CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 20 lut 2018, 10:55

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 
Autor Wiadomość
Post #1 : 13 lut 2018, 11:27 
Offline
member
member

Rejestracja: 15 paź 2017, 13:46
Posty: 26
Siemka,

Mam taki PBR na switchu Cisco.
Kod:
interface Vlan130
 ip vrf forwarding ace
 ip address 172.16.30.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip policy route-map SetNextHop
 
route-map SetNextHop permit 10
 match ip address 121
 set ip next-hop 172.16.21.1
 set interface Vlan121
 
access-list 121 permit ip host 172.16.30.24 xx.xx.0.0 0.1.255.255
access-list 121 permit ip host 172.16.30.24 xx.xx.71.72 0.0.0.7
access-list 121 permit ip host 172.16.30.24 xx.xx.0.0 0.0.255.255
Mój pomysł by to zmigrować jest taki.
Kod:
firewall family inet {
	filter SetNextHop {
		term 0 {
			from {
				source-address {
					172.16.30.24/32;
					}
				}
			from {
				destination-address {
					prefix-list ADRESY-DOCELOWE;
					}
				}
			then 
				{
				next-interface irb.121;
				}
			then 
				{
				next-ip 172.16.21.1/32;
				}
			then
				{
				accept;
				}
interface irb.130 {
		family inet {
			filter {
				input SetNextHop;
				}
			}
		}
Co do wersji Junka nie mam pewności czy dobrze myślę że można zrobić next-interface oraz next-ip tak jak to napisałem. Również czy tak można zapisać source i destnation ?

Na stronie Junka są przykłady ale tam są dla interfejsów fizycznych (i często zakładają że PBR będzie między instancjami rutowania), a nie ma nigdzie dla VLANów gdzie oba VLANy są w tej samej instancji (mój scenariusz).


Na górę
Post #2 : 14 lut 2018, 13:16 
Offline
rookie
rookie

Rejestracja: 10 mar 2016, 17:41
Posty: 13
Lokalizacja: Wawa
Juniper realizuje PBR przez dedykowaną instancję routingu, konfiguruje się ją jako typ forwarding. Następnie w filtrze dodajesz akcję "then routing-instance X". Nawet jeżeli cały ruch masz w jednej instancji, to żeby odpalić PBR (lub jak to nazywa Juniper - FBF), musisz stworzyć nową instancję.
Kod:
R# set routing-instances PBR instance-type forwarding 
R# set routing-instances PBR routing-options 0/0 next-hop X
Jeżeli chcesz mieć różne next-hopy dla całego ruchu, to musisz niestety stworzyć kilka instancji routingu, typu PBR_TO-R2, PBR_TO-R3 i tak dalej.

Oprócz tego musisz pamiętać, żeby do nowej instancji routingu wrzucić IPki z interfejsów, robi się to rib-groupą interface-routes. Rib-groupę tworzysz w ten sposób:
Kod:
R# set routing-options rib-groups INTERFEJSY import-rib [inet.0 PBR.inet.0]
R# set routing-options interface-routes rib-group inet INTERFEJSY
Ta konfiguracja sprawi, że IPki Twoich interfejsów zostaną zaciągnięte z inet.0 do PBR.inet.0. Dzięki temu Twoje next-hop będą osiągalne z nowej tablicy routingowej.


Na górę
Post #3 : 14 lut 2018, 16:35 
Offline
member
member

Rejestracja: 15 paź 2017, 13:46
Posty: 26
Dzięki za podpowiedź, ale w takim razie czy ten interfejs irb.121 może być równocześnie w dwóch routing-instance ?

Bo obecnie on jest w tym samym routing-instance typu virtual-router co irb.130.

No i czy irb.130 musi też być wrzucony do "nowego" routing-instance typu forwarding ?


Na górę
Post #4 : 15 lut 2018, 08:33 
Offline
rookie
rookie

Rejestracja: 10 mar 2016, 17:41
Posty: 13
Lokalizacja: Wawa
Interfejs może być tylko w jednej tablicy, więc nie można go wrzucić do tej forwarding. Myk jest taki, że tworzysz firewall filter w którym definiujesz interesujący Ciebie ruch, a jako akcję podajesz "then routing-instance X". Taki filtr podpinasz pod Twój interfejs (który jest w stworzonym przez Ciebie virtual-routerze) i jeżeli przyjdzie określony przez Ciebie typ ruchu, to router będzie szukał next-hopa w innej tablicy routingu.

W konfiguracji routing-instance będziesz miał tylko jej typ (forwarding) oraz static route (0/0).

Niestety tak to realizuje Juniper, w Cisco jest to o wiele prostsze bo podpinasz tylko odpowiednią politykę pod interfejs i masz wszystko z głowy.

https://www.juniper.net/documentation/e ... ample.html

Tutaj masz przykład. Spróbuj z tym powalczyć, jakby coś nie działało to wrzuć swoją konfiguracje, zweryfikujemy ;)


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl