Diamond911 Опубликовано 17 мая, 2017 · Жалоба Здравствуйте форумчане, подскажите по железки Juniper ex4550-32f Можно ли на ней реализовать работу Policy Routing? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 17 мая, 2017 · Жалоба Можно, там же junos, filter based forwarding в гугле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 17 мая, 2017 · Жалоба Если у тебя настроены интерфейсы: ge-0/0/3 { description ABK-1; unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ 33 44 55 66 77 ]; } native-vlan-id 22; } } } То нужно будет через vlan22 { description upravlenie; vlan-id 22; l3-interface vlan.22; vlan { unit 22 { family inet { address 192.168.22.2/24; } } } Есть свои ограничения. Как я понял одновременно нельзя собирать вот такие интерфейсы: ge-1/1/0 { unit 33 { vlan-id 33; family inet { address 192.168.33.3/24; } } } Вот во втором варианте скорей у тебя все хорошо получится, только трафик, который нужно будет отправить транзитом нужно будет через бридж прогонять, а тут накладываются другие ограничения. Если нужен будет еще мирорить для сорма, то думаю получится и это сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 17 мая, 2017 · Жалоба pingz а как ты на транк на L2 хочешь повесить IP? На циске разве такое возможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 17 мая, 2017 (изменено) · Жалоба EX3200 [edit interfaces xe-0/1/0] root# show vlan-tagging; unit 24 { vlan-id 24; family inet { address 192.168.24.24/24; } } [edit interfaces xe-0/1/0] root# commit check configuration check succeeds Изменено 17 мая, 2017 пользователем vvertexx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 17 мая, 2017 · Жалоба l3-interface вешается IP если ты через ethernet-switching собираешь. Фильтры и роуты только вешаются не очень. Вроде про джун разговариваем. P.S. Есть закрытый раздел на наше по джуну. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 17 мая, 2017 · Жалоба pingz [edit interfaces xe-0/1/0] root# show vlan-tagging; unit 24 { vlan-id 24; family inet { address 192.168.24.24/24; } } unit 48 { vlan-id 48; family inet { address 192.168.48.48/24; } } [edit interfaces xe-0/1/0] root# commit check configuration check succeeds разные способы/идеология создания. можно прикрутить фильтр. Так не работает? ps: нет меня там Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 23 мая, 2017 · Жалоба Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит или я что-то не понимаю. Поясню по подробнее, что именно я хочу: Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 23 мая, 2017 · Жалоба Если вы хотите изменять IP в пакете (NAT) - вам нужно устройство совершенно другого класса. fbf работает по аналогии с PBR, просто траффик отправляется по другой таблице роутинга, на другой хост Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 23 мая, 2017 · Жалоба Нашел много про filter based forwarding, но вот для моего EX такое ощущение, что не подходит или я что-то не понимаю. Поясню по подробнее, что именно я хочу: Абон. сеть послать(перенаправить трафик) в некий vlan на ip сервера причем с определенного ip Дай больше инфы В принципе для разных IP можно прописать разные фильтры и разные RI. Как я понял вы хотите перенаправлять на страницу заглушки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 24 мая, 2017 · Жалоба нужно абонентский трафик по сетям направлять на разные NASы напр: 192.168.1.0/24 на NAS 192.168.100.1 192.168.2.0/24 на NAS 192.168.100.1 192.168.3.0/24 на NAS 192.168.100.2 192.168.4.0/24 на NAS 192.168.100.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 24 мая, 2017 · Жалоба Получится должно, что-то такое: filter 1 { term 1 { from { source-address { 192.168.1.0/24; } } then { routing-instance nat1; term 2 { from { source-address { 192.168.2.0/24; } } then { routing-instance nat2; } } show routing-instances nat1 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.1; nat2 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.2; По поводу виртуального роутера это не точно, можно делать через форвардинг. Все зависит, как у тебя интерфейсы собраны, я уже про это писал выше. На насах не забывай прописать обратный маршрут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 24 мая, 2017 · Жалоба Забыл еще указать, что все абон сети не созданы на Юнипере, а приходят по OSPF маршрутам с разных линков и обратно с NASA так же по OSPF OSPF интерфейсы все сделаны так: set vlans OSPF_1 vlan-id 20 set vlans OSPF_1 l3-interface vlan.20 set interfaces vlan unit 20 family inet address 192.168.200.233/30 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 24 мая, 2017 · Жалоба а при чем тут fbf? если ты им по ospf передашь маршрут до NAS 192.168.100.0/24, кому что выбирать - решается не коммутатором. Если надо запретить доступ к другому NAS - значит файерволом режь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 24 мая, 2017 · Жалоба По OSPF на Юнипер только абон сети прилетают, а дальше с NASа пока не важно, сейчас на него не приходят пакеты. Вот, как сейчас сделано: set firewall family inet filter fbf-1 term 1 from source-address 192.168.1.0/24 set firewall family inet filter fbf-1 term 1 then routing-instance fbf-1 set routing-instances fbf-1 instance-type virtual-router set routing-instances fbf-1 routing-options static route 0.0.0.0/0 next-hop 192.168.100.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 24 мая, 2017 · Жалоба Как обычно, начали с простого, заканчиваем очень интересно. ТС рисуй схему, она тебе то же будет нужна инфа 100% На NAS есть маршрут для сети 192.168.1.0/24? C NAS трассировка на, чем заканчивается? С клиента трасировка, на чем заканчивается? Через forwarding на МХ у меня работало. routing-options { interface-routes { rib-group inet nat; } rib-groups { nat { import-rib [ inet.0 nat1.inet.0 nat2.inet.0 nat3.inet.0 nat4.inet.0 nat5.inet.0 ]; } } } filter policer-1m-nat { interface-specific; term 1 { from { prefix-list { nat1; } } then { policer 1m; routing-instance nat1; } } routing-instances { nat1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 192.168.255.1; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 1 июня, 2017 (изменено) · Жалоба вышеописанное не помогает, опишу все по подробнее схема такая: абонент (192.168.1.10)--->свитч L3(на нем поднята абон сеть 192.168.1.1/24)---по OSPF vlan 20--->Juniper EX4550---(vlan 11)-->NAS 192.168.100.1 (должны прилететь пакеты от 192.168.1.10) конфиг: show interfaces ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 11; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } vlan { unit 0 { family inet; } unit 11 { family inet { filter { input fbr; } address 192.168.100.10/24; } } unit 20 { family inet { filter { input fbr; } address 192.168.200.233/30; } } show routing-options rib-groups { fbf-group { import-rib [ inet.0 route-fbr.inet.0 ]; } } router-id 192.168.200.1; show routing-instances route-fbr { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 192.168.100.1; } } } show firewall family inet { filter fbr { term 1 { from { source-address { 192.168.1.1/24; } } then { log; routing-instance route-fbr; } } term default { then accept; } } } Изменено 1 июня, 2017 пользователем Diamond911 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamond911 Опубликовано 6 июня, 2017 (изменено) · Жалоба Спасибо все за советы - разобрался использовал этот мануал, как основу: http://www.juniper.net/documentation/en_US/junos/topics/example/firewall-filter-option-filter-based-forwarding-example.html Изменено 6 июня, 2017 пользователем Diamond911 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...