Перейти до

juniper Access-internal route


Рекомендованные сообщения

Всем привет.

Не получается импортнуть Access-internal роуты из основной inet.0 таблицы в vrf type forwarding.

Настройки такие:

http-redirect {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 192.168.168.6;
        }
    }
}


interface-routes {
    rib-group inet fbf-group;
}


rib-groups {
    fbf-group {
        import-rib [ inet.0 http-redirect.inet.0 ];
        import-policy custom-import;
    }
}

В новой врф вижу все роуты кроме как Access-Internal.

Нужный роут в основной таблице выглядит вот так:

10.10.10.1/32 *[Access-internal/12] 20w3d 06:46:28
                       Private unicast

Коробка выполняет роль браса, и настроен dynamic-profiles.

Просьба подсказать что делаю не так.

Нужные куски конфигов докину если будет нужно.

Спасибо!

Ссылка на сообщение
Поделиться на других сайтах

День добрый.

Главный вопрос - зачем Access-internal маршруты вам нужны в forwarding?

Тут или я не понимаю, что вы хотите сделать  - или вы не понимаете что такое instance-type forwarding, для чего он нужен и как он работает.

 

Из вашего конфига в vrf type forwarding должен быть только один маршрут - к 192.168.168.6.

Ссылка на сообщение
Поделиться на других сайтах
57 minutes ago, khatgit said:

День добрый.

Главный вопрос - зачем Access-internal маршруты вам нужны в forwarding?

Тут или я не понимаю, что вы хотите сделать  - или вы не понимаете что такое instance-type forwarding, для чего он нужен и как он работает.

 

Из вашего конфига в vrf type forwarding должен быть только один маршрут - к 192.168.168.6.

 

Мне нужно весь трафик сети 172.31.160.0/19 завернуть в отдельный vrf со своим дефолтом.

Весь трафик сети 172.31.160.0/19 заворачивается, но вот обратно от сервера к 172.31.160.0/19 не идёт, так как в http-redirect.inet.0 нету маршрутов к клиенту, то есть Access-internal.

Наверное я что-то перемудрил...

Ссылка на сообщение
Поделиться на других сайтах

Обратный трафик и не должен ходить через через http-redirect.

У вас сервер 192.168.168.6 с роутером взаимодействует через интерфейс, который скорее всего находится в inet.0, но никак не в http-redirect - там интерфейсов быть не может. Вот и обратный трафик у нас должен тогда ходить в inet.0.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, renegade310 сказал:

Мне нужно весь трафик сети 172.31.160.0/19 завернуть в отдельный vrf со своим дефолтом.

forwarding-options {
    family inet {
        filter {
            input custom-flow-fbf;
        }
    }
}


> show configuration firewall family inet filter custom-flow-nat 
term local {
    from {
        source-prefix-list {
            pl-mynets;
            rfc1918;
            nat;
        }
        destination-prefix-list {
            pl-mynets;
            rfc1918;
            nat;
        }
    }
    then accept;
}
term nat {
    from {
        source-prefix-list {
            nat;
        }
    }
    then {
        routing-instance cg-nat-1;
    }
}
term default {
    then accept;
}

> show configuration policy-options prefix-list nat 
100.64.0.0/10;


> show configuration routing-instances cg-nat-1 
instance-type virtual-router;
interface xe-0/1/6.9;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.255.252.2;
        route 100.64.0.0/10 next-table inet.0;
    }
}

 

Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах
5 hours ago, khatgit said:

День добрый.

Главный вопрос - зачем Access-internal маршруты вам нужны в forwarding?

Тут или я не понимаю, что вы хотите сделать  - или вы не понимаете что такое instance-type forwarding, для чего он нужен и как он работает.

 

Из вашего конфига в vrf type forwarding должен быть только один маршрут - к 192.168.168.6.

В какую сторону копать понял, спасибо!

2 hours ago, l1ght said:

forwarding-options {
    family inet {
        filter {
            input custom-flow-fbf;
        }
    }
}


> show configuration firewall family inet filter custom-flow-nat 
term local {
    from {
        source-prefix-list {
            pl-mynets;
            rfc1918;
            nat;
        }
        destination-prefix-list {
            pl-mynets;
            rfc1918;
            nat;
        }
    }
    then accept;
}
term nat {
    from {
        source-prefix-list {
            nat;
        }
    }
    then {
        routing-instance cg-nat-1;
    }
}
term default {
    then accept;
}

> show configuration policy-options prefix-list nat 
100.64.0.0/10;


> show configuration routing-instances cg-nat-1 
instance-type virtual-router;
interface xe-0/1/6.9;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.255.252.2;
        route 100.64.0.0/10 next-table inet.0;
    }
}

 

Благодарю!

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від kotqq
      Продам Juniper mx5, с платой на 20сфп, апнут до мх80, 64к сабов, цена 1700$


    • Від all_we_crazy
      juniper mx960
      4x блоки живлення ac200-240V 4.1kW
      2x плати керування RE-S-1800x4
      3x switch control board Enhanced
      1x MPC Type 2 3D EQ з двома MIC слотами
      1x Аплінк плата MIC 4x10GE XFP
      1x аплінк плата MPC 3D 16x 10GE
      1x MS-MPC (до 50 гігів можна натити)
      2x Fan Tray
       — ціна 9к за все разом
       
      є ще таке саме, але замість MIC 4x10GE XFP плата MPC 3D 16x 10GE
      — ціна 10к
      Також роздяну варіант продажу плати для нату окремо від корзини
    • Від Інет.укр
      Доброго вечора, продам juniper mx5-t апнутий до mx80того

       
      Вартість 80 000грн
      Можливість оплати на рахунок ФОП/карту/крипта
    • Від tarantul13
      Продається маршрутизатор Juniper MX80 зі всіма ліцензіями. Працював в датацентрі. Замінився на інше обладнання. Все робоче - перевірено.
      Додаткові питання - пишіть. Можливо по перерахунку.
    • Від opaliy
      juniper mx960
      4x блоки живлення ac200-240V 4.1kW
      2x плати керування RE-S-1800x4
      3x switch control board Enhanced
      1x MPC Type 2 3D EQ з двома MIC слотами
      1x Аплінк плата MIC 4x10GE XFP
      1x аплінк плата MPC 3D 16x 10GE
      1x MS-MPC (до 50 гігів можна натити)
      2x Fan Tray
       — ціна 11к за все разом
      є ще таке саме, але замість MIC 4x10GE XFP плата MPC 3D 16x 10GE
      — ціна 12к
       
      Олег 0961446282
×
×
  • Створити нове...