PK
про матчить vlan была мысль. пока только не проверил, можно ли будет там дерево в фильтре сделать, что в каждом терме vlan-id не проверять.
дерево не получится помоему. придется мачить постоянно.
Size: a a a
2020 November 18
SP
про матчить vlan была мысль. пока только не проверил, можно ли будет там дерево в фильтре сделать, что в каждом терме vlan-id не проверять.
Матчить - оно умрет на очень небольшом фильтре, EX4600 вообще не про фаирволы
ND
Матчить - оно умрет на очень небольшом фильтре, EX4600 вообще не про фаирволы
чего этот оно умрет-то? там на датаплейне всё это матчится - вообще не напрягаясь
ND
stateless. обычные проверки по полям
SP
чего этот оно умрет-то? там на датаплейне всё это матчится - вообще не напрягаясь
Удачи
ND
Удачи
пруфы то есть, что помрет и на каком трафике?
TL
чего этот оно умрет-то? там на датаплейне всё это матчится - вообще не напрягаясь
TL
пруфы то есть, что помрет и на каком трафике?
PK
так то же не луп фильтр
SP
пруфы то есть, что помрет и на каком трафике?
Там проблема в tcam, а не в трафике, его очень мало на конкретно этих железках и он специфический
PK
ну а вообще это задача для роутера, а не для свича.
SP
Ага не напрягаясь лно работает на стенде в 3 правила, чуть более-менее развесистый фаирвол, то тикам кончится, то FPC уйдет в себя, не надо фаирволить на младших EX
D
Гуру juniper'ов
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
# show interfaces xe-0/0/0
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vl-OPERATOR-1-UPLINK;
}
filter {
input-list [ FW_UPLINK_NEIGHBORS FW_UPLINK_NEIGHBOR_OPERATOR_1 FW_UPLINK_PREFIX FW_DISCARD ];
}
}
}
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
не очень понятно что ты на свитче фильтруешь