CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 16 sty 2018, 22:24

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 10 ] 
Autor Wiadomość
Post #1 : 29 lis 2017, 22:43 
Offline
wannabe
wannabe

Rejestracja: 09 maja 2005, 10:33
Posty: 381
Lokalizacja: Zielona Góra
Używa może ktoś tego? Miałem to tej porty zestaw Junos Space Network Mgmt + Security Director w wersji 15.1 - teraz przeniosłem się na wersję 17.1 (upgrade na cholerę nie chciał się zrobić, więc postawiłem na czysto od nowa) ale problem jakie były takie dalej są. Np jak do tego ustrojstwa dodać SRX które są w HA (cluster active/passive) - każdego z osoba czy tylko sam klaster przez wspólne IP aby dało się takim SRX zarządzać i zrobić np import konfiguracji do Junos Space?


Na górę
Post #2 : 29 lis 2017, 22:54 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 255
Ja mam u siebie SRXy w HA każdy dodany osobno (interfejsy fxp0). Syslog do logcollectora leci z data plane jako source z loopbacka i wszystko działa dobrze.


Na górę
Post #3 : 06 gru 2017, 20:58 
Offline
wannabe
wannabe

Rejestracja: 09 maja 2005, 10:33
Posty: 381
Lokalizacja: Zielona Góra
Ale jak masz dodane SRX w HA każdy z osobna czyli co masz dwie konfiguracje w Junos Space dla tego samego HA czy po prostu zarządzasz osobno każdym SRX i nie patrzysz w ogóle na HA?


Na górę
Post #4 : 07 gru 2017, 19:50 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 255
Obydwa w Space a zarzadzasz aktywnym w danej chwili.


Na górę
Post #5 : 25 gru 2017, 20:40 
Offline
wannabe
wannabe

Rejestracja: 09 maja 2005, 10:33
Posty: 381
Lokalizacja: Zielona Góra
No to ja aktualnie się męczę i próbuję jakoś ogarnąć te fxp0 ale średnio to wychodzi. Doszedłem do tego, że chyba najlepiej w moim przypadku będzie wyrzucić interface reth, lo i st do innej routing-instance i wtedy fxp0 zaadresować z którejś z podsieci reth i przez nią się dostawać do SRX - już chyba tylko to mi zostało ;)


Na górę
Post #6 : 26 gru 2017, 13:43 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 255
Cytuj:
No to ja aktualnie się męczę i próbuję jakoś ogarnąć te fxp0 ale średnio to wychodzi. Doszedłem do tego, że chyba najlepiej w moim przypadku będzie wyrzucić interface reth, lo i st do innej routing-instance i wtedy fxp0 zaadresować z którejś z podsieci reth i przez nią się dostawać do SRX - już chyba tylko to mi zostało ;)
Z czym dokładnie masz problem jeśli chodzi o fxp0?


Na górę
Post #7 : 02 sty 2018, 18:32 
Offline
wannabe
wannabe

Rejestracja: 09 maja 2005, 10:33
Posty: 381
Lokalizacja: Zielona Góra
W nowej sieci na której pracuję od niedawna jest lokalizacja centralna i 6 oddziałów (full mesh VPN). Jest też zainstalowany Junos Space i teraz próbuję to ogarnąć. W lokalizacji głównej mam ten problem, że Junos Space jest podłączony bezpośrednio w sieci, która jest przypisana do reth1.0 SRX, więc połączenie się z niej do tego SRX po fxp0 nie ma za bardzo racji bytu. Jeżeli dodam tego SRX do Junos Space przez interface reth1.0 albo lo0.1 to niby urządzenie dodaje się poprawnie i widać ja jako 'In Sync' ale przy próbie importu konfiguracji z SRX do Junos Space wyskakuje błąd 'No Services to show'. No więc próbuję dodać jakoś jakiegoś SRX przez ten interface fxp0, no ale jak to w J bywa trzeba było sprawy proste trochę pogmatwać ;) Wszędzie produkcja chodzi a nie mam nic w lab, więc też za bardzo nie mogę sobie konfiguracją manewrować.


Na górę
Post #8 : 02 sty 2018, 19:25 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 08 sty 2014, 16:27
Posty: 166
Lokalizacja: 52.182098, 21.005445
Cytuj:
Ale jak masz dodane SRX w HA każdy z osobna czyli co masz dwie konfiguracje w Junos Space dla tego samego HA czy po prostu zarządzasz osobno każdym SRX i nie patrzysz w ogóle na HA?
1. Junos Space podłączysz tylko po fxp0 dla SRX. Do tego to służy i taka jest rekomendacja Junipera.
2. Żeby użyć jednego adresu IP niezależnie od ustawień HA możesz zrobić taki konfig
Kod:
set apply-groups "${node}"
set groups node0 interfaces fxp0 unit 0 family inet address x.x.x.x/x
set groups node1 interfaces fxp0 unit 0 family inet address y.y.y.y/y
set interfaces fxp0 unit 0 family inet address z.z.z.z/z master-only
i dostawać się do urządzenia po adresie z.z.z.z/z

3. Junos Security Director po podaniu adresów fxp0 node0 i node1 sam rozpozna że urządzenie to klaster srxów.

Pytanie co widzisz w "show log messages" i jaki model srx używasz?


Na górę
Post #9 : 03 sty 2018, 08:14 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 255
Sprawdź ten wątek https://forums.juniper.net/t5/SRX-Servi ... d-p/202469


Na górę
Post #10 : 03 sty 2018, 22:58 
Offline
wannabe
wannabe

Rejestracja: 09 maja 2005, 10:33
Posty: 381
Lokalizacja: Zielona Góra
Mam SRX 300 i 340 i bez problemu podłączam je do Junos Space po reth albo lo.

https://i.imgur.com/D9IOZi4.png

Jak będę miał jutro chwilę to pokombinuje z tym master-only i dam znać.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 10 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl