Задать вопрос

telegin

Комментарии

  • EIGRP редистрибуции из ospf?

    @telegin
    Привет!
    Вообще странное поведение, т.к. команда
    network n.n.n.n w.w.w.w
    ничего кроме того, на каких интерфейсах "искать" соседей ничего другого не делает.
    Другими словами за редистрибьюцию отвечает строчка 
    protocol XXX
 redistribute <protocol YYY> ...


    Может быть начать с прорисовки топологии ;)
    Написано

  • Почему интерфейс Juniper перешел в режим inactive?

    @telegin
    Синхронизация времени к текущему и обновление MAC'ами Forwarding таблицы это конечно волшебство ;)
    В любом случае рад, что всё заработало!
    Написано

  • Маршрутизатор на базе 1U серверной платформы (50 Гбит/сек., BGP)?

    @telegin
    А сетевая карта то какая в итоге? Intel?
    Написано

  • Какую команду необходимо ввести в маршрутизатор Juniper для сохранения текущей конфигурации после выключения питания?

    @telegin
    Смотря какую топологию собирать что на EVE-NG что в GNS3, если просто потренироваться с CLI сетевого устройства - то и на обычном ноутбуке вполне можно запустить EVE-NG и пару устройств.
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    HeroWithin, в итоге, интересно получилось ли заставить работать NAT или нет? :)
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    Ярослав, откровенно говоря я и сам в замешательстве, вот вчерашние 18 сессий (остались в логе SecureCRT):
    SRX240> show security flow session protocol icmp   
Session ID: 3113, Policy name: permit-all/20, Timeout: 12, Valid
  In: 10.15.xxx.yyy/52 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/52;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 3405, Policy name: permit-all/20, Timeout: 8, Valid
  In: 10.15.xxx.yyy/47 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/47;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 3472, Policy name: permit-all/20, Timeout: 16, Valid
  In: 10.15.xxx.yyy/56 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/56;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 9686, Policy name: permit-all/20, Timeout: 6, Valid
  In: 10.15.xxx.yyy/46 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/46;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 14669, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/41 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/41;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 314937, Policy name: permit-all/20, Timeout: 12, Valid
  In: 10.15.xxx.yyy/51 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/51;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 373059, Policy name: permit-all/20, Timeout: 8, Valid
  In: 10.15.xxx.yyy/48 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/48;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 383689, Policy name: permit-all/20, Timeout: 10, Valid
  In: 10.15.xxx.yyy/49 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/49;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 385963, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/98 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 193.2xx.yyy.zzz/17893;icmp, If: ae0.800, Pkts: 1, Bytes: 84

Session ID: 386801, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/97 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 193.2xx.yyy.zzz/20913;icmp, If: ae0.800, Pkts: 1, Bytes: 84

Session ID: 389309, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/44 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/44;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 394381, Policy name: permit-all/20, Timeout: 10, Valid
  In: 10.15.xxx.yyy/50 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/50;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 398577, Policy name: permit-all/20, Timeout: 16, Valid
  In: 10.15.xxx.yyy/55 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/55;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 398598, Policy name: permit-all/20, Timeout: 6, Valid
  In: 10.15.xxx.yyy/45 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/45;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 403482, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/53 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/53;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 406854, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/42 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/42;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 408620, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/43 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/43;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 408766, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/54 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/54;icmp, If: ae0.800, Pkts: 0, Bytes: 0
Total sessions: 18


    16 из 18 с приватным IP(10.15.xxx.yyy), но две есть с публичным (193.2xx.yyy.zzz), причем где-то посередине последовательного списка с flow...

    Сегодня при повторении - все с публичным...

    У меня нет объяснения, но главное что Source NAT (OUT Interface) - работает! :)
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    HeroWithin, на 192.168.0.104 покажи таблицу маршрутов, что то типа
    $ netstat -rn UNIX
    или
    C:\>route print WINDOWS
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    Ярослав, у меня, кстати, именно для ICMP в выводе
    show security flow session protocol icmp

    оба раза PRIVATE адрес:
    Session ID: 408620, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/43 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/43;icmp, If: ae0.0, Pkts: 0, Bytes: 0

Session ID: 408766, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/54 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/54;icmp, If: ae0.0, Pkts: 0, Bytes: 0
Total sessions: 18


    240H2 и [12.3X48-D40.5]
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    Я бы для "чистоты" эксперимента отключил бы SCREEN на время.
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    Пинг с самого фаервола работает, с клинтской машины, после получение ей ip от Dhcp нет аплинка, не работает трассировка и тд. Уже разрешил всё в параметрах policies
    - какой IP получила клиентская машина по DHCP (выдаёт этот же SRX650?)
    - за каким интерфейсом SRX650?
    - есть ли ping между машиной и интерфейсом SRX650 (можно с хоста и с SRX)? ARP записи (> show arp no-resolve )?
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    HeroWithin, не совсем понято как STP может повлиять (или наоборот не влиять) на NAT и вообще на прохождение трафика вовне?

    Если абстрагироваться от NAT, с этого SRX650 хоть какой либо трафик успешно ходит в Интернет и обратно?
    Например с IP на UNTRUST интерфейсе ge-0/0/0.0:
    SRX650> ping 8.8.8.8 source 192.168.16.4

    Также по выводу flow session кроме:
    SRX650 192.168.16.4
    SRX240 192.168.16.1
    есть некто 192.168.16.3...
    Может быть Default route сейчас не туда развёрнут?
    route 0.0.0.0/0 next-hop 192.168.16.1
    или на стороне SRX240 настроен не 16.1, а 16.3?

    И что мне совсем непонятно, это распределение IP адресов:
    192.168.16.0/24 для WAN связности (ge-0/0/0.0 с 192.168.16.4 и default в сторону 192.168.16.1 это подтверждают)

    НО! из этого же диапазона есть DHCP POOL для другого интерфейса 0/0/1:
    dhcp {
            pool 192.168.16.0/24 {
                address-range low 192.168.16.186 high 192.168.16.254;
                router {
                    192.168.16.1;
                }
                propagate-settings ge-0/0/1.0;
            }


    Зачем? Почему? Можно ли для ge-0/0/1.0 выделить другой диапазон, не .16.?
    Написано

  • Как настроить NAT на Juniper SRX650?

    @telegin
    Я тоже вначале так подумал, но у меня в тестовой схеме это работает (T->U есть, а U->T нет).
    Всё дел в том, что когда срабатывает правило изнутри наружу, то в FLOW списке автоматом создаётся разрешающее правило снаружи вовнутрь. В моём тесте U->T полиси нет, и NAT работает...
    Написано

  • Juniper ssg20 как настроить резервный канал?

    @telegin
    Вот ещё посмотри эту книгу
    index-of.co.uk/Hacking-Coleccion/Configuring%20Jun...
    Написано

  • Juniper ssg20 как настроить резервный канал?

    @telegin
    Aleksandr, после настройки проверять также, отключением основного канала. Ты же не сможешь на стороне провайдера "сделать" аварию :)
    Написано

  • Juniper ssg20 как настроить резервный канал?

    @telegin
    Aleksandr, "Вот у меня вопрос по пункту 2, вместо 0.0.0.0/0 нужно свои прописать или оставить 0.0.0.0/0 ?"
    0.0.0.0/0 это и есть так называемый маршрут по умолчанию (default route)
    Что может быть придётся поменять это номера интерфейсов, название зоны, и IP адрес(а) которые планируется пинговать (шлюз по умолчанию на стороне провайдера), параметр Preference

    По идее в настройках этого SSG уже должен был быть настроен как минимум один маршрут по умолчанию, для основного провайдера.

    Лучше и проще показать текущие настройки, без указания например первых двух октетов в целях безопасности, если они Public.
    Написано

  • Juniper ssg20 как настроить резервный канал?

    @telegin
    Aleksandr, "как я понял резервный канал пингует шлюз основного"
    - не совсем так, Primary пингует свой GW, и если он становится недоступным, то должно произойти переключение на Backup.

    Пройдись по инструкции ещё раз:
    1. Оба WAN интерфейса Pri и Sec должны быть в одной зоне ( в примере Eth2/4 - primary и Eth2/5 backup) :
    set interface ethernet2/4 zone Untrust --- primary interface
    set interface ethernet2/5 zone Untrust --- backup interface

    2. пропиши два default route с разными Preperence:
    set route 0.0.0.0/0 interface ethernet2/4 gateway 2.2.2.2 preference 10 --- More preferred
    set route 0.0.0.0/0 interface ethernet2/5 gateway 1.1.1.1 preference 30 --- Less Preferred

    3. настрой track IP для Primary интерфейса(ethernet2/4). Например 2.2.2.2:
    set interface ethernet2/4 monitor track-ip
    set interface ethernet2/4 monitor track-ip ip 2.2.2.2

    Также есть и ещё параметры Weight, Interval, Threshold, и Time out - которые можно настраивать!
    Написано

  • Не сохраняется конфиг на Juniper EX 3300 после перезагрузки, почему?

    @telegin
    Оставь никнейм в телеграмме, скину
    Написано

  • Что посоветуете из маршрутизаторов?

  • Что посоветуете из маршрутизаторов?

    @telegin
    mx104 тупиковый выбор, нет там 2kk FIB, дословно в логах появляется
    Max route supported on this platform = (1815893)
    А учитывая то, что
    BGP routing table entries examined: 786402
    и еще если у вас URL фильтрация сделана с помощью /32 без агрегации - то это сейчас 1564372
    получается что >2kk

    Как уже советовали, если не mx204, то присмотритесь к mx150 а то и к паре.
    Написано

  • В чём может быть причина неполадок с маршрутизатором Juniper SRX240H, если после включения он не загружает ОС?

    @telegin
    Половинка Чёрного, а скорости всевозможные перепробовали?
    Написано