Jump to content
Калькуляторы

altair

Пользователи
  • Posts

    44
  • Joined

  • Last visited

Everything posted by altair


  1. Поставили достаточное количество (более 40 шт.) EX4200 (24p/t, 48p/t) в рамках одного проекта. Почти год нормально работали. Сегодня выяснилось, что в течении 3-х недель вылетело 3 шт. EX4200-48P (постоянная перезагрузка. две из трех железяк стояли в одном Virtual Chassis). Надо идти смотреть. Используются они на доступе. Из используемого функционала - MSTP, VLAN, ACL, ограничение скорости на портах, QoS, DHCP Option 82. Проблем не возникало. Единственный момент, если к порту доступа подключен писюк - со вставкой опции 82 все нормально, если - cisco/Dlink или еще какой-либо маршрутизатор - DHCP запрос на сервера с EX4200 не доходит.
  2. Так такие же параметры и выдаются - шлюз, адрес, маска, адреса DNS. Проблема в том, что на DHCP-сервер запрос даже не приходит в случае с рутером. (с писюками все нормально).
  3. Добрый день! Есть проблема с выдачей адресов по DHCP с использованием опции 82 на коммутаторах juniper. Схема сети: пользователь -- Juniper EX4200 -- Juniper EX8208 --- Сервер с ISC DCHP. В качестве шлюза для пользователя - int vlan X на 8208, на нем же включен dhcp relay в сторону сервера с DHCP. На 4200 включена опция 82, IP Source Guard, DAI. Если пользователь подключает писюк, никаких проблем не возникает, ему выдается адрес с сервера (соответствующий порту и vlan id, на который он подключен на 4200). Таких пользователей около сотни и проблем с ними не возникало (с точки зрения получения адреса). Проблемы начинаются в случае, когда пользователь подключает какой-нить рутер - были проблемы и с 2-мя цисками, и с dlink-ом. В этом случае адрес железяка не получает, и до DHCP-сервера не доходит даже request, соответвенно он ничего и не выдает. На 4200 dhcp option 82 настроена следующим образом: ethernet-switching-options { vlan X { arp-inspection; ip-source-guard; dhcp-option82 { circuit-id { use-vlan-id; Из-за того, что рутеры адрес получить не могут, приходится дописывать конфиг такими строчками: ethernet-switching-options { secure-access-port { interface ge-0/0/14.0 { static-ip A.B.C.D vlan X mac XX:XX:XX:XX:XX:XX; И говорить юзеру прописывать на своей железяке статик-адрес A.B.C.D. Как заставить juniper корректно обрабатывать dhcp-запросы, идущие от цисок/длинков/других коробок? Еще вопрос: если юзер с писюком выдернет у себя патч-корд, предварительно не сделав "ipconfig /release", то при повторном подключении к порту адреса он не получит (как я понимаю, происходит это из-за того, что адрес, который он должнен получить уже выдан, а DHCP-сервер ничего не знает про то, что юзер отключался и высвободил адрес (с учетом того, что под каждого юзера нарезан пул из одного адреса). Пытались умеьшать lease time, но это как мертвому припарки). Эту проблему можно обойти или нет?
  4. Да, второе - для rtp. Только не понял, почему работать не будет? Когда делаю source-nat (двух вышеуказанных адресов в один) - голос ходит в одну сторону. Соответственно, остается в обратную сторону сигнализацию раскидать на один адрес, rtp - на другой. Спасибо, но "май инглиш из вери бэд" - как собака, все понимаю, а сказать не могу.
  5. Добрый день! Имеется Juniper SRX3400 (Junos 9.5). На нем надо поднять destination-nat таким образом: При обращении на ip-адрес X.X.X.X, на порт 5060 происходила трансляция на адрес - A.A.A.A; При обращении на ip-адрес X.X.X.X, на диапазон портов 49999-51555 (для примера), происходила трансляция на адрес B.B.B.B; Первая часть задачи решается без проблем: show security nat destination { pool signalling { address A.A.A.A/32; } pool bearer { address B.B.B.B/32; } rule-set sip-dest-nat { from zone TEST-SIP; rule sip-dest-nat { match { destination-address X.X.X.X/32; destination-port 5060; } then { destination-nat pool signalling; } } А вот здесь возникает трабл: rule sip-dest-nat-bearer { match { destination-address X.X.X.X/32; destination-port ###Вот здесь я не могу указать диапазон портов#####; } then { destination-nat pool bearer; } } } } Реализуемое ли такое на вышеуказанной железяке?
  6. =) понятно, ну это обычный interface vlan. Кажется варианты доступны оба - и "SVI" и "no switchport"
  7. Это по поводу чего? не пинайте....что такое CCC? если circuit cross-connect, то на него вроде бы Advanced License нужен... и как оно работает вообще?
  8. http://www.juniper.net/techpubs/en_US/juno...-ex-series.html Почти в конце странички - "When Not to Enable Unicast RPF" "Note: Do not enable unicast RPF if any switch interfaces are asymmetrically routed because unicast RPF is enabled globally on all interfaces. All switch interfaces must be symmetrically routed for you to enable unicast RPF without the risk of the switch's discarding traffic that you want to forward." Растягивать L2 до бордера...Как-то не айс. (с учетом того, что все свичи - L3 с OSPF и прочими плюшками). И на все подключаемые железки этого вилана давать по паблик-адресу? Можно ли сделать следующим образом? дать пользователю "транк" на одной "площадке" (дистриб-свич-А) - в нем vpn-vlan и internet-vlan (шлюз для инета на дистриб-свиче-А), а на 2-й "площадке" (дистриб-свич-Б) - только vpn-vlan. И пусть он сам выпускает свою 2-ю площадку в инет через 1-ю. Но это, опять же получается, растягивать виланы на весь дистриб/ядро =(. Или это тоже геморройный вариант?
  9. Люди, а кто-нибудь может подсказать "+" и "-" вот этого: против вот этого: Короче плюсы/минусы схемы с vrf и "схемы без vrf"...
  10. А какие это конкретно коробки? Сколько абонентов предполагается к этому подключить? Все абоненты юрики? Коробки следующие: ex4200 - дистриб; ex8200 - ядро; m7i - бордеры. (между m7i и 8200 - пара srx3400) абонентов <= 400; Все юрики.
  11. http://torrents.ru/forum/viewtopic.php?t=1115719 Документ называется Cisco.Press.MPLS.Implementing.Cisco.MPLS.v.2.1.Vol.2 Спасибо, ща покуримс
  12. тут велосипеда я бы вообще не придумывалвлан на клиента, на RVI uRPF, VRRP на двух бордерах, там же считаем и шейпим. Все, больше тут ничего не нужно на 10 свитчах распределения. RVI клиентский где? на дистрибе или в ядре? насчет uRPF - не канает, скорее всего в обоих случаях, т.к. 2 аплинка в ядро, т.е. ассиметрия может быть, а uRPF включается у джунипера на всех портах сразу. Опять же не ясен вопрос "инет+"vpn"" в "одном порту".
  13. Это точно - много.По поводу остального - может подкинете ссылку с "примером"? А то что-то по поводу мплс не в зуб ногой - не понятно, как инет с выдачей паблик-адресов+"впн" работает там? (в смысле без ната).
  14. =) когда заходил вопрос об этом с реализацией на цискином железе, то VRF-lite мне все в голову лез, однако, люди сказали, что с ним лучше не связываться - очень много "ручной" работы - типа прописей vlan-vrf и прочее. А как с остальным? Например, где резать полосу?...
  15. Имеется следующие juniper-железки: 10 дистриб-свичей; 2 свича ядра; 2 бордер-маршрутизатора (пиринг BGP, 2 ISP); Задача: на дистриб подключить юр.лиц (с учетом того, что некоторые юр.лица «распределены» на несколько дистриб-свичей); выдать подключаемым пользователям интернет; организовать связь (помимо инета) для «распределенных» юр.лиц; обеспечить необходимую полосу пропускания в инет; обезопасить сеть от спуфинга адресов (считать/нарезать полосу, вероятнее всего по IP-адресу); Раздача инета: Есть желание раздать пользователям публичные адреса (статикой) или, при необходимости, подсети. В качестве шлюза для пользователей использовать дистриб-свич. Далее в ядро OSPF ECMP с серой транспортной адресацией. Спуфинг: Ничего, кроме ACL на пользовательский порт на дистриб-свиче в голову не приходит, т.к. активных линка в ядро 2, следовательно, uRPF не канает. а-ля VPN (связь для «распределенных пользователей»): Вот тут начинаются неприятные вещи. Если первая L3-точка для пользователя – дистриб-свич, от которого в ядро уходят L3-линки, то как прокинуть вилан с одного блока распределения на другой?(если бы L2, то, тупо в сторону пользователя транк с пропуском 2-х его виланов - инета и "vpn"). QoS: Где правильней нарезать полосу в инет для пользователей? сразу на дистрибе? в ядре? Есть ли смысл терминировать пользовательские "инет"- и "vpn"- виланы на дистибе? или лучше по L2-линкам дотащить в ядро? (все железки «умные» - и дистриб и ядро).
  16. Это совсем малость не дотягивает до цены указанной конфигурации в б.у. варианте. $1800 шасси и питальник на 2,5кВт, $5800 - суп 3В, $12000 - пара 6748-SFP. Если в резерв не класть обе 6748, а только одну - так и дешевле выйдет. Правда, это для простой 6506... Но и на "Е" разница не столь велика. ;-) б.у. вариант не рассматривали ни разу, поэтому класть в зип такое - не айс, а так, конечно б.у. дешевле., просто даже б.у. можно купить "по белой" схеме, как я говорил выше, даже вместе с сервисом. угу, перешла на поставки по DDU, раньше было DDP (могу ошибаться) - типа каждый дистриб теперь таможит сам, а раньше циска сама это делала => скидки, которые дают дистрибы партнерам и енд-юзерам резко снизились процентов на 15-20% + к этому вроде как изменился сам GPL, особенно позиции k9 - возросли цены ~10% - это не проверенная инфа, только слухи.
  17. Около 6000$ за год по GPL, точно сказать не могу, берем скидку процентов 20% - не самая большая на сервис, получаем 4800. На 3 года = 14400$. Это NBD, также не забываем про TAC и не сворованный софт. Совсем грубая набивка по GPL: Шасси - WS-C6506-E - 5500$ Суп - WS-SUP720-3B - 28000$ БП - WS-CAC-3000W - 3000$ Карта 48 меди - WS-X6748-GE-TX - 30000$ за 2 штуки Фантрэй - WS-C6506-E-FAN - 495$ Итого: 66995$, берем скидку 25%, получаем 50246,25$ - это с одним БП.
  18. Знаком, поэтому теперь начинаем смотреть в сторону Juniper =). Кстати, на циско-RF-железо смартнет дешевле обычного. Ой ли? На склад 6к5 с модулями? Ведь самое неприятное это 90-day limited warranty все-таки. Наверное, надо в каждом отдельном случае брать и считать - на что смартнет, а на что - зип.
  19. А как с поддержкой быть? Поддержкой чего? ;-) Сиско прекрасно документирована, софты найти - тоже проблема не великая... Next business day replacement, TAC поддержка...
  20. Но вот б/у Циску не брал, черт его знает насколько это рискованно ? У циски есть спецпрограмма - продажа, т.н. "восстановленного" железа (пишут, что ~30-40% от стоимости новых) + к ним же есть и smartnet-ы абсолютно такие же вроде бы. У данных железок идет, кажется, в конце партнамбера приставочка "RF" - "REFURBISHED". Только вот кто из дистрибуторов такое завозит - это вопрос... (Видимо, восстановленное - это не обязательно поломанное и потом починенное, а также еще и просто б.у...)
  21. Ну, в любом случае, juniper-свичи дешевле, однако. б.у. не катит, надо новое.