Junos Space i SRX

JunOS / Juniper / Netscreen
Wiadomość
Autor
bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Junos Space i SRX

#1

#1 Post autor: bart »

Używa może ktoś tego? Miałem to tej porty zestaw Junos Space Network Mgmt + Security Director w wersji 15.1 - teraz przeniosłem się na wersję 17.1 (upgrade na cholerę nie chciał się zrobić, więc postawiłem na czysto od nowa) ale problem jakie były takie dalej są. Np jak do tego ustrojstwa dodać SRX które są w HA (cluster active/passive) - każdego z osoba czy tylko sam klaster przez wspólne IP aby dało się takim SRX zarządzać i zrobić np import konfiguracji do Junos Space?

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: Junos Space i SRX

#2

#2 Post autor: scoon »

Ja mam u siebie SRXy w HA każdy dodany osobno (interfejsy fxp0). Syslog do logcollectora leci z data plane jako source z loopbacka i wszystko działa dobrze.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: Junos Space i SRX

#3

#3 Post autor: bart »

Ale jak masz dodane SRX w HA każdy z osobna czyli co masz dwie konfiguracje w Junos Space dla tego samego HA czy po prostu zarządzasz osobno każdym SRX i nie patrzysz w ogóle na HA?

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: Junos Space i SRX

#4

#4 Post autor: scoon »

Obydwa w Space a zarzadzasz aktywnym w danej chwili.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: Junos Space i SRX

#5

#5 Post autor: bart »

No to ja aktualnie się męczę i próbuję jakoś ogarnąć te fxp0 ale średnio to wychodzi. Doszedłem do tego, że chyba najlepiej w moim przypadku będzie wyrzucić interface reth, lo i st do innej routing-instance i wtedy fxp0 zaadresować z którejś z podsieci reth i przez nią się dostawać do SRX - już chyba tylko to mi zostało ;)

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: Junos Space i SRX

#6

#6 Post autor: scoon »

bart pisze: 25 gru 2017, 20:40 No to ja aktualnie się męczę i próbuję jakoś ogarnąć te fxp0 ale średnio to wychodzi. Doszedłem do tego, że chyba najlepiej w moim przypadku będzie wyrzucić interface reth, lo i st do innej routing-instance i wtedy fxp0 zaadresować z którejś z podsieci reth i przez nią się dostawać do SRX - już chyba tylko to mi zostało ;)
Z czym dokładnie masz problem jeśli chodzi o fxp0?

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: Junos Space i SRX

#7

#7 Post autor: bart »

W nowej sieci na której pracuję od niedawna jest lokalizacja centralna i 6 oddziałów (full mesh VPN). Jest też zainstalowany Junos Space i teraz próbuję to ogarnąć. W lokalizacji głównej mam ten problem, że Junos Space jest podłączony bezpośrednio w sieci, która jest przypisana do reth1.0 SRX, więc połączenie się z niej do tego SRX po fxp0 nie ma za bardzo racji bytu. Jeżeli dodam tego SRX do Junos Space przez interface reth1.0 albo lo0.1 to niby urządzenie dodaje się poprawnie i widać ja jako 'In Sync' ale przy próbie importu konfiguracji z SRX do Junos Space wyskakuje błąd 'No Services to show'. No więc próbuję dodać jakoś jakiegoś SRX przez ten interface fxp0, no ale jak to w J bywa trzeba było sprawy proste trochę pogmatwać ;) Wszędzie produkcja chodzi a nie mam nic w lab, więc też za bardzo nie mogę sobie konfiguracją manewrować.

Awatar użytkownika
lxs
wannabe
wannabe
Posty: 177
Rejestracja: 08 sty 2014, 16:27
Lokalizacja: 52.182098, 21.005445

Re: Junos Space i SRX

#8

#8 Post autor: lxs »

bart pisze: 06 gru 2017, 20:58 Ale jak masz dodane SRX w HA każdy z osobna czyli co masz dwie konfiguracje w Junos Space dla tego samego HA czy po prostu zarządzasz osobno każdym SRX i nie patrzysz w ogóle na HA?
1. Junos Space podłączysz tylko po fxp0 dla SRX. Do tego to służy i taka jest rekomendacja Junipera.
2. Żeby użyć jednego adresu IP niezależnie od ustawień HA możesz zrobić taki konfig

Kod: Zaznacz cały

set apply-groups "${node}"
set groups node0 interfaces fxp0 unit 0 family inet address x.x.x.x/x
set groups node1 interfaces fxp0 unit 0 family inet address y.y.y.y/y
set interfaces fxp0 unit 0 family inet address z.z.z.z/z master-only
i dostawać się do urządzenia po adresie z.z.z.z/z

3. Junos Security Director po podaniu adresów fxp0 node0 i node1 sam rozpozna że urządzenie to klaster srxów.

Pytanie co widzisz w "show log messages" i jaki model srx używasz?

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: Junos Space i SRX

#9

#9 Post autor: scoon »


bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: Junos Space i SRX

#10

#10 Post autor: bart »

Mam SRX 300 i 340 i bez problemu podłączam je do Junos Space po reth albo lo.

https://i.imgur.com/D9IOZi4.png

Jak będę miał jutro chwilę to pokombinuje z tym master-only i dam znać.

ODPOWIEDZ