Juniper ex4200, srx240 a zarzadzanie ;)

JunOS / Juniper / Netscreen
ODPOWIEDZ
Wiadomość
Autor
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

Juniper ex4200, srx240 a zarzadzanie ;)

#1

#1 Post autor: pakarod »

Witam,

potrzebuje pomocy, troche czasu klikam cisco a teraz przyszly junki i nie moge skonfigurowac zarzadu. Otoz jest tak topologia:

moja stacja ---> przelacznik cisco ----> przelacznik x4200 port ge-0/0/46 ---> z portu ge-0/0/0 do firewalla srx240 na port ge-0/0/0.
Teraz tak. Moja stacja ma adres 192.168.1.254 i widzisz przelacznik x4200 na skonfigurowanym adresie 192.168.1.100. Niestety ani z przelacznika ani ze stacji nie widze firewalla. SRX240 ma adres 192.168.1.10 i nie moge sie do niego dostac zadnym protokolem ani nawet nie widze go w arpach.
Konfiguracja ex4200

services {
ssh {
root-login allow;
protocol-version v2;
}
web-management {
http;
}
}
syslog {
user * {
any emergency;
}
file messages {
any notice;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
}
interfaces {
ge-0/0/0 {
unit 0;
}
ge-0/0/1 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching;
}
}
[CIACH]
ge-0/0/46 {
unit 0 {
family inet {
address 192.168.1.100/24;
}
}
}
ge-0/0/47 {
unit 0 {
family ethernet-switching;
}
}
vlan {
unit 0 {
family inet;
}
}
vme {
unit 0 {
family inet;
}
}
}
protocols {
igmp-snooping {
vlan all;
}
rstp;
lldp {
interface all;
}
lldp-med {
interface all;
}
}
ethernet-switching-options {
storm-control {
interface all;
}
}
vlans {
default {
l3-interface vlan.0;
}
}
poe {
interface all;
}

konfiguracji firewalla narazie nie mam jak zrzucic ale polaczenie z ex4200 jest do interfejsu ge-0/0/0
to co zmienilem w porownaniu do oryginalnej kofniguracji to:
interfejs ge-0/0/0 zrobilem jako family inet i dalem adres 192.168.1.10/24
usunelem adres z vlan unit 0. Usunelem dhcp, dodalem interfejs ge-0/0/0.0 do strefy trust, usunalem z untrust eta wsio.
Wielkie dzieki za pomoc ;)
Na górę
Awatar użytkownika
saturnv
wannabe
wannabe
Posty: 190
Rejestracja: 23 kwie 2009, 14:05
Lokalizacja: Warszawa, Koło
Kontakt:
Skontaktuj się z saturnv

#2

#2 Post autor: saturnv »

powinienes dorzucic cos w stylu

zones {
security-zone trust {
host-inbound-traffic {
system-services {
all //albo konkretne;
}
protocols {
all //albo inne;
}
}
interfaces {
//interfejs ktory jest w trust
}
}
Na górę
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

#3

#3 Post autor: pakarod »

no to tak mam, i nie dziala. Mi sie wydaje, ze ja chyba mam problem z vlanami miedzy przelacznikiem a firewallem. Troche nie bardzo rozumiem filozofie vlanow w juniperach w polaczeniu z interfejsami logicznymi. Ciekawostka jest to, ze w monitor traffic po obu stronach interfejsow jest totalnie glucho :/
Na górę
Awatar użytkownika
saturnv
wannabe
wannabe
Posty: 190
Rejestracja: 23 kwie 2009, 14:05
Lokalizacja: Warszawa, Koło
Kontakt:
Skontaktuj się z saturnv

#4

#4 Post autor: saturnv »

Filozofia VLANÓW w Juniperze

interfaces {
ge-0/0/0 {
unit 0 { //to dziala jak podinterfejs w cisco unit 0 czyli jak g0/0, unit np 10 to g0/0.10
family ethernet-switching {
port-mode access; //mozesz zmienic na trunk
vlan {
members CCIE1; //nazwa VLANU
}
}
}
}


vlans {
CCIE1 {
description CCIE1;
vlan-id 10; //tak jak na Cisco //jakbys na cisco wpisal *config)#VLAN10, name CCIE1
l3-interface vlan.10; //interfejs SVI na switchach L3 Cisco


interfaces {
vlan {
unit 10 { /// jakbys wpisal int VLAN 10, ip add...
family inet {
address L3;
}
}


BTW
ten port x4200 port ge-0/0/46 masz w L3
a ten ge-0/0/0 ??? to nie wiem c to jest

powinienes zrobic powiedzmy oba w tym samym VLANie, a na L3 ustawiac adres do zarzadzania.
Ostatnio zmieniony 28 lut 2011, 20:17 przez saturnv, łącznie zmieniany 1 raz.
Na górę
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

#5

#5 Post autor: pakarod »

ok to idac teraz analogia, skoro w juniperach adresy na interfejsach robi sie na interfejsach logicznych (czyli np unit 0) to czy po stronie przelacznika na porcie gdzie mam wpiety firewall musze zrobic trunki ? W rozumieniu cisco stworzenie subinterfejsu wiarze sie ze stworzeniem trunki po drugiej stronie.

Debugujac dalej doszedlem do tego, ze jak pinguje z firewalla przelacznik to na porcie przelacznika widze broadcasty z zapytaniami o adres przelacznika. Pytanie tylko dlaczego na L2 cos widze a L3 juz nie :/
Na górę
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

#6

#6 Post autor: pakarod »

aha i pytanie takie:
dlaczego w defaultowym ustawieniu na routerze mam taki wpis:
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}

czy ten vlan id nie powieen miec takiego samego numerka jak vlan.X ??
Na górę
House
wannabe
wannabe
Posty: 317
Rejestracja: 25 lut 2009, 15:13

#7

#7 Post autor: House »

pakarod pisze:ok to idac teraz analogia, skoro w juniperach adresy na interfejsach robi sie na interfejsach logicznych (czyli np unit 0) to czy po stronie przelacznika na porcie gdzie mam wpiety firewall musze zrobic trunki ? W rozumieniu cisco stworzenie subinterfejsu wiarze sie ze stworzeniem trunki po drugiej stronie.
Z tego co pamiętam to interface logiczny (unit 0) w Juniperach to nie to samo co vlan. Żeby stworzyć vlan to trzeba zrobić coś takiego:

Kod: Zaznacz cały

set interface ge-0/0/0 vlan-tagging
set interface ge-0/0/0 unit 30 vlan-id 30 family inet address 20.30.40.20/24
Nie jestem pewny tego, sprawdź w dokumentacji.
Na górę
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

#8

#8 Post autor: pakarod »

problem dzieki koledze saturnv rozwiazany, jutro dokladnie opisze na czym problem polegal ale musze go jescze przemyslec ;)
Na górę
ODPOWIEDZ

Wróć do „Juniper Networks”