mik
Vitaliy
Volodymyr
Хтонический
Это. Я дебил. Помогите написать джуниперовский префикс лист, который бы содержал только адреса на самой коробке как /32
Alexandr
Есть же слово exact
Alexandr
Волшебное
Хтонический
нужен префикс лист для фаервола. В нем должны быть только адреса коробки.
Alexandr
Адрессбук
Хтонический
root@prt30-vsrx# show policy-options prefix-list LOCAL_ADDRESS| display inheritance
##
## apply-path was expanded to:
## 192.168.36.0/22;
## 10.200.25.64/28;
## 10.24.10.0/24;
##
apply-path "interfaces <ge-0/0/*> unit <*> family inet address <*>";
Хтонический
у меня пока вот такая петрушка. Это явно не то
Хтонический
мне нужны сами адреса а не сети
Alexandr
Я в ждунах лох, но нужно, вроде как, в нужной зоне замутить адрес бук и уже адресами из него оперировать в полиси
Alexandr
Или я не так понел
Alexandr
Задача-то какая?
Хтонический
мне нужно ловить трафик, который приходит на определенную сеть и его логать. При этом я не должен логать трафик, который приходит мне лично.
Хтонический
у коробки могут быть на произвольных интерфейсах произвольные адреса из интересной сети
Хтонический
задача написать фильтр, который будет работать для большинства случаев
Хтонический
загнать его в группу и применить его, желательно, тупо аплай группом
Хтонический
в противном случае придется как-то городить скрипт. А это будет противно.
Bird
мне нужны сами адреса а не сети
apply-path берёт только то, что есть в конфиге. Есть там маска /28, префикс будет приведён к этой маске. Никаких изменений не будет сделано. Твой путь - это действительно скрипт.
Хтонический
Хтонический
Что если я флоуспек зафигачу?
Bird
commit-script наверное, или вообще внешний
Bird
Флоуспек чот не отдупляю, каким боком к твоей задаче
Хтонический
Флоуспек чот не отдупляю, каким боком к твоей задаче
Та же проблема. При определении флоуспек маршрута нужен сурс адрес в виде префикса...
Хтонический
Флоуспек чот не отдупляю, каким боком к твоей задаче
Ну, если бы можно было получить волшебным образом флоуспек маршруты из обычных маршрутов и дописать тупо нужные поля...
Bird
Ну в inet.0 то у тебя будут эти /32, их оттуда можно погрепать
Bird
Вотвот
Bird
Или типа show conf int | d s | m ge-0/0 | m addr и sed'ом /?? менять на /32
Хтонический
Но вообще, я придумал как решить проблему. Нужно помечать весь трафик на входе. А на выходе тупо считать и дропать помеченный трафик
Хтонический
Не нужно никаких волшебных префикс-листов
Bird
А трафик для ре не пометится типа?
Хтонический
Собственный трафик коробки исходящий будет немеченным, входящий будет тупо ею съеден
Bird
Логично
Хтонический
Тут просто смешная проблема с устройствами, маршрутизирующими трафик, который к ним приходит, но при этом мак-адрес не совпадает с маком их интерфейсов. И который, по идее, должен быть дропнут
Хтонический
А они его честно роутят, наплевав на мак-адреса
Хтонический
Проблема, разумеется, редкая. То-есть - они его иногда роутят
Igor
Konstantin
@troy_ntwrk http://seoi.net/penint/ - аналог архитекторского визио, ток онлайн
Evgeniy
лол
Igor
у меня там другая задача была, но тоже маки не те использовал, что предполагал
Igor
для mpls трафика оно там outgoing интерфейса мак шлёпает
Igor
а я везде irb вшил
Stanislav
@blademd а ты в сорм льёшь мплс трафик ?
Igor
да
Stanislav
а как балансишь?
Igor
ручками :(
Igor
standalone порты в сторону съёмника и вланы раскидываю "на глазок"
Stanislav
у нас traffic-policy, где отбираются по src dst ипам пакеты
Stanislav
и редиректятся
Igor
у меня тоже такое есть
Stanislav
но с мплс такое не работает (
Igor
не, у меня схема такая: я на приёмных интерфейсах от plc делаю stacked port-based, для svlan делаю learning disable, на каждый порт уникальный vlan
Igor
и потом это всё руками раскидываю
Stanislav
а у тебя не может одна сессия лечь в разные порты ?
Igor
собирал статик-бандлы, но там балансится с перекосом
Igor
абон может размазаться, да
Igor
это разве проблема?
Stanislav
типа исходняк на один бордюр, а входящий льётся через другой бордюр ?
Igor
аа, не, у меня же перед брасами трафик собирается
Stanislav
ааа
Igor
к бордюрам уже с натом льётся трафик, они такое не уважают
Evgeniy
))
Stanislav
у нас такое не сканает ) ну и мы специально нат подняли на бордюр, выше сорма
Igor
а я ушёл как раз с ната на бордюре
Igor
и радый
Igor
но снимать попроще было, ага
Igor
но не сказать, что сейчас прям сложно
Stanislav
блин, чо с мплс-ом то придумать, чтобы ручками балансить можно было )
Igor
у меня pbr, кстати, не заработал в vrf на 6320
Igor
пришлось fbf делать на ex'е
Igor
но там у меня не сормовские дела, для другого
Stanislav
у нас для сорма норм робит, но там конеш без vrf
Igor
я бы уходил на сплиттеры, но, конечно, не всё знаю)