }
           }

 

 

routing-instances {
   nat1 {
       instance-type forwarding;
       routing-options {
           static {
               route 0.0.0.0/0 next-hop 192.168.255.1;
           }
       }
   }

[Diamond911]

вышеописанное не помогает, опишу все по подробнее

схема такая:

абонент (192.168.1.10)--->свитч L3(на нем поднята абон сеть 192.168.1.1/24)---по OSPF vlan 20--->Juniper EX4550---(vlan 11)-->NAS 192.168.100.1 (должны прилететь пакеты от 192.168.1.10)

конфиг:

show interfaces                                                     
ge-0/0/0 {
   unit 0 {
       family ethernet-switching {
           port-mode trunk;
           vlan {
               members 11;
           }
       }
   }
}
ge-0/0/1 {
   unit 0 {
       family ethernet-switching {
           port-mode trunk;
           vlan {
               members 20;
           }
       }
   }
}
vlan {
   unit 0 {
       family inet;
   }
   unit 11 {
       family inet {
           filter {
               input fbr;
           }
           address 192.168.100.10/24;
       }
   }
   unit 20 {
       family inet {
           filter {
               input fbr;
           }
           address 192.168.200.233/30;
       }
   }

 

show routing-options                                             
rib-groups {
   fbf-group {
       import-rib [ inet.0 route-fbr.inet.0 ];
   }
}
router-id 192.168.200.1;

 

show routing-instances                                           
route-fbr {
   instance-type forwarding;
   routing-options {
       static {
           route 0.0.0.0/0 next-hop 192.168.100.1;
       }
   }
}

 

show firewall 
family inet {
   filter fbr {
       term 1 {
           from {
               source-address {
                   192.168.1.1/24;
               }
           }
           then {
               log;
               routing-instance route-fbr;
           }
       }
       term default {
           then accept;
       }
   }
}

Изменено 1 июня, 2017 пользователем Diamond911

[Diamond911]

Спасибо все за советы - разобрался

использовал этот мануал, как основу:

http://www.juniper.net/documentation/en_US/junos/topics/example/firewall-filter-option-filter-based-forwarding-example.html

Изменено 6 июня, 2017 пользователем Diamond911