VA Belarus Posted February 25, 2014 Posted February 25, 2014 Добрый день. Поставлено мне 2 задачи,с которыми необходимо справиться в кратчайшие сроки.Возможно справлюсь сам, но совет опытного человека был бы не лишним. 1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать. 2)Изменить дефолтный маршрут для выборочной подсети. Благодарен за помощь. Вставить ник Quote
pfexec Posted February 25, 2014 Posted February 25, 2014 позовите одмина, он вам поможет. Вставить ник Quote
agr Posted February 25, 2014 Posted February 25, 2014 1. [edit] firewall family inet filter filtername term allowed-host { from { destination-address { 10.10.10.10/32; } } then accept; } term other { then { discard; } } вешать на input 2. Без подробностей не предложить решение. Вставить ник Quote
triam Posted February 25, 2014 Posted February 25, 2014 http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 Как настроить Filter base forwarding (он же в терминах циски Policy Base Routing) Вставить ник Quote
VA Belarus Posted February 26, 2014 Author Posted February 26, 2014 Спасибо всем большое за помощь! Вставить ник Quote
VA Belarus Posted March 4, 2014 Author Posted March 4, 2014 Всем добрый день. Для проверки работы фильтра в пункте 1. Собрал стенд. Извините,не художник, но нарисовал, как мог. Идея какая. ЕХ2200 в интерфейсы ge-0/0/11 и ge-0/0/12 подключаю 2 ПК (ПК-1 192.168.0.1 маска 255.255.255.0 шлюз 192.168.0.254 будет работать в 100 vlan, ПК-2 192.168.1.1 маска 255.255.255.0 шлюз 192.168.1.254 vlan 200) интерфейс ge-0/0/47 соединяю в транком с EX4200 интерфейс ge-0/0/16. Далее на подинтерфейсе ge-0/0/16.100 вешаю 192.168.0.254/24,а на ge-0/0/16.200 192.168.1.254/24 поидее пинг между ПК должен проходить.А ннет,найдите пожалуйста ошибку. ex2200 interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { port-mode access; vlan { members test1; } } } } ge-0/0/12 { unit 0 { family ethernet-switching { port-mode access; vlan { members test2; } } } } ge-0/0/47 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members all; } } } } } vlans { test1 { vlan-id 100; } test2 { vlan-id 200; } ex4200 ge-0/0/16 { vlan-tagging; unit 100 { vlan-id 100; family inet { address 192.168.0.254/24; } } unit 200 { vlan-id 200; family inet { address 192.168.1.254/24; } } } Спасибо Вставить ник Quote
triam Posted March 4, 2014 Posted March 4, 2014 А шлюз пингуете? Скорее всего забыли на ПК указать шлюз по-умолчанию. (или указали не верно). Вставить ник Quote
VA Belarus Posted March 4, 2014 Author Posted March 4, 2014 Шлюз не отвечает, видимо я таки накололся с настройками 2200 и 4200. Вставить ник Quote
t1bur1an Posted March 4, 2014 Posted March 4, 2014 > show configuration vlans test1 { vlan-id 100; l3-interface vlan.100; } test2 { vlan-id 200; l3-interface vlan.200; } > show configuration interfaces vlan unit 100 { family inet { address 192.168.0.254/24; } } unit 200 { family inet { address 192.168.1.254/24; } } Вставить ник Quote
VA Belarus Posted March 5, 2014 Author Posted March 5, 2014 (edited) Спасибо,указанное поправил,а настройки ge-0/0/16 верные? root@ex4200> show configuration vlans test1 { vlan-id 100; l3-interface vlan.100; } test2 { vlan-id 200; l3-interface vlan.200; } root@ex4200> show configuration interfaces vlan unit 100 { family inet { address 192.168.0.254/24; } } unit 200 { family inet { address 192.168.1.254/24; } } root@ex4200> show configuration interfaces ge-0/0/16 unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ test1 test2 ]; } } } Edited March 5, 2014 by VA Belarus Вставить ник Quote
agr Posted March 5, 2014 Posted March 5, 2014 Верные. Когда постите конфигурацию, то заключайте ее в теги code, а то тяжело читать с таким выравниванием. Вставить ник Quote
VA Belarus Posted March 5, 2014 Author Posted March 5, 2014 Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи. Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2 Я правильно понимаю, что навешивать его надо на входящий сап интерфейс от 192.168.1.1? root@ex4200# show firewall family inet filter hostblok term allowed-host { from { destination-address { 192.168.0.2/32; } } } term other { then { discard; } } {master:0}[edit] root@ex4200# Вставить ник Quote
pfexec Posted March 5, 2014 Posted March 5, 2014 Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи.как возможно быть таким раком ? зачем о каждом чихе писать на форум ? найдите себе хоть крупицу экспериментатора и исследователя. либо идите уже торговать мобильниками в евросеть. Вставить ник Quote
agr Posted March 5, 2014 Posted March 5, 2014 Вы, во-первых, определитесь с задачей. В первоначальной постановке задачи было про подсеть 1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать. а дальше пошло про определенный пк Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2 для разных задач будут разные фильтры. А во-вторых, как вам уже говорили, заключайте конфиги в теги code, иначе вам придется для решения задачи нанимать таки одмина. pfexec, озвучьте, пожалуйста, свою почасовую таксу. Вставить ник Quote
VA Belarus Posted March 6, 2014 Author Posted March 6, 2014 pfexec, Вы уже в первом своем сообщении порекомендовали позвать одмина, спасибо за совет. Зачем дальше Ваши эмоции? Будьте пожалуйста сдержаннее. Есть замечание-ну напиши в личку, посоветуй. Подумать только,будто никто не учился, все сразу грамотными родились. Спасибо всем кто пытался реально помочь. Не откажусь от помощи разбирающегося человека.Возьму консультацию на платной основе,не дорого.Личная встреча в Москве, либо через телефон и email. Задачи проще по телефону объяснить. Спасибо.С уважением. Вставить ник Quote
triam Posted March 6, 2014 Posted March 6, 2014 Готов помочь, но в Москве буду только после 16 марта. Вставить ник Quote
idv Posted March 6, 2014 Posted March 6, 2014 Подумать только,будто никто не учился, все сразу грамотными родились. Столь простые вопросы, как ваши - отлично разжеваны в документации Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.