Routing pomiedzy dwoma instancjami routingu

JunOS / Juniper / Netscreen

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 651
Rejestracja: 27 wrz 2006, 10:02

Routing pomiedzy dwoma instancjami routingu

#1

#1 Post autor: Bolo »

Dzień dobry,
Mam oto taki case:
Na SRX jest sieć (vlan) , kótry ma mieć wyjście do internetu przez ISP2. Default routing jest na ISP1. Zrobiłem PBR z virtualną instancją routingu i to działa.
W między czasie uruchomiłem VPN z BGP do DataCenter na obu linkach czyli mam 2 VPNy. No i pojawił się problem, bo user z vlanu z PBR nie widzi BGPowych sieci.
Da się to jakoś połączyć ?
Bardzo dziękuję za wskazówki
Pozdrawiam Bolo

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4969
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: Routing pomiedzy dwoma instancjami routingu

#2

#2 Post autor: peper »

Hint: routing-options [ instance-import ]
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 651
Rejestracja: 27 wrz 2006, 10:02

Re: Routing pomiedzy dwoma instancjami routingu

#3

#3 Post autor: Bolo »

Bardzo dziękuję za wskazówkę. Ciut się poprawiło jednak wydaje mi się, że mam doczynienia z asymetric routing. Poniżej config:

Kod: Zaznacz cały

interface-routes {
    rib-group inet 2nd-ff-router;
}
static {
    route 10.0.0.0/8 next-hop st0.0;
    route 192.168.0.0/24 next-hop st0.0;
    route 172.17.200.13/32 next-hop st0.0;
    route 172.17.200.25/32 next-hop st0.1;
    
    route 0.0.0.0/0 next-hop 213.111.213.111;
}
rib-groups {
    2nd-ff-router {
        import-rib [ inet.0 2nd-ff-router.inet.0 ];
    }
}
--------------------------

2nd-ff-router {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 214.222.214.222;
        }
        instance-import FROM-MASTER-1;
    }
}

------------------------

policy-statement FROM-MASTER-1 {
    term t1 {
        from {
            instance master;
            protocol bgp;
            route-filter 10.110.0.0/16 orlonger;
            route-filter 10.112.0.0/16 orlonger;
        }
        then accept;
    }
    term t2 {
        then reject;
    }
}
Filtr na interface:

Kod: Zaznacz cały

unit 103 {
    description FF_Users;
    vlan-id 103;
    family inet {
        filter {
            input Users_PBR;
        }
        address 10.251.98.1/24;
    }
}
i firewall:

Kod: Zaznacz cały

family inet {
    filter Users_PBR {
        term 1 {
            from {
                source-address {
                    10.251.98.0/24;
                }
            }
            then {
                routing-instance 2nd-ff-router;
            }
        }
        term 2 {
            then accept;
        }
        term 3 {
            then accept;
        }
    }
}
Tablica routingu: - jak widać pojawiły się sieci 10.110 i 10.112 ale niestety w sesjach ruch dalej nie wraca.

Kod: Zaznacz cały

2nd-ff-router.inet.0: 35 destinations, 35 routes (35 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0          *[Static/5] 00:31:11
                    >  to 214.222.214.221 via reth0.5
10.110.0.0/16      *[BGP/170] 00:01:13, localpref 100
                      AS path: 65010 65002 ?, validation-state: unverified
                    >  to 192.168.200.13 via gr-0/0/0.0
10.112.0.0/16      *[BGP/170] 00:01:13, localpref 100
                      AS path: 65010 65002 ?, validation-state: unverified
                    >  to 192.168.200.13 via gr-0/0/0.0
10.251.96.0/24     *[Direct/0] 00:31:11
                    >  via reth1.101
10.251.96.1/32     *[Local/0] 00:31:11
                       Local via reth1.101
10.251.97.0/24     *[Direct/0] 00:31:11
                    >  via reth1.102
10.251.97.1/32     *[Local/0] 00:31:11
                       Local via reth1.102
10.251.98.0/24     *[Direct/0] 00:31:11
                    >  via reth1.103
10.251.98.1/32     *[Local/0] 00:31:11
                       Local via reth1.103
10.251.99.0/24     *[Direct/0] 00:31:11

Kod: Zaznacz cały

Session ID: 28387, Policy name: admin-access/19, State: Active, Timeout: 6, Valid
  In: 10.110.0.12/29577 --> 10.251.98.51/1;icmp, Conn Tag: 0x0, If: gr-0/0/0.0, Pkts: 1, Bytes: 60,
  Out: 10.251.98.51/1 --> 10.110.0.12/29577;icmp, Conn Tag: 0x0, If: reth1.103, Pkts: 0, Bytes: 0,
Być może gdzieś popełniłem błąd. Proszę o pomoc.
Pozdrawiam

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4969
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: Routing pomiedzy dwoma instancjami routingu

#4

#4 Post autor: peper »

A w drugiej tablicy routing do adresu 10.110.0.12 masz poprawne routing? To nie jest firewall, że on sobie stanami ogarnie ruch powrotny.
PS. rib-group to zło, używaj samego instance-import na poziomie instancji i globala
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

ODPOWIEDZ