Problem z przeniesieniem Etherchannel

Wiadomość

mardi4 · #1

Witam ponownie

Muszę przenieść konfigurację etherchannel ze switcha Catalyst 6500 na Juniper SRX 1400.

Konfiguracja Etherchannel na switch (działająca

):

Kod: Zaznacz cały

interface Port-channel1
 switchport
 switchport trunk allowed vlan 2-4,6,11,14,15
 switchport mode trunk
 switchport nonegotiate
 spanning-tree bpdufilter enable
end


interface GigabitEthernet1/1
 switchport
 switchport trunk allowed vlan 1-3,6,11,14,15
 switchport mode trunk
 switchport nonegotiate
 channel-group 1 mode active
end


interface GigabitEthernet1/2
 switchport
 switchport trunk allowed vlan 2-4,6,11,14,15
 switchport mode trunk
 switchport nonegotiate
 channel-group 1 mode active
end


interface Vlan2
 
 ip address 192.168.200.53 255.255.255.252 secondary
 ip address 192.168.254.5 255.255.255.252
 ip helper-address 155.158.202.10
end

interface Vlan3
 ip address 192.169.159.201 255.255.255.252

interface Vlan4

 ip address 192.168.254.26 255.255.255.252


interface Vlan6

 ip address 192.168.119.1 255.255.255.0 secondary
 ip address 192.168.120.1 255.255.255.0


interface Vlan11
 bandwidth 100000
 ip address 192.168.254.41 255.255.255.252


interface Vlan14
 bandwidth 100000
 ip address 192.168.129.1 255.255.255.248 secondary
 ip address 192.168.111.1 255.255.255.0


interface Vlan15
 bandwidth 100000
 ip address 192.168.252.65 255.255.255.240

Konfiguracja jaką wykonałem na SRX 1400:

Kod: Zaznacz cały

chassis {
    aggregated-devices {
        ethernet {
            device-count 1;
        }
    }
}
interfaces {
    ge-0/0/5 {
        gigether-options {
            802.3ad ae0;
        }
    }
    ge-0/0/6 {
        gigether-options {
            802.3ad ae0;
        }                               
    }
    ae0 {
        aggregated-ether-options {
            lacp {
                active;
            }
        }
        unit 0 {
            ##
            ## Warning: configuration block ignored: unsupported platform (srx1400)
            ##
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ 2 3 4 6 11 14 15 ];
                }
            }
        }
    }
            }
        }
    }
    vlan {
        unit 2 {
            family inet {
                address 192.168.254.5/30 {
                    preferred;
                }
                address 192.168.200.53/30;
            }
        }
        unit 3 {
            family inet {
                address 192.169.159.201/30;
            }                           
        }
        unit 4 {
            family inet {
                address 192.168.254.26/30;
            }
        }
        unit 6 {
            family inet {
                address 192.168.120.1/24;
                address 192.168.119.1/24;
            }
        }
        
        unit 11 {
            family inet {
                address 192.168.254.41/30;
            }
        }
        unit 14 {
            family inet {
                address 192.168.111.1/24;
                address 192.168.129.1/24;
            }
        }
        unit 15 {
            family inet {
                address 192.168.252.65/28;
            }
        }
    }

protocols {
    ##
    ## Warning: configuration block ignored: unsupported platform (srx1400)
    ##
    rstp {
        bridge-priority 56k;
        max-age 9;
        hello-time 2;
        forward-delay 15;
        interface ae0.0 {
            mode shared;                
        }
    }
}
security {
    policies {
        from-zone untrust to-zone untrust {
            policy untrust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone untrust {
            interfaces {
                vlan.2;
                vlan.3;               
                vlan.4;
                vlan.6;
                vlan.11;
                vlan.14;
                vlan.15;
                
            }
        }
    }
}

I nie chce mi to niestety działać. Czytałem na stronie Juniper o konfiguracji i dalej nie chce mi to działać. Co dziwne, nawet w tablicy routingu nie ma tych interfejsów i tras. Pomoże mi ktoś w rozwiązaniu problemu? Za co z góry dziękuję.

michaliwanczuk · #2

zacznij od tego że LACP na SRX'ach musi być pasiv

oraz przenieś interfejsy vlan na sub interfejsy ae0.x

oraz ustaw ae0 vlan taging

lxs · #3

Poniższe polecenie powinno pokazać czy porty w ogóle switchują. Na moje oko - nie i nie będą, bo to nie SRX branch i 1400 nie wspiera LACP L2.

Kod: Zaznacz cały

show ethernet-switching interfaces

Kod: Zaznacz cały

show lacp interfaces ae0

A to wytłumaczenie dlaczego...

Kod: Zaznacz cały

            ## 
            ## Warning: configuration block ignored: unsupported platform (srx1400) 
            ##

Jako dowód feature set ze strony Junipera

michaliwanczuk · #4

config powinien wyglądać:
jak coś robiłem to z pamięci z błędy przepraszam:)

Kod: Zaznacz cały

chassis { 
    aggregated-devices { 
        ethernet { 
            device-count 1; 
        } 
    } 
} 
interfaces { 
    ge-0/0/5 { 
        gigether-options { 
            802.3ad ae0; 
        } 
    } 
    ge-0/0/6 { 
        gigether-options { 
            802.3ad ae0; 
        }                                
    } 
    ae0 { 
		vlan-tagging
        aggregated-ether-options { 
            lacp {
                passive; 
            } 
        } 
		unit 2 { 
			vlan-id 2;
            family inet { 
                address 192.168.254.5/30 { 
                    preferred; 
                } 
                address 192.168.200.53/30;
                } 
		unit 3 { 
			vlan-id 3;
            family inet { 
                address 192.169.159.201/30; 
                } 
            }
		unit 4 { 
			vlan-id 4;
            family inet { 
                address 192.168.254.26/30; 
                } 
			} 
		unit 6 { 
			vlan-id 6;
            family inet { 
                address 192.168.120.1/24; 
                address 192.168.119.1/24; 
            }
		}
		unit 11 { 
			vlan-id 11
            family inet { 
                address 192.168.254.41/30; 
            } 
        } 
        unit 14 { 
			vlan-id 14
            family inet { 
                address 192.168.111.1/24; 
                address 192.168.129.1/24; 
            } 
        } 
        unit 15 { 
			vlan-id 15
            family inet { 
                address 192.168.252.65/28; 
            } 
        } 
    }

mardi4 · #5

Wielkie dzięki za pomoc, działa

A mam jeszcze pytanie. Jak w Junos określa się adres IP główny i pozostałe.
W Cisco to primary i secondary na int fizycznym lub wirtualnym a w Junos?

A mam jeszcze jedno pytanie z innej beczki, mam włączony klaster HA na SRX 1400. Jeden jest primary a drugi secondary. Czyli OK.
Ale int fab0 i fab 1 są down.

Kod: Zaznacz cały

fab0                    up    down
fab0.0                  up    down inet     30.17.0.200/24  
fab1                    up    down
fab1.0                  up    down inet     30.18.0.200/24

Choć skonfigurowane:

Kod: Zaznacz cały

    fab0 {
        fabric-options {
            member-interfaces {
                ge-0/0/7;
            }
        }
    }
    fab1 {
        fabric-options {
            member-interfaces {
                ge-4/0/7;
}

I oczywiście połączone światłowodem

Kod: Zaznacz cały

Control link status: Up

Control interfaces: 
    Index   Interface        Status
    0       em0              Up    
    1       em1              Down  

Fabric link status: Down

Fabric interfaces: 
    Name    Child-interface    Status
    fab0   
    fab0   
    fab1   
    fab1

[/code]

michaliwanczuk · #6

jeżeli masz na tym 1400 uruchomiony klaster nie stosujesz interfejsu ae a reth.

definicja adresu secendary wygląda:

Kod: Zaznacz cały

        unit 0 {
            family inet {
                address 10.100.100.145/28 {
                    primary;
                }
                address 10.100.100.225/27;
            }

pokaż konfig klastra

lxs · #7

Catalyst 6500 to switch, SRX 1400 to firewall, a Ty na siłę próbujesz zrobić z firewalla switch.

Polecam lekturę

http://kb.juniper.net/InfoCenter/index? ... id=KB22474

Tam jest wszystko opisane co i jak.

mardi4 · #8

Etcherchannel stosuję na jednym chassis do połączenia z ISP. Rethy będę konfigurować później. A jeśli chodzi o fab0 i fab1 to mam mała zagwozdkę... mianowicie jak skonfigurowałem fab0 i fab1 na int xe-0/0/7 i xe-4/0/7 to jak i fizyczne int i fab 0 i fab1 były w stanie up/down. A jak skonfigurowałem je na int ge-0/0/0 i ge-4/0/0 skrętkowe to są wszystkie w stanie up/up. Mam problm z chassis? wkładka?

michaliwanczuk · #9

może to głupie - może źle podłączyłeś światło

przy portach xe

mardi4 · #10

hm...powiem tak. Raczej nie. Bo gdy się pomyliłem i skonfigurowałem to co napisałem wyżej, czyli:

Kod: Zaznacz cały

 fab0 {
        fabric-options {
            member-interfaces {
                ge-0/0/7;
            }
        }
    }
    fab1 {
        fabric-options {
            member-interfaces {
                ge-4/0/7;
}

to popełniłem błąd bo zamiast xe... wpisałem ge. I to mogło spowodować, że fab 0 i 1 były up/down. Ale co lepsze int fizyczne były up/up bo światło było podłączone.

Po poprawieniu błędu było na fizycznych i fab up/down. a ta sama konf tylko na int ge skrętkowych działa...

michaliwanczuk · #11

daj wynik poleceń:

Kod: Zaznacz cały

show chassis cluster status
show chassis cluster interfaces
show chassis cluster statistics
show chassis cluster control-plane statistics
show chassis cluster data-plane statistics

mardi4 · #12

Kod: Zaznacz cały

show chassis cluster status
Cluster ID: 1 
Node                  Priority          Status    Preempt  Manual failover

Redundancy group: 0 , Failover count: 1
    node0                   1           primary        no       no  
    node1                   1           secondary      no       no

Kod: Zaznacz cały

show chassis cluster interfaces 
Control link status: Up

Control interfaces: 
    Index   Interface        Status
    0       em0              Up    
    1       em1              Down  

Fabric link status: Up

Fabric interfaces: 
    Name    Child-interface    Status
    fab0    ge-0/0/0           Up    
    fab0   
    fab1    ge-4/0/0           Up    
    fab1

Kod: Zaznacz cały

show chassis cluster statistics        
Control link statistics:
    Control link 0:
        Heartbeat packets sent: 8981
        Heartbeat packets received: 8894
        Heartbeat packet errors: 0
    Control link 1:
        Heartbeat packets sent: 8981
        Heartbeat packets received: 0
        Heartbeat packet errors: 0
Fabric link statistics:
    Probes sent: 8980
    Probes received: 6810
    Probe errors: 0
Services Synchronized:
    Service name                              RTOs sent    RTOs received
    Translation context                       0            0         
    Incoming NAT                              0            0         
    Resource manager                          0            0         
    DS-LITE create                            0            0         
    Session create                            0            0         
    IPv6 session create                       0            0         
    Session close                             0            0         
    IPv6 session close                        0            0         
    Session change                            0            0         
    IPv6 session change                       0            0         
    Gate create                               0            0         
    Session ageout refresh requests           0            0         
    IPv6 session ageout refresh requests      0            0         
    Session ageout refresh replies            0            0         
    IPv6 session ageout refresh replies       0            0         
    IPSec VPN                                 0            0         
    Firewall user authentication              0            0         
    MGCP ALG                                  0            0         
    H323 ALG                                  0            0         
    SIP ALG                                   0            0         
    SCCP ALG                                  0            0         
    PPTP ALG                                  0            0         
    JSF PPTP ALG                              0            0         
    RPC ALG                                   0            0         
    RTSP ALG                                  0            0         
    RAS ALG                                   0            0         
    MAC address learning                      0            0         
    GPRS GTP                                  0            0         
    GPRS SCTP                                 0            0         
    GPRS FRAMEWORK                            0            0         
    JSF RTSP ALG                              0            0         
    JSF SUNRPC MAP                            0            0         
    JSF MSRPC MAP                             0            0         
    DS-LITE delete                            0            0         
    JSF SLB                                   0            0         
    APPID                                     0            0         
    JSF MGCP MAP                              0            0         
    JSF H323 ALG                              0            0         
    JSF RAS ALG                               0            0         
    JSF SCCP MAP                              0            0         
    JSF SIP MAP                               0            0         
    PST_NAT_CREATE                            0            0         
    PST_NAT_CLOSE                             0            0         
    PST_NAT_UPDATE                            0            0         
    JSF TCP STACK                             0            0

Kod: Zaznacz cały

 show chassis cluster control-plane statistics 
Control link statistics:
    Control link 0:
        Heartbeat packets sent: 9014
        Heartbeat packets received: 8926
        Heartbeat packet errors: 0
    Control link 1:
        Heartbeat packets sent: 9014
        Heartbeat packets received: 0
        Heartbeat packet errors: 0
Fabric link statistics:
    Probes sent: 9013
    Probes received: 6842
    Probe errors: 0

Kod: Zaznacz cały

show chassis cluster data-plane statistics       
Services Synchronized:
    Service name                              RTOs sent    RTOs received
    Translation context                       0            0         
    Incoming NAT                              0            0         
    Resource manager                          0            0         
    DS-LITE create                            0            0         
    Session create                            0            0         
    IPv6 session create                       0            0         
    Session close                             0            0         
    IPv6 session close                        0            0         
    Session change                            0            0         
    IPv6 session change                       0            0         
    Gate create                               0            0         
    Session ageout refresh requests           0            0         
    IPv6 session ageout refresh requests      0            0         
    Session ageout refresh replies            0            0         
    IPv6 session ageout refresh replies       0            0         
    IPSec VPN                                 0            0         
    Firewall user authentication              0            0         
    MGCP ALG                                  0            0         
    H323 ALG                                  0            0         
    SIP ALG                                   0            0         
    SCCP ALG                                  0            0         
    PPTP ALG                                  0            0         
    JSF PPTP ALG                              0            0         
    RPC ALG                                   0            0         
    RTSP ALG                                  0            0         
    RAS ALG                                   0            0         
    MAC address learning                      0            0         
    GPRS GTP                                  0            0         
    GPRS SCTP                                 0            0         
    GPRS FRAMEWORK                            0            0         
    JSF RTSP ALG                              0            0         
    JSF SUNRPC MAP                            0            0         
    JSF MSRPC MAP                             0            0         
    DS-LITE delete                            0            0         
    JSF SLB                                   0            0         
    APPID                                     0            0         
    JSF MGCP MAP                              0            0         
    JSF H323 ALG                              0            0         
    JSF RAS ALG                               0            0         
    JSF SCCP MAP                              0            0         
    JSF SIP MAP                               0            0         
    PST_NAT_CREATE                            0            0         
    PST_NAT_CLOSE                             0            0         
    PST_NAT_UPDATE                            0            0         
    JSF TCP STACK                             0            0

mardi4 · #13

Porty Data-link naprawione i już działają

Mam jeszcze kilka pytań. Po pierwsze: jak włączyć OSPF na ae? Ogólnie trzeba na całym ae czy trzeba na każdym ae0.2, ae0.3 itd jako na vlan?

Kolejne pytanie.

Jak podpiąć firewall filter do vlan na ae0?

Kolejne:
Robię firewall filter.

Załóżmy, że mój adres to 192.168.1.2 i jestem podpięty do vlan 2 na ae0. Mój adres może wyjść na zewnątrz. Ale ruch z zewnątrz jest zablokowany. Jak skonfigurować ruch przychodzący established?

Tak?

Kod: Zaznacz cały

set filter 108 term test from protocol tcp tcp-established source-address 0.0.0.0/0
set filter 108 term komercyjne3 from protocol tcp tcp-established destination-address 192.168.1.0/24
set filter 108 term komercyjne3 then accept

czy jakoś inaczej?

lxs · #14

Googla wyłączyli ? Szybciej mi zajęło wyszukanie konfiguracji ospf na SRX niż pisanie tego posta.

Kod: Zaznacz cały

// dla kazdego interfejsu ae0.x
set protocols ospf area 0.0.0.0 interface [interface] 
set security zones security-zone trust interfaces [interface] host-inbound-traffic protocols ospf

// Plus ustawienie router ID
set interfaces lo0 unit 0 family inet address [R-ID]
set protocols ospf area 0.0.0.0 interface lo0.0 passive         
set routing-options router-id [R-ID]

Odpowiem pytaniem na pytanie. - A po co Ci firewall filter? Jeżeli chcesz użyć funkcjonalności firewalla, to poczytaj o zonach. Firewall filter to zła droga.

mardi4 · #15

Chciałem to zrobić na zonach. ale jest jeden problem. potrzebuje filtrować ruch na źródłowych portach, a z tego co wiem w zonach można tylko docelowe porty konfugurować.