Перейти к содержимому
Калькуляторы

Настройка фильтров на juniper ex4200 нуждаюсь в помощи в настройке

Добрый день.

Поставлено мне 2 задачи,с которыми необходимо справиться в кратчайшие сроки.Возможно справлюсь сам, но совет опытного человека был бы не лишним.

1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать.

2)Изменить дефолтный маршрут для выборочной подсети.

Благодарен за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.

[edit] firewall family inet filter filtername
term allowed-host {
   from {
       destination-address {
           10.10.10.10/32;
       }
   }
   then accept;
}
term other {
   then {
       discard;
   }
}

вешать на input

 

2. Без подробностей не предложить решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://kb.juniper.net/InfoCenter/index?page=content&id=KB17223

Как настроить Filter base forwarding (он же в терминах циски Policy Base Routing)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем добрый день.

Для проверки работы фильтра в пункте 1. Собрал стенд. Извините,не художник, но нарисовал, как мог.

Идея какая. ЕХ2200 в интерфейсы ge-0/0/11 и ge-0/0/12 подключаю 2 ПК (ПК-1 192.168.0.1 маска 255.255.255.0 шлюз 192.168.0.254 будет работать в 100 vlan, ПК-2 192.168.1.1 маска 255.255.255.0 шлюз 192.168.1.254 vlan 200) интерфейс ge-0/0/47 соединяю в транком с EX4200 интерфейс ge-0/0/16. Далее на подинтерфейсе ge-0/0/16.100 вешаю 192.168.0.254/24,а на ge-0/0/16.200 192.168.1.254/24 поидее пинг между ПК должен проходить.А ннет,найдите пожалуйста ошибку.

ex2200

interfaces {

ge-0/0/11 {

unit 0 {

family ethernet-switching {

port-mode access;

vlan {

members test1;

}

}

}

}

ge-0/0/12 {

unit 0 {

family ethernet-switching {

port-mode access;

vlan {

members test2;

}

}

}

}

ge-0/0/47 {

unit 0 {

family ethernet-switching {

port-mode trunk;

vlan {

members all;

}

}

}

}

}

vlans {

test1 {

vlan-id 100;

}

test2 {

vlan-id 200;

}

 

 

 

ex4200

ge-0/0/16 {

vlan-tagging;

unit 100 {

vlan-id 100;

family inet {

address 192.168.0.254/24;

}

}

unit 200 {

vlan-id 200;

family inet {

address 192.168.1.254/24;

}

}

}

 

Спасибо

post-74340-024190000 1393932607_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А шлюз пингуете?

Скорее всего забыли на ПК указать шлюз по-умолчанию. (или указали не верно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шлюз не отвечает, видимо я таки накололся с настройками 2200 и 4200.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> show configuration vlans

test1 {

vlan-id 100;

l3-interface vlan.100;

}

test2 {

vlan-id 200;

l3-interface vlan.200;

}

> show configuration interfaces vlan

unit 100 {

family inet {

address 192.168.0.254/24;

}

}

unit 200 {

family inet {

address 192.168.1.254/24;

}

}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо,указанное поправил,а настройки ge-0/0/16 верные?

root@ex4200> show configuration vlans

 

test1 {

vlan-id 100;

l3-interface vlan.100;

}

test2 {

vlan-id 200;

l3-interface vlan.200;

}

 

root@ex4200> show configuration interfaces vlan

unit 100 {

family inet {

address 192.168.0.254/24;

}

}

unit 200 {

family inet {

address 192.168.1.254/24;

}

}

 

root@ex4200> show configuration interfaces ge-0/0/16

unit 0 {

family ethernet-switching {

port-mode trunk;

vlan {

members [ test1 test2 ];

}

}

}

Изменено пользователем VA Belarus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Верные.

 

Когда постите конфигурацию, то заключайте ее в теги code, а то тяжело читать с таким выравниванием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи.

Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2

Я правильно понимаю, что навешивать его надо на входящий сап интерфейс от 192.168.1.1?

root@ex4200# show firewall family inet filter hostblok

term allowed-host {

from {

destination-address {

192.168.0.2/32;

}

}

}

term other {

then {

discard;

}

}

 

{master:0}[edit]

root@ex4200#

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашел у себя глупую ошибку,теперь схема заработала.Шлюзы пингуются,компы друг-друга видят. Теперь осталось главное,навесить фильтр из первоначальной задачи.
как возможно быть таким раком ? зачем о каждом чихе писать на форум ? найдите себе хоть крупицу экспериментатора и исследователя. либо идите уже торговать мобильниками в евросеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы, во-первых, определитесь с задачей. В первоначальной постановке задачи было про подсеть

1)Приведите пожалуйста пример фильтра, позволяющий заданной подсети общаться только с одним хостом, а остальное блокировать.

а дальше пошло про определенный пк

Хочу навесить как рекомендовали вот такой,чтобы связь была только между пк 192.168.1.1 и 192.168.0.2

для разных задач будут разные фильтры.

 

А во-вторых, как вам уже говорили, заключайте конфиги в теги code, иначе вам придется для решения задачи нанимать таки одмина. pfexec, озвучьте, пожалуйста, свою почасовую таксу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pfexec, Вы уже в первом своем сообщении порекомендовали позвать одмина, спасибо за совет. Зачем дальше Ваши эмоции? Будьте пожалуйста сдержаннее. Есть замечание-ну напиши в личку, посоветуй. Подумать только,будто никто не учился, все сразу грамотными родились. Спасибо всем кто пытался реально помочь. Не откажусь от помощи разбирающегося человека.Возьму консультацию на платной основе,не дорого.Личная встреча в Москве, либо через телефон и email. Задачи проще по телефону объяснить. Спасибо.С уважением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Готов помочь, но в Москве буду только после 16 марта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подумать только,будто никто не учился, все сразу грамотными родились.

 

Столь простые вопросы, как ваши - отлично разжеваны в документации

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.