VA Belarus Опубликовано 25 февраля, 2014 · Жалоба Добрый день. Поставлено мне 2 задачи,с которыми необходимо справиться в кратчайшие сроки.Возможно справлюсь сам, но совет опытного человека был бы не лишним. 1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать. 2)Изменить дефолтный маршрут для выборочной подсети. Благодарен за помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 25 февраля, 2014 · Жалоба позовите одмина, он вам поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 25 февраля, 2014 · Жалоба 1. [edit] firewall family inet filter filtername term allowed-host { from { destination-address { 10.10.10.10/32; } } then accept; } term other { then { discard; } } вешать на input 2. Без подробностей не предложить решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 25 февраля, 2014 · Жалоба http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223 Как настроить Filter base forwarding (он же в терминах циски Policy Base Routing) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 26 февраля, 2014 · Жалоба Спасибо всем большое за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 4 марта, 2014 · Жалоба Всем добрый день. Для проверки работы фильтра в пункте 1. Собрал стенд. Извините,не художник, но нарисовал, как мог. Идея какая. ЕХ2200 в интерфейсы ge-0/0/11 и ge-0/0/12 подключаю 2 ПК (ПК-1 192.168.0.1 маска 255.255.255.0 шлюз 192.168.0.254 будет работать в 100 vlan, ПК-2 192.168.1.1 маска 255.255.255.0 шлюз 192.168.1.254 vlan 200) интерфейс ge-0/0/47 соединяю в транком с EX4200 интерфейс ge-0/0/16. Далее на подинтерфейсе ge-0/0/16.100 вешаю 192.168.0.254/24,а на ge-0/0/16.200 192.168.1.254/24 поидее пинг между ПК должен проходить.А ннет,найдите пожалуйста ошибку. ex2200 interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { port-mode access; vlan { members test1; } } } } ge-0/0/12 { unit 0 { family ethernet-switching { port-mode access; vlan { members test2; } } } } ge-0/0/47 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members all; } } } } } vlans { test1 { vlan-id 100; } test2 { vlan-id 200; } ex4200 ge-0/0/16 { vlan-tagging; unit 100 { vlan-id 100; family inet { address 192.168.0.254/24; } } unit 200 { vlan-id 200; family inet { address 192.168.1.254/24; } } } Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 4 марта, 2014 · Жалоба А шлюз пингуете? Скорее всего забыли на ПК указать шлюз по-умолчанию. (или указали не верно). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 4 марта, 2014 · Жалоба Шлюз не отвечает, видимо я таки накололся с настройками 2200 и 4200. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t1bur1an Опубликовано 4 марта, 2014 · Жалоба > show configuration vlans test1 { vlan-id 100; l3-interface vlan.100; } test2 { vlan-id 200; l3-interface vlan.200; } > show configuration interfaces vlan unit 100 { family inet { address 192.168.0.254/24; } } unit 200 { family inet { address 192.168.1.254/24; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 5 марта, 2014 (изменено) · Жалоба Спасибо,указанное поправил,а настройки ge-0/0/16 верные? root@ex4200> show configuration vlans test1 { vlan-id 100; l3-interface vlan.100; } test2 { vlan-id 200; l3-interface vlan.200; } root@ex4200> show configuration interfaces vlan unit 100 { family inet { address 192.168.0.254/24; } } unit 200 { family inet { address 192.168.1.254/24; } } root@ex4200> show configuration interfaces ge-0/0/16 unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ test1 test2 ]; } } } Изменено 5 марта, 2014 пользователем VA Belarus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 5 марта, 2014 · Жалоба Верные. Когда постите конфигурацию, то заключайте ее в теги code, а то тяжело читать с таким выравниванием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 5 марта, 2014 · Жалоба Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи. Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2 Я правильно понимаю, что навешивать его надо на входящий сап интерфейс от 192.168.1.1? root@ex4200# show firewall family inet filter hostblok term allowed-host { from { destination-address { 192.168.0.2/32; } } } term other { then { discard; } } {master:0}[edit] root@ex4200# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 5 марта, 2014 · Жалоба Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи.как возможно быть таким раком ? зачем о каждом чихе писать на форум ? найдите себе хоть крупицу экспериментатора и исследователя. либо идите уже торговать мобильниками в евросеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 5 марта, 2014 · Жалоба Вы, во-первых, определитесь с задачей. В первоначальной постановке задачи было про подсеть 1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать. а дальше пошло про определенный пк Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2 для разных задач будут разные фильтры. А во-вторых, как вам уже говорили, заключайте конфиги в теги code, иначе вам придется для решения задачи нанимать таки одмина. pfexec, озвучьте, пожалуйста, свою почасовую таксу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VA Belarus Опубликовано 6 марта, 2014 · Жалоба pfexec, Вы уже в первом своем сообщении порекомендовали позвать одмина, спасибо за совет. Зачем дальше Ваши эмоции? Будьте пожалуйста сдержаннее. Есть замечание-ну напиши в личку, посоветуй. Подумать только,будто никто не учился, все сразу грамотными родились. Спасибо всем кто пытался реально помочь. Не откажусь от помощи разбирающегося человека.Возьму консультацию на платной основе,не дорого.Личная встреча в Москве, либо через телефон и email. Задачи проще по телефону объяснить. Спасибо.С уважением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 6 марта, 2014 · Жалоба Готов помочь, но в Москве буду только после 16 марта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 6 марта, 2014 · Жалоба Подумать только,будто никто не учился, все сразу грамотными родились. Столь простые вопросы, как ваши - отлично разжеваны в документации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...