Aleksey72 Posted April 17, 2013 Posted April 17, 2013 (edited) Возникла такая проблема, попытаюсь описать ее суть: Juniper SRX-100H, интерфейсы сконфигуренны следующим образом: fe-0/0/0 - ISP-1 - зона untrust fe-0/0/1 - локальная сеть 192.168.0.99/255.255.255.0 vlan.0 - локальная сеть офиса - зона trust fe-0/0/2 - локальная сеть 192.168.10.251/255.255.255.0 vlan.1 - vip - зона trust fe-0/0/4 - локальная сеть 192.168.2.1/255.255.255.0 vlan.2 - конференц-зал - зона trust fe-0/0/5 - локальная сеть 192.168.9.251/255.255.255.0 vlan.3 - wifi - зона trust fe-0/0/7 - ISP-2- зона untrust Необходимо сделать следующие: fe-0/0/1 - локальная сеть 192.168.0.99/255.255.255.0 vlan.0 по умолчанию выходит в интернет через fe-0/0/0 - ISP-1 (основной провайдер), в случае отказа канала основного провайдера должен переключаться на fe-0/0/7 - ISP-2 (резервный провайдер) fe-0/0/2 - локальная сеть 192.168.10.251/255.255.255.0 vlan.1 должен выходить в интернет только через fe-0/0/0 - ISP-1 (основной провайдер), в случае отказа канала основного провайдера, доступ в сеть интернет не имеет fe-0/0/4 - локальная сеть 192.168.2.1/255.255.255.0 vlan.2 должен выходить в интернет только через fe-0/0/0 - ISP-1 (основной провайдер), в случае отказа канала основного провайдера, доступ в сеть интернет не имеет fe-0/0/5 - локальная сеть 192.168.9.251/255.255.255.0 vlan.3 по умолчанию выходит в интернет через fe-0/0/7 - ISP-2 ( резервный провайдер ), в случае отказа канала резервного провайдера должен переключаться на fe-0/0/0 - ISP-1 ( основной провайдер ) Подскажите пожалуйста как реализовать такую схему ? пример тестового конфига: ( не работает:( ) ## Last changed: 2013-04-12 10:36:42 SAMST version 11.2R4.3; system { host-name srx100h-1; time-zone Europe/Samara; root-authentication { encrypted-password " удаленно в целях безопастности "; } name-server { 193.232.88.17; 8.8.8.8; 83.149.22.14; 83.149.19.126; } services { ssh; telnet; web-management { http; } dhcp { pool 192.168.0.99/24 { address-range low 192.168.0.105 high 192.168.0.200; maximum-lease-time 86400; name-server { 193.232.88.17; 8.8.8.8; } router { 192.168.0.99; } } pool 192.168.2.1/24 { address-range low 192.168.2.2 high 192.168.2.250; maximum-lease-time 28800; name-server { 8.8.8.8; } router { 192.168.2.1; } } pool 192.168.9.251/24 { address-range low 192.168.9.1 high 192.168.9.201; maximum-lease-time 3600; name-server { 8.8.8.8; } router { 192.168.9.251; } } pool 192.168.10.251/24 { address-range low 192.168.10.99 high 192.168.10.200; maximum-lease-time 86400; name-server { 8.8.8.8; } router { 192.168.10.251; } } } } ntp; } interfaces { fe-0/0/0 { unit 0 { description Equant; family inet { address xxx.xxx.xxx.xxx/30; } } } fe-0/0/1 { unit 0 { description local; family ethernet-switching { port-mode access; vlan { members vlan2; } } } } fe-0/0/2 { unit 0 { description vip-net; family ethernet-switching { port-mode access; vlan { members vlan3; } } } } fe-0/0/3 { unit 0 { description iptv-net; family inet { address 10.90.90.2/24; } } } fe-0/0/4 { unit 0 { description conference; family ethernet-switching { port-mode access; vlan { members vlan4; } } } } fe-0/0/5 { unit 0 { description wifi; family ethernet-switching { port-mode access; vlan { members vlan5; } } } } fe-0/0/6 { unit 0 { description vip-net; family inet { address 192.168.1.3/24; } } } fe-0/0/7 { unit 0 { description "Megafon M1"; family inet { address yyy.yyy.yyy.yyy/30; } } } vlan { unit 0 { family inet { filter { input input-limit-local; output output-limit-local; } address 192.168.0.99/24; } } unit 1 { family inet { address 192.168.10.251/24; } } unit 2 { family inet { filter { input input-limit-conf; output output-limit-conf; } address 192.168.2.1/24; } } unit 3 { family inet { filter { input input-limit-wifi; output output-limit-wifi; } address 192.168.9.251/24; } } } } routing-options { static { route 192.168.0.0/24 { next-hop 85.26.203.81; qualified-next-hop 195.151.222.226 { preference 2; } preference 6; } route 192.168.10.0/24 next-hop 195.151.222.226; route 192.168.2.0/24 next-hop 195.151.222.226; route 192.168.9.0/24 { next-hop 195.151.222.226; qualified-next-hop 85.26.203.81 { preference 3; } preference 7; } } } security { address-book { global { address dsr500 192.168.10.100/32; address d-link_ap1 192.168.1.28/32; address d-link_ap2 192.168.1.29/32; address des3200 192.168.1.40/32; address iptv1 10.90.90.1/32; address iptv2 10.90.90.88/32; address iptv3 10.90.90.89/32; address iptv4 10.90.90.91/32; address iptv5 10.90.90.92/32; address iptv6 10.90.90.93/32; address iptv7 10.90.90.95/32; address iptv8 10.90.90.96/32; address iptv9 10.90.90.90/32; address iptv10 10.90.90.97/32; address d-link_ap3 192.168.1.31/32; address tde600 192.168.0.100/32; address vip 192.168.1.30/32; address 8097 192.168.10.100/32; } } screen { ids-option acl { icmp { ip-sweep; fragment; large; flood; ping-death; } ip { bad-option; record-route-option; timestamp-option; security-option; stream-option; spoofing; source-route-option; loose-source-route-option; strict-source-route-option; unknown-protocol; block-frag; tear-drop; } tcp { syn-fin; fin-no-ack; tcp-no-flag; syn-frag; port-scan; syn-ack-ack-proxy; syn-flood; land; winnuke; } udp { flood; } } } nat { source { rule-set rs1 { from zone trust; to zone untrust; rule local { match { source-address 192.168.0.0/24; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } rule vip-net { match { source-address 192.168.10.0/24; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } rule conference { match { source-address 192.168.2.0/24; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } rule wifi { match { source-address 192.168.9.0/24; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } rule-set rs2 { from zone untrust; to zone trust; rule r2 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } } destination { pool tde600 { address 192.168.0.100/32 port 35300; } pool dsr500 { address 192.168.10.100/32 port 8080; } pool d-link_ap1 { address 192.168.1.28/32 port 80; } pool d-link_ap2 { address 192.168.1.29/32 port 80; } pool des3200 { address 192.168.1.40/32 port 80; } pool iptv1 { address 10.90.90.1/32 port 80; } pool iptv2 { address 10.90.90.88/32 port 80; } pool iptv3 { address 10.90.90.89/32 port 80; } pool iptv4 { address 10.90.90.91/32 port 80; } pool iptv5 { address 10.90.90.92/32 port 80; } pool iptv6 { address 10.90.90.93/32 port 80; } pool iptv7 { address 10.90.90.95/32 port 80; } pool iptv8 { address 10.90.90.96/32 port 80; } pool iptv9 { address 10.90.90.90/32 port 80; } pool iptv10 { address 10.90.90.97/32 port 80; } pool d-link_ap3 { address 192.168.1.31/32 port 80; } pool vip { address 192.168.1.30/32 port 80; } pool 8097 { address 192.168.10.100/32 port 8097; } rule-set dnat { from zone untrust; rule dnat_for_tde600 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 35300; } then { destination-nat pool tde600; } } rule dnat_for_dsr500 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8080; } then { destination-nat pool dsr500; } } rule dnat_for_ap1 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8082; } then { destination-nat pool d-link_ap1; } } rule dnat_for_ap2 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8083; } then { destination-nat pool d-link_ap2; } } rule dnat_for_des3200 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8084; } then { destination-nat pool des3200; } } rule dnat_for_iptv1 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8085; } then { destination-nat pool iptv1; } } rule dnat_for_iptv2 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8086; } then { destination-nat pool iptv2; } } rule dnat_for_iptv3 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8087; } then { destination-nat pool iptv3; } } rule dnat_for_iptv4 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8088; } then { destination-nat pool iptv4; } } rule dnat_for_iptv5 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8089; } then { destination-nat pool iptv5; } } rule dnat_for_iptv6 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8090; } then { destination-nat pool iptv6; } } rule dnat_for_iptv7 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8091; } then { destination-nat pool iptv7; } } rule dnat_for_iptv8 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8092; } then { destination-nat pool iptv8; } } rule dnat_for_iptv9 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8093; } then { destination-nat pool iptv9; } } rule dnat_for_iptv10 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8094; } then { destination-nat pool iptv10; } } rule dnat_for_ap3 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8095; } then { destination-nat pool d-link_ap3; } } rule dnat_for_vip { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8096; } then { destination-nat pool vip; } } rule dnat_for_8097 { match { destination-address xxx.xxx.xxx.xxx/32; destination-port 8097; } then { destination-nat pool 8097; } } } } } policies { from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy access-internet { match { source-address any; destination-address any; application any; } then { permit; } } policy web_access_tde600 { match { source-address any; destination-address tde600; application any; } then { permit; } } policy web_access_dsr500 { match { source-address any; destination-address dsr500; application any; } then { permit; } } policy web_access_ap1 { match { source-address any; destination-address d-link_ap1; application any; } then { permit; } } policy web_access_ap2 { match { source-address any; destination-address d-link_ap2; application any; } then { permit; } } policy web_access_des3200 { match { source-address any; destination-address des3200; application any; } then { permit; } } policy web_access_iptv1 { match { source-address any; destination-address iptv1; application any; } then { permit; } } policy web_access_iptv2 { match { source-address any; destination-address iptv2; application any; } then { permit; } } policy web_access_iptv3 { match { source-address any; destination-address iptv3; application any; } then { permit; } } policy web_access_iptv4 { match { source-address any; destination-address iptv4; application any; } then { permit; } } policy web_access_iptv5 { match { source-address any; destination-address iptv5; application any; } then { permit; } } policy web_access_iptv6 { match { source-address any; destination-address iptv6; application any; } then { permit; } } policy web_access_iptv7 { match { source-address any; destination-address iptv7; application any; } then { permit; } } policy web_access_iptv8 { match { source-address any; destination-address iptv8; application any; } then { permit; } } policy web_access_iptv9 { match { source-address any; destination-address iptv9; application any; } then { permit; } } policy web_access_iptv10 { match { source-address any; destination-address iptv10; application any; } then { permit; } } policy web_access_ap3 { match { source-address any; destination-address d-link_ap3; application any; } then { permit; } } policy web_access_vip { match { source-address any; destination-address vip; application any; } then { permit; } } policy web_access_8097 { match { source-address any; destination-address 8097; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; vlan.1; fe-0/0/1.0; fe-0/0/2.0; fe-0/0/4.0; vlan.2; fe-0/0/5.0; vlan.3; fe-0/0/6.0; fe-0/0/3.0; } } security-zone untrust { screen acl; host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/0.0; fe-0/0/7.0; } } } } firewall { family inet { filter input-limit-local { term 1 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-5m; accept; } } } filter input-limit-conf { term 2 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-2m; accept; } } } filter input-limit-wifi { term 3 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-2m; accept; } } } filter output-limit-local { term 1 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-5m; accept; } } } filter output-limit-conf { term 2 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-2m; accept; } } } filter output-limit-wifi { term 3 { from { source-address { 0.0.0.0/0; } destination-address { 0.0.0.0/0; } } then { policer policer-2m; accept; } } } } policer policer-5m { if-exceeding { bandwidth-limit 5m; burst-size-limit 150k; } then discard; } policer policer-2m { if-exceeding { bandwidth-limit 2m; burst-size-limit 60k; } then discard; } } vlans { vlan2 { description local; vlan-id 2; interface { fe-0/0/1.0; } l3-interface vlan.0; } vlan3 { description vip; vlan-id 3; interface { fe-0/0/2.0; } l3-interface vlan.1; } vlan4 { description conference; vlan-id 4; interface { fe-0/0/4.0; } l3-interface vlan.2; } vlan5 { description wifi; vlan-id 5; interface { fe-0/0/5.0; } l3-interface vlan.3; } } Поправьте меня пожалуйста, я в юниперах не силен Edited April 17, 2013 by Aleksey72 Вставить ник Quote
fomka31ru Posted April 17, 2013 Posted April 17, 2013 Если на словах, то схема получается примерно такой: 1. В GRT вам нужен дефолт в сторону ISP 1 и QNH в сторону ISP2 соответствующие рулы и т.д. для 192.168/24 2. Для и 192.168.9/24 создаете Virtual Router 1 + rib inet.0 to VR1.inet.0 + 0/0 -> ISP2 QNH -> ISP1 + правила и т.д. 3. Точно также отдельные VR для оставшихся подсетей. Вставить ник Quote
Aleksey72 Posted April 17, 2013 Author Posted April 17, 2013 (edited) Если на словах, то схема получается примерно такой: 1. В GRT вам нужен дефолт в сторону ISP 1 и QNH в сторону ISP2 соответствующие рулы и т.д. для 192.168/24 2. Для и 192.168.9/24 создаете Virtual Router 1 + rib inet.0 to VR1.inet.0 + 0/0 -> ISP2 QNH -> ISP1 + правила и т.д. 3. Точно также отдельные VR для оставшихся подсетей. В данный момент переключение между провайдерами реализованно так: set routing-options static route 0.0.0.0/0 next-hop 85.26.203.81 set routing-options static route 0.0.0.0/0 qualified-next-hop 195.151.222.226 preference 2 set routing-options static route 0.0.0.0/0 preference 6 эта схема работает, проверенно. Но нас не устраивает такая схема когда все вланы при падении основного провайдера переключаются на резервного. У меня по прочтении всякого разного в интернете на эту тему сложилось следующие, поправьте если не правильно, возможно я где-то ошибаюсь так как в юниперах не силен set security zones security-zone wifi interfaces fe-0/0/5.0 host-inbound-traffic system-services all set security zones security-zone wifi interfaces fe-0/0/5.0 host-inbound-traffic protocols all set routing-instances wifi instance-type virtual-router set routing-instances wifi interface fe-0/0/5.0 set routing-instances wifi routing-options static route 0.0.0.0/0 next-hop 195.151.222.226 set routing-instances wifi routing-options static route 0.0.0.0/0 qualified-next-hop 85.26.203.81 preference 2 set routing-instances wifi routing-options static route 0.0.0.0/0 preference 6 set security nat source rule-set rs3 from zone wifi set security nat source rule-set rs3 to zone untrust set security nat source rule-set rs3 rule wf match source-address 0.0.0.0/0 set security nat source rule-set rs3 rule wf match destination-address 0.0.0.0/0 set security nat source rule-set rs3 rule wf then source-nat interface set security nat source rule-set rs4 from zone untrust set security nat source rule-set rs4 to zone wifi set security nat source rule-set rs4 rule wf match source-address 0.0.0.0/0 set security nat source rule-set rs4 rule wf match destination-address 0.0.0.0/0 set security nat source rule-set rs4 rule wf then source-nat interface set security policies from-zone wifi to-zone untrust policy internet-access match source-address any set security policies from-zone wifi to-zone untrust policy internet-access match destination-address any set security policies from-zone wifi to-zone untrust policy internet-access match application any set security policies from-zone wifi to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone wifi policy access-internet match source-address any set security policies from-zone untrust to-zone wifi policy access-internet match destination-address any set security policies from-zone untrust to-zone wifi policy access-internet match application any set security policies from-zone untrust to-zone wifi policy access-internet then permit Edited April 17, 2013 by Aleksey72 Вставить ник Quote
fomka31ru Posted April 17, 2013 Posted April 17, 2013 Мыслите в правильном направлении. Теперь, чтобы все заработало, нужно внутрь инстанса влить таблицу inet.0, потому что сейчас там пусто. (use rib-groups) "set security nat source rule-set rs3 rule wf match source-address 0.0.0.0/0" думаю здесь стоит указать нужную подсеть, у вас она вроде 192.168.9.24 Вставить ник Quote
Aleksey72 Posted April 18, 2013 Author Posted April 18, 2013 (edited) Мыслите в правильном направлении. Теперь, чтобы все заработало, нужно внутрь инстанса влить таблицу inet.0, потому что сейчас там пусто. (use rib-groups) "set security nat source rule-set rs3 rule wf match source-address 0.0.0.0/0" думаю здесь стоит указать нужную подсеть, у вас она вроде 192.168.9.24 А можно по подробнее про rib-groups, мне его не приходилось настраивать, на форумах попадается информация касающаяся в основном впн, у меня впн нет. Заранее спасибо У меня есть такое решение поправьте меня: set routing-options rib-groups wifi import-rib [inet.0 wifi1.inet.0] set routing-instances wifi routing-options interface-routes rib-group inet wifi1 Edited April 18, 2013 by Aleksey72 Вставить ник Quote
fomka31ru Posted April 18, 2013 Posted April 18, 2013 set routing-options rib-groups wifi import-rib [inet.0 wifi.inet.0] set routing-options interface-routes rib-group inet wifi Вставить ник Quote
Aleksey72 Posted April 19, 2013 Author Posted April 19, 2013 (edited) set routing-options rib-groups wifi import-rib [inet.0 wifi.inet.0] set routing-options interface-routes rib-group inet wifi С виртуальным роутером все получилось, спасибо огромное, правда по ходу эсперемента возникло два вопроса: 1. можно-ли прикрутить виртуальный роутер не в физическому интерфейсу(fe-0/0/5.0) а к влану (vlan.3) 2. Перестал раздавать через dhcp адреса 192.168.9.251/24 пул адресов 192.168.9.100 - 192.168.9.200, раньше когда интерфейс fe-0/0/5.0 принадлежал влану vlan.3 адреса раздавались Если сделать вот так: set routing-instances wifi interface fe-0/0/5.0 ---> set routing-instances wifi interface vlan.3 , это будет правильно? еще по dhcp вопрос: dhcp { pool 192.168.9.251/24 { address-range low 192.168.9.100 high 192.168.9.200; maximum-lease-time 3600; name-server { 8.8.8.8; } router { 192.168.9.251; } propagate-settings fe-0/0/5.0; } } propagate-settings нужно привязывать к соответствующим интерфейсам? то-есть в каждом пуле нужно прописать этот параметр? Edited April 19, 2013 by Aleksey72 Вставить ник Quote
fomka31ru Posted April 19, 2013 Posted April 19, 2013 1. Почему бы и нет :) 2. посмотрите здесь Вставить ник Quote
Aleksey72 Posted April 19, 2013 Author Posted April 19, 2013 1. Почему бы и нет :) 2. посмотрите здесь У меня сейчас сделанно так: set system services dhcp pool 192.168.0.99/24 address-range low 192.168.0.105 set system services dhcp pool 192.168.0.99/24 address-range high 192.168.0.200 set system services dhcp pool 192.168.0.99/24 maximum-lease-time 86400 set system services dhcp pool 192.168.0.99/24 name-server 193.232.88.17 set system services dhcp pool 192.168.0.99/24 name-server 8.8.8.8 set system services dhcp pool 192.168.0.99/24 router 192.168.0.99 set system services dhcp pool 192.168.2.1/24 address-range low 192.168.2.2 set system services dhcp pool 192.168.2.1/24 address-range high 192.168.2.250 set system services dhcp pool 192.168.2.1/24 maximum-lease-time 28800 set system services dhcp pool 192.168.2.1/24 name-server 8.8.8.8 set system services dhcp pool 192.168.2.1/24 router 192.168.2.1 set system services dhcp pool 192.168.10.251/24 address-range low 192.168.10.99 set system services dhcp pool 192.168.10.251/24 address-range high 192.168.10.200 set system services dhcp pool 192.168.10.251/24 maximum-lease-time 86400 set system services dhcp pool 192.168.10.251/24 name-server 8.8.8.8 set system services dhcp pool 192.168.10.251/24 router 192.168.10.251 set system services dhcp pool 192.168.9.251/24 address-range low 192.168.9.100 set system services dhcp pool 192.168.9.251/24 address-range high 192.168.9.200 set system services dhcp pool 192.168.9.251/24 maximum-lease-time 3600 set system services dhcp pool 192.168.9.251/24 name-server 8.8.8.8 set system services dhcp pool 192.168.9.251/24 router 192.168.9.251 set system services dhcp pool 192.168.9.251/24 propagate-settings fe-0/0/5.0 Для сетей 192.168.0.99/24, 192.168.10.251/24, 192.168.2.1/24 нужно прописывать соответствующий параметр set system services dhcp pool 192.168.ххх.ххх/24 propagate-settings fe-0/0/х.0 ? Вставить ник Quote
fomka31ru Posted April 19, 2013 Posted April 19, 2013 с разных интерфейсов прилетел dhcp запрос, какой пул будем использовать? Вставить ник Quote
Aleksey72 Posted April 19, 2013 Author Posted April 19, 2013 (edited) с разных интерфейсов прилетел dhcp запрос, какой пул будем использовать? :( Судя по тому что сейчас настроенно неизвестно какой пул даст ответ, спасибо за разъяснение:) прописал всем dhcp пулам set system services dhcp pool 192.168.ххх.ххх/24 propagate-settings fe-0/0/х.0 , посмотрю в понедельник как все будет работать Edited April 19, 2013 by Aleksey72 Вставить ник Quote
fomka31ru Posted April 19, 2013 Posted April 19, 2013 (edited) по дефолту используется тот пул, в котором подсеть интерфейса, с которого прилетел запрос, совпадает с подсетью пула. В вашем случае интерфейсы тегированные, на irb прописаны гетвеи, значит ищем соответствие подсети и пула :) Для вашего случая, данная команда propagate-settings с большой вероятностью не нужна Edited April 19, 2013 by fomka31ru Вставить ник Quote
Aleksey72 Posted April 22, 2013 Author Posted April 22, 2013 (edited) Проверил сегодня настройки на работоспособность, адреса раздает dhcp с любого интерфейса кроме fe-0/0/5.0 где поднят виртуальный роутер, мозги уже себе этой проблемой вынес, Need Help !!! Прочитал рекомендованну статью http://kb.juniper.net/InfoCenter/index?page=content&id=KB21169&cat=ADDRESSING_NAT&actp=LIST возникли вопросы: set routing-options rib-groups interface-routes import-policy import-vlan-interfaces - у меня на порту fe-0/0/5.0 нет влана. set policy-options policy-statement import-vlan-interfaces term accept-local from route-filter 192.168.222.0/24 orlonger set policy-options policy-statement import-vlan-interfaces term accept-local then accept set policy-options policy-statement import-vlan-interfaces term reject-all then reject как dhcp-server отдаст установки клиентам подключенным в fe-0/0/5.0? Edited April 22, 2013 by Aleksey72 Вставить ник Quote
Aleksey72 Posted April 23, 2013 Author Posted April 23, 2013 (edited) Я так полагаю что в моей ситуации эти строчки не совсем нужны, поправьте меня если я не прав set routing-options rib-groups interface-routes import-rib inet.0 set routing-options rib-groups interface-routes import-rib wifi.inet.0 set routing-options rib-groups interface-routes import-policy import-vlan-interfaces мне кажется что вот это лишнее: set routing-options rib-groups interface-routes import-rib inet.0 set routing-options rib-groups interface-routes import-rib wifi.inet.0 так как подобный импорт таблиц уже есть, хотя я сомневаюсь. :( Сделал все как описано в книге знаний, не работает, на порту fe-0/0/5.0 dhcp раздавать адреса не хочет, куда копать я уже не знаю.... Перешерстил конфиг, походу я сам лохонулся с интерфейсами:), проверить смогу только в четверг, по результатам отпишу, но есть уверенность, правда не знаю откуда что все будет работать. Edited April 23, 2013 by Aleksey72 Вставить ник Quote
Aleksey72 Posted April 25, 2013 Author Posted April 25, 2013 не работает:( Что делать я уже не знаю... как состыковать виртуальный роутер и dhcp? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.