Перейти к содержимому
Калькуляторы

altair

Пользователи
  • Публикации

    44
  • Зарегистрирован

  • Посещение

О altair

  • Звание
    Абитуриент
  1. Поставили достаточное количество (более 40 шт.) EX4200 (24p/t, 48p/t) в рамках одного проекта. Почти год нормально работали. Сегодня выяснилось, что в течении 3-х недель вылетело 3 шт. EX4200-48P (постоянная перезагрузка. две из трех железяк стояли в одном Virtual Chassis). Надо идти смотреть. Используются они на доступе. Из используемого функционала - MSTP, VLAN, ACL, ограничение скорости на портах, QoS, DHCP Option 82. Проблем не возникало. Единственный момент, если к порту доступа подключен писюк - со вставкой опции 82 все нормально, если - cisco/Dlink или еще какой-либо маршрутизатор - DHCP запрос на сервера с EX4200 не доходит.
  2. Так такие же параметры и выдаются - шлюз, адрес, маска, адреса DNS. Проблема в том, что на DHCP-сервер запрос даже не приходит в случае с рутером. (с писюками все нормально).
  3. Добрый день! Есть проблема с выдачей адресов по DHCP с использованием опции 82 на коммутаторах juniper. Схема сети: пользователь -- Juniper EX4200 -- Juniper EX8208 --- Сервер с ISC DCHP. В качестве шлюза для пользователя - int vlan X на 8208, на нем же включен dhcp relay в сторону сервера с DHCP. На 4200 включена опция 82, IP Source Guard, DAI. Если пользователь подключает писюк, никаких проблем не возникает, ему выдается адрес с сервера (соответствующий порту и vlan id, на который он подключен на 4200). Таких пользователей около сотни и проблем с ними не возникало (с точки зрения получения адреса). Проблемы начинаются в случае, когда пользователь подключает какой-нить рутер - были проблемы и с 2-мя цисками, и с dlink-ом. В этом случае адрес железяка не получает, и до DHCP-сервера не доходит даже request, соответвенно он ничего и не выдает. На 4200 dhcp option 82 настроена следующим образом: ethernet-switching-options { vlan X { arp-inspection; ip-source-guard; dhcp-option82 { circuit-id { use-vlan-id; Из-за того, что рутеры адрес получить не могут, приходится дописывать конфиг такими строчками: ethernet-switching-options { secure-access-port { interface ge-0/0/14.0 { static-ip A.B.C.D vlan X mac XX:XX:XX:XX:XX:XX; И говорить юзеру прописывать на своей железяке статик-адрес A.B.C.D. Как заставить juniper корректно обрабатывать dhcp-запросы, идущие от цисок/длинков/других коробок? Еще вопрос: если юзер с писюком выдернет у себя патч-корд, предварительно не сделав "ipconfig /release", то при повторном подключении к порту адреса он не получит (как я понимаю, происходит это из-за того, что адрес, который он должнен получить уже выдан, а DHCP-сервер ничего не знает про то, что юзер отключался и высвободил адрес (с учетом того, что под каждого юзера нарезан пул из одного адреса). Пытались умеьшать lease time, но это как мертвому припарки). Эту проблему можно обойти или нет?
  4. Juniper SRX3400, destination-nat

    Да, второе - для rtp. Только не понял, почему работать не будет? Когда делаю source-nat (двух вышеуказанных адресов в один) - голос ходит в одну сторону. Соответственно, остается в обратную сторону сигнализацию раскидать на один адрес, rtp - на другой. Спасибо, но "май инглиш из вери бэд" - как собака, все понимаю, а сказать не могу.
  5. Добрый день! Имеется Juniper SRX3400 (Junos 9.5). На нем надо поднять destination-nat таким образом: При обращении на ip-адрес X.X.X.X, на порт 5060 происходила трансляция на адрес - A.A.A.A; При обращении на ip-адрес X.X.X.X, на диапазон портов 49999-51555 (для примера), происходила трансляция на адрес B.B.B.B; Первая часть задачи решается без проблем: show security nat destination { pool signalling { address A.A.A.A/32; } pool bearer { address B.B.B.B/32; } rule-set sip-dest-nat { from zone TEST-SIP; rule sip-dest-nat { match { destination-address X.X.X.X/32; destination-port 5060; } then { destination-nat pool signalling; } } А вот здесь возникает трабл: rule sip-dest-nat-bearer { match { destination-address X.X.X.X/32; destination-port ###Вот здесь я не могу указать диапазон портов#####; } then { destination-nat pool bearer; } } } } Реализуемое ли такое на вышеуказанной железяке?
  6. =) понятно, ну это обычный interface vlan. Кажется варианты доступны оба - и "SVI" и "no switchport"
  7. Это по поводу чего? не пинайте....что такое CCC? если circuit cross-connect, то на него вроде бы Advanced License нужен... и как оно работает вообще?
  8. http://www.juniper.net/techpubs/en_US/juno...-ex-series.html Почти в конце странички - "When Not to Enable Unicast RPF" "Note: Do not enable unicast RPF if any switch interfaces are asymmetrically routed because unicast RPF is enabled globally on all interfaces. All switch interfaces must be symmetrically routed for you to enable unicast RPF without the risk of the switch's discarding traffic that you want to forward." Растягивать L2 до бордера...Как-то не айс. (с учетом того, что все свичи - L3 с OSPF и прочими плюшками). И на все подключаемые железки этого вилана давать по паблик-адресу? Можно ли сделать следующим образом? дать пользователю "транк" на одной "площадке" (дистриб-свич-А) - в нем vpn-vlan и internet-vlan (шлюз для инета на дистриб-свиче-А), а на 2-й "площадке" (дистриб-свич-Б) - только vpn-vlan. И пусть он сам выпускает свою 2-ю площадку в инет через 1-ю. Но это, опять же получается, растягивать виланы на весь дистриб/ядро =(. Или это тоже геморройный вариант?
  9. Люди, а кто-нибудь может подсказать "+" и "-" вот этого: против вот этого: Короче плюсы/минусы схемы с vrf и "схемы без vrf"...
  10. А какие это конкретно коробки? Сколько абонентов предполагается к этому подключить? Все абоненты юрики? Коробки следующие: ex4200 - дистриб; ex8200 - ядро; m7i - бордеры. (между m7i и 8200 - пара srx3400) абонентов <= 400; Все юрики.
  11. http://torrents.ru/forum/viewtopic.php?t=1115719 Документ называется Cisco.Press.MPLS.Implementing.Cisco.MPLS.v.2.1.Vol.2 Спасибо, ща покуримс
  12. тут велосипеда я бы вообще не придумывалвлан на клиента, на RVI uRPF, VRRP на двух бордерах, там же считаем и шейпим. Все, больше тут ничего не нужно на 10 свитчах распределения. RVI клиентский где? на дистрибе или в ядре? насчет uRPF - не канает, скорее всего в обоих случаях, т.к. 2 аплинка в ядро, т.е. ассиметрия может быть, а uRPF включается у джунипера на всех портах сразу. Опять же не ясен вопрос "инет+"vpn"" в "одном порту".
  13. Это точно - много.По поводу остального - может подкинете ссылку с "примером"? А то что-то по поводу мплс не в зуб ногой - не понятно, как инет с выдачей паблик-адресов+"впн" работает там? (в смысле без ната).