Dzień dobry,
Mam oto taki case:
Na SRX jest sieć (vlan) , kótry ma mieć wyjście do internetu przez ISP2. Default routing jest na ISP1. Zrobiłem PBR z virtualną instancją routingu i to działa.
W między czasie uruchomiłem VPN z BGP do DataCenter na obu linkach czyli mam 2 VPNy. No i pojawił się problem, bo user z vlanu z PBR nie widzi BGPowych sieci.
Da się to jakoś połączyć ?
Bardzo dziękuję za wskazówki
Pozdrawiam Bolo
Routing pomiedzy dwoma instancjami routingu
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: Routing pomiedzy dwoma instancjami routingu
Hint: routing-options [ instance-import ]
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: Routing pomiedzy dwoma instancjami routingu
Bardzo dziękuję za wskazówkę. Ciut się poprawiło jednak wydaje mi się, że mam doczynienia z asymetric routing. Poniżej config:
Filtr na interface:
i firewall:
Tablica routingu: - jak widać pojawiły się sieci 10.110 i 10.112 ale niestety w sesjach ruch dalej nie wraca.
Być może gdzieś popełniłem błąd. Proszę o pomoc.
Pozdrawiam
Kod: Zaznacz cały
interface-routes {
rib-group inet 2nd-ff-router;
}
static {
route 10.0.0.0/8 next-hop st0.0;
route 192.168.0.0/24 next-hop st0.0;
route 172.17.200.13/32 next-hop st0.0;
route 172.17.200.25/32 next-hop st0.1;
route 0.0.0.0/0 next-hop 213.111.213.111;
}
rib-groups {
2nd-ff-router {
import-rib [ inet.0 2nd-ff-router.inet.0 ];
}
}
--------------------------
2nd-ff-router {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 214.222.214.222;
}
instance-import FROM-MASTER-1;
}
}
------------------------
policy-statement FROM-MASTER-1 {
term t1 {
from {
instance master;
protocol bgp;
route-filter 10.110.0.0/16 orlonger;
route-filter 10.112.0.0/16 orlonger;
}
then accept;
}
term t2 {
then reject;
}
}
Kod: Zaznacz cały
unit 103 {
description FF_Users;
vlan-id 103;
family inet {
filter {
input Users_PBR;
}
address 10.251.98.1/24;
}
}
Kod: Zaznacz cały
family inet {
filter Users_PBR {
term 1 {
from {
source-address {
10.251.98.0/24;
}
}
then {
routing-instance 2nd-ff-router;
}
}
term 2 {
then accept;
}
term 3 {
then accept;
}
}
}
Kod: Zaznacz cały
2nd-ff-router.inet.0: 35 destinations, 35 routes (35 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 00:31:11
> to 214.222.214.221 via reth0.5
10.110.0.0/16 *[BGP/170] 00:01:13, localpref 100
AS path: 65010 65002 ?, validation-state: unverified
> to 192.168.200.13 via gr-0/0/0.0
10.112.0.0/16 *[BGP/170] 00:01:13, localpref 100
AS path: 65010 65002 ?, validation-state: unverified
> to 192.168.200.13 via gr-0/0/0.0
10.251.96.0/24 *[Direct/0] 00:31:11
> via reth1.101
10.251.96.1/32 *[Local/0] 00:31:11
Local via reth1.101
10.251.97.0/24 *[Direct/0] 00:31:11
> via reth1.102
10.251.97.1/32 *[Local/0] 00:31:11
Local via reth1.102
10.251.98.0/24 *[Direct/0] 00:31:11
> via reth1.103
10.251.98.1/32 *[Local/0] 00:31:11
Local via reth1.103
10.251.99.0/24 *[Direct/0] 00:31:11
Kod: Zaznacz cały
Session ID: 28387, Policy name: admin-access/19, State: Active, Timeout: 6, Valid
In: 10.110.0.12/29577 --> 10.251.98.51/1;icmp, Conn Tag: 0x0, If: gr-0/0/0.0, Pkts: 1, Bytes: 60,
Out: 10.251.98.51/1 --> 10.110.0.12/29577;icmp, Conn Tag: 0x0, If: reth1.103, Pkts: 0, Bytes: 0,
Pozdrawiam
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: Routing pomiedzy dwoma instancjami routingu
A w drugiej tablicy routing do adresu 10.110.0.12 masz poprawne routing? To nie jest firewall, że on sobie stanami ogarnie ruch powrotny.
PS. rib-group to zło, używaj samego instance-import na poziomie instancji i globala
PS. rib-group to zło, używaj samego instance-import na poziomie instancji i globala
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"