FBF Juniper, не хочет работать

Статическая и динамическая, протоколы

FBF Juniper, не хочет работать

Сообщение Melman » 12 янв 2016, 00:21

Все привет.
Может кто сможет помочь, почему так происходит?
Заморочился с настройкой FBF https://jncie.files.wordpress.com/2008/ ... arding.pdf

К роутеру MX по порту подключил отдельный сервер на базе Linux, между MX и Linux поднял quagga с ospf, настроил все по статье.
Если создать в firewall правило вида:
Код: Выделить всё
# show firewall filter REDIRECT-TRAFFIC
term 100 {
    from {
        source-prefix-list {
            my internal network;
        }
    }
    then {
        routing-instance sp1-route-table;
    }
}


то все шикарно улетает на роутер на базе linux.

Следующим шагом хочется чтобы входящий трафик к примеру от 8.8.8.8 уходил на сервер на базе Linux. Что делаю, все то же самое, вешаю фильтр на входищий интерфейс от аплинка на input
Создаю фильтр в firewall:
Код: Выделить всё
# show firewall filter REDIRECT-TRAFFIC-GOOGLE
term 100 {
    from {
        source-prefix {
            8.8.8.8/32;
        }
    }
    then {
        routing-instance sp1-route-table;
    }
}


И вот тут получаю несработку, если вместо then routing* поставить then discard то все гуд, пакеты перестают ходить, а если пытаться перенаправить пакеты в таблицу, то пакеты туда походе даже не попадают и пролетают мимо.

Может кто скажет почему так и что в такой ситуации можно сделать чтобы входящий трафик от определенных хостов перенаправить на второй роутер?
Melman
новичок
 
Сообщения: 13
Зарегистрирован: 12 янв 2016, 00:11

Re: FBF Juniper, не хочет работать

Сообщение root » 12 янв 2016, 08:23

Староват мануальчик - Aug 2008. Вот посвежее: Example: Configuring Filter-Based Forwarding on the Source Address
Но и в приведенном тобой и по ссылке выше видно, что:
Не
Melman писал(а):        source-prefix {
            8.8.8.8/32;
        }

нужно, а source-address

Если не поможет, то:
    Какая версия Junos ?
    Где и как применен фильтр ?
    Настройки routing-instance ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: FBF Juniper, не хочет работать

Сообщение Melman » 12 янв 2016, 14:27

Добрый день.
Да, тут допустил ошибку, там просто prefix-list указан у меня.

Дело в том что пробовал даже так:

Код: Выделить всё
show firewall filter REDIRECT-TO-FILTER
term 200 {
    then {
        count fw_redirect_to_filter_term_200;
        syslog;
        routing-instance sp2-route-table;
    }
}
term default {
    then accept;
}


Код: Выделить всё
Filter: REDIRECT-TO-FILTER                                     
Counters:
Name                                                Bytes              Packets
fw_redirect_to_filter_term_200               197492172893            641868009


Код: Выделить всё
Model: mx5-t
JUNOS Base OS boot [12.1R1.9]
JUNOS Base OS Software Suite [12.1R1.9]
JUNOS Kernel Software Suite [12.1R1.9]
JUNOS Crypto Software Suite [12.1R1.9]
JUNOS Packet Forwarding Engine Support (MX80) [12.1R1.9]
JUNOS Online Documentation [12.1R1.9]
JUNOS Routing Software Suite [12.1R1.9]


Код: Выделить всё
# show interfaces ae1 unit 2307 
description UPLINK2;
vlan-id 2307;
family inet {
    filter {
        input REDIRECT-TO-FILTER;
    }
    address externalip/24;
}


Код: Выделить всё
sp2-route-table {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 0.0.0.0;
        }
    }
}


пробовал менять route 0.0.0.0/0 next-hop 0.0.0.0; на route 0.0.0.0/0 next-hop 10.10.10.10 (адрес linux роутера); толку нету.

в count пакеты попадают, но вот дальше...

у меня складывается вмечатление что такие вещи можно вертеть только с известными маршрутами, которые прилеют хоть по тому же ospf

Вот к примеру нашел для srx
ttp://kb.juniper.net/InfoCenter/index?p ... ctp=search
почему оно не будет работать, но как-то не много не складывается пока еще общая картинка в голове.
Melman
новичок
 
Сообщения: 13
Зарегистрирован: 12 янв 2016, 00:11

Re: FBF Juniper, не хочет работать

Сообщение root » 12 янв 2016, 16:27

Melman писал(а):там просто prefix-list указан у меня

Когда не работает и идет траблшут, то лучше разбираться с тем как в точности написано в "мурзилке" - а там написано source-address и никаких source-prefix
Restrictions for Applying Filter-Based Forwarding

An interface configured with filter-based forwarding does not support source-class usage
(SCU) filtermatchingor source-classanddestination-classusage (SCU/DCU)accounting.


Melman писал(а):route 0.0.0.0/0 next-hop 0.0.0.0;

Даже не знаю что сказать о этом :) Кроме как "бред" ничего не подходит. :) И с такой строкой commit проканывает ? :shock: Никогда не пробовал ессно.

Melman писал(а):route 0.0.0.0/0 next-hop 10.10.10.10 (адрес linux роутера); толку нету

Что показывает команда:
Код: Выделить всё
show route terse 10.10.10.10 table sp2-route-table

Пустоту ? rib-groups описаны ?

Melman писал(а):нашел для srx

не стоит сравнивать с SRX, это совсем другая "песня" - это firewall, а не роутер.

Melman писал(а):fw_redirect_to_filter_term_200 197492172893 641868009

Это конечно здорово, но мы же (читатели) не вкурсе на скольких интерфейсах у тебя висит этот фильтр. Если на одном, то одно, а если не нескольких, то нужно применять interface-specific в фильтре.

12.1R1.9 лучше накатить до 12.3R6.6 (предыдущей рекомендованной) или до 13.3R8 (текущая рекомендация).

В большинстве случает подобную фичу применяют для подобных случаев, по сути тоже самое нарисовано и в "мурзилке".
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: FBF Juniper, не хочет работать

Сообщение root » 19 янв 2016, 11:14

Ну так что ? Получилось ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: FBF Juniper, не хочет работать

Сообщение Melman » 26 янв 2016, 00:29

Извиняюсь, надо еще чуть чуть времени. У нас случилось несколько бед, выгребаем последствия.
Пока не могу трогать действующию сеть, 2 недели назад мы поимели полное падение ДЦ в связи с выгоранием УПС.

Сейчас активно занимаюсь в GNS3, моделируя данную схему, хочу обкатать часть в GNS и потом браться за реальное железо, уже почти собрал действующею схему.
Melman
новичок
 
Сообщения: 13
Зарегистрирован: 12 янв 2016, 00:11

Re: FBF Juniper, не хочет работать

Сообщение Melman » 26 янв 2016, 16:26

Код: Выделить всё
И так, получилось воспроизвести проблему в GNS3.

Какая текущая проблема, прикрепил её.
[code]root@cl01:~# traceroute 10.102.0.2
traceroute to 10.102.0.2 (10.102.0.2), 30 hops max, 60 byte packets
 1  10.101.0.254 (10.101.0.254)  1.504 ms  1.430 ms  1.419 ms
 2  192.168.0.2 (192.168.0.2)  2.082 ms  2.707 ms  2.646 ms
 3  192.168.0.10 (192.168.0.10)  3.573 ms  3.715 ms  3.658 ms
 4  10.102.0.2 (10.102.0.2)  3.593 ms  3.517 ms  3.476 ms
root@cl01:~#
[/code]

Трасировка идет, но: на router02 сказано:
root@router02# show firewall filter classify-customers
term sp1-customers {
    from {
        source-address {
            10.100.0.2/32;
            10.101.0.2/32;
        }
    }
    then {
        log;
        routing-instance sp1-route-table;
    }
}
term default {
    then {
        log;
        accept;
    }
}

[edit]


пускаю один пакет с cl01 на cl02
Код: Выделить всё
root@cl01:~# ping 10.102.0.2 -c 1
PING 10.102.0.2 (10.102.0.2) 56(84) bytes of data.
64 bytes from 10.102.0.2: icmp_seq=1 ttl=61 time=0.768 ms

--- 10.102.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.768/0.768/0.768/0.000 ms

Пакет проходит, видим даже в firewall на router02 срабатывание.
Код: Выделить всё
root@router02# run show firewall log   
Log :
Time      Filter    Action Interface     Protocol        Src Addr                         Dest Addr
15:19:47  classify-customersem2.0        ICMP            10.101.0.2                       10.102.0.2


Но, согласно
Код: Выделить всё
root@router02# show routing-instances sp1-route-table
instance-type forwarding;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 192.168.0.14;
    }
}


пакет должен был уйти на 192.168.0.14, потом вернуться обратно на router02 и уйти на 10.102.0.2, этого не приозошло.

Я сидел wireshark на SW1, там пакетов не было в обще никаких по ICMP трафику, то есть банально туда трафик не заворачивается.
В вот если сделать вот так:

Код: Выделить всё
term sp1-customers {
    from {
        source-address {
            10.100.0.2/32;
            10.101.0.2/32;
        }
    }
    then {
        log;
        discard;
    }
}


то трафик перестает в обще ходить, таким образом пакеты попадают в правило, но они не уходят в таблицу sp1-route-table.

данная проблема актуально только для тех пакетов которые приходят из внешней сетив во внутрению сеть, где правило firewall input закреплено на внешнем интерфейсе.

Код: Выделить всё
root@router02# show interfaces em2
unit 0 {
    family inet {
        filter {
            input classify-customers;
        }
        address 192.168.0.10/30;
    }
}

[edit]


Эта ситуация у меня повторилась и на реальном железе, один в один.
Если накладывать изменение на внутрение интерфейсы, то проблем нету. К примеру:
мы накладываем input filter на интерфейс router02 em3 и говорим все пакеты с 10.102.0.1 заворачивать на Router04, то когда делаем трасировку с CL02 на CL01, пакеты проходят через Router4. Подозреваю что-то связанно с порядком обработки пакетов, но что именно и возможно ли вылечить не понятно.

Soft:
Код: Выделить всё
root@router02# run show version
Hostname: router02
Model: olive
JUNOS Base OS boot [12.1R1.9]
JUNOS Base OS Software Suite [12.1R1.9]
JUNOS Kernel Software Suite [12.1R1.9]
JUNOS Crypto Software Suite [12.1R1.9]
JUNOS Packet Forwarding Engine Support (M/T Common) [12.1R1.9]
JUNOS Packet Forwarding Engine Support (M20/M40) [12.1R1.9]
JUNOS Online Documentation [12.1R1.9]
JUNOS Voice Services Container package [12.1R1.9]
JUNOS Border Gateway Function package [12.1R1.9]
JUNOS Services AACL Container package [12.1R1.9]
JUNOS Services LL-PDF Container package [12.1R1.9]
JUNOS Services PTSP Container package [12.1R1.9]
JUNOS Services Stateful Firewall [12.1R1.9]
JUNOS Services NAT [12.1R1.9]
JUNOS Services Application Level Gateways [12.1R1.9]
JUNOS Services Captive Portal and Content Delivery Container package [12.1R1.9]
JUNOS Services RPM [12.1R1.9]
JUNOS Services HTTP Content Management package [12.1R1.9]
JUNOS AppId Services [12.1R1.9]
JUNOS IDP Services [12.1R1.9]
JUNOS Services Crypto [12.1R1.9]
JUNOS Services SSL [12.1R1.9]           
JUNOS Services IPSec [12.1R1.9]
JUNOS Runtime Software Suite [12.1R1.9]
JUNOS Routing Software Suite [12.1R1.9]
Вложения
gns3.png
Melman
новичок
 
Сообщения: 13
Зарегистрирован: 12 янв 2016, 00:11

Re: FBF Juniper, не хочет работать

Сообщение root » 27 янв 2016, 08:51

Вы так и не ответили на вопросы из моего предыдущего сообщения.

З.Ы. На GNS3 может не все работать.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: FBF Juniper, не хочет работать

Сообщение Melman » 27 янв 2016, 14:11

Да, из-за проблем начал упускать моменты. Вот с реального роутера сейчас:

Код: Выделить всё
# run show route terse 10.10.10.0 table sp2-route-table.inet.0

sp2-route-table.inet.0: 63 destinations, 67 routes (63 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

A Destination        P Prf   Metric 1   Metric 2  Next hop         AS path
* 10.10.10.0/24      D   0                       >ae0.111     



Да, понятно что GNS3 не все пускает, но обычная машрутизация там должна работать, ситуация один в один воспроиводится.

А вот уже с того-же GNS:
Код: Выделить всё
root@router02# show routing-instances         
sp1-route-table {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 192.168.0.14;
        }
    }
}
sp2-route-table {
    instance-type forwarding;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 192.168.0.18;
        }
    }
}

[edit]

Код: Выделить всё
root@router02# run show route 192.168.0.14 table sp1-route-table.inet.0

sp1-route-table.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.0.12/30    *[Direct/0] 1d 13:02:51
                    > via em0.0



Код: Выделить всё
root@router02# run show route table sp1-route-table.inet.0

sp1-route-table.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0          *[Static/5] 1d 13:03:41
                    > to 192.168.0.14 via em0.0
10.102.0.0/24      *[Direct/0] 1d 13:03:41
                    > via em3.0
10.102.0.254/32    *[Local/0] 1d 13:03:41
                      Local via em3.0
192.168.0.8/30     *[Direct/0] 1d 13:03:41
                    > via em2.0
192.168.0.10/32    *[Local/0] 1d 13:03:41
                      Local via em2.0
192.168.0.12/30    *[Direct/0] 1d 13:03:41
                    > via em0.0
192.168.0.13/32    *[Local/0] 1d 13:03:41
                      Local via em0.0

[edit]
Melman
новичок
 
Сообщения: 13
Зарегистрирован: 12 янв 2016, 00:11

Re: FBF Juniper, не хочет работать

Сообщение root » 01 фев 2016, 08:58

root писал(а):rib-groups описаны ?

Код: Выделить всё
#show routing-options rib-groups

?
Выложи уже полный конфиг девайса, а не кусками.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron