altair
-
Публикации
44 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем altair
-
-
а по поводу роутеров - какие параметры им выдаются ?? не все роутеры понимают нужные параметры.
Так такие же параметры и выдаются - шлюз, адрес, маска, адреса DNS. Проблема в том, что на DHCP-сервер запрос даже не приходит в случае с рутером. (с писюками все нормально).
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Добрый день!
Есть проблема с выдачей адресов по DHCP с использованием опции 82 на коммутаторах juniper.
Схема сети:
пользователь -- Juniper EX4200 -- Juniper EX8208 --- Сервер с ISC DCHP.
В качестве шлюза для пользователя - int vlan X на 8208, на нем же включен dhcp relay в сторону сервера с DHCP. На 4200 включена опция 82, IP Source Guard, DAI.
Если пользователь подключает писюк, никаких проблем не возникает, ему выдается адрес с сервера (соответствующий порту и vlan id, на который он подключен на 4200). Таких пользователей около сотни и проблем с ними не возникало (с точки зрения получения адреса).
Проблемы начинаются в случае, когда пользователь подключает какой-нить рутер - были проблемы и с 2-мя цисками, и с dlink-ом. В этом случае адрес железяка не получает, и до DHCP-сервера не доходит даже request, соответвенно он ничего и не выдает.
На 4200 dhcp option 82 настроена следующим образом:
ethernet-switching-options {
vlan X {
arp-inspection;
ip-source-guard;
dhcp-option82 {
circuit-id {
use-vlan-id;
Из-за того, что рутеры адрес получить не могут, приходится дописывать конфиг такими строчками:
ethernet-switching-options {
secure-access-port {
interface ge-0/0/14.0 {
static-ip A.B.C.D vlan X mac XX:XX:XX:XX:XX:XX;
И говорить юзеру прописывать на своей железяке статик-адрес A.B.C.D.
Как заставить juniper корректно обрабатывать dhcp-запросы, идущие от цисок/длинков/других коробок?
Еще вопрос: если юзер с писюком выдернет у себя патч-корд, предварительно не сделав "ipconfig /release", то при повторном подключении к порту адреса он не получит (как я понимаю, происходит это из-за того, что адрес, который он должнен получить уже выдан, а DHCP-сервер ничего не знает про то, что юзер отключался и высвободил адрес (с учетом того, что под каждого юзера нарезан пул из одного адреса). Пытались умеьшать lease time, но это как мертвому припарки). Эту проблему можно обойти или нет?
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Задача стояла поднять линк, имея один порт. Задача решена/
А нафига?
-
Да, второе - для rtp. Только не понял, почему работать не будет? Когда делаю source-nat (двух вышеуказанных адресов в один) - голос ходит в одну сторону. Соответственно, остается в обратную сторону сигнализацию раскидать на один адрес, rtp - на другой.Второе преобразавание для rtp?Если да - работать не будет, необходимо постоянно поддерживать сессию в активном состоянии, NOTIFY-ами, OPTIONS-ами и пр.
Спасибо, но "май инглиш из вери бэд" - как собака, все понимаю, а сказать не могу.
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Добрый день!
Имеется Juniper SRX3400 (Junos 9.5). На нем надо поднять destination-nat таким образом:
При обращении на ip-адрес X.X.X.X, на порт 5060 происходила трансляция на адрес - A.A.A.A;
При обращении на ip-адрес X.X.X.X, на диапазон портов 49999-51555 (для примера), происходила трансляция на адрес B.B.B.B;
Первая часть задачи решается без проблем:
show security nat
destination {
pool signalling {
address A.A.A.A/32;
}
pool bearer {
address B.B.B.B/32;
}
rule-set sip-dest-nat {
from zone TEST-SIP;
rule sip-dest-nat {
match {
destination-address X.X.X.X/32;
destination-port 5060;
}
then {
destination-nat pool signalling;
}
}
А вот здесь возникает трабл:
rule sip-dest-nat-bearer {
match {
destination-address X.X.X.X/32;
destination-port ###Вот здесь я не могу указать диапазон портов#####;
}
then {
destination-nat pool bearer;
}
}
}
}
Реализуемое ли такое на вышеуказанной железяке?
-
=) понятно, ну это обычный interface vlan.
Кажется варианты доступны оба - и "SVI" и "no switchport"
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Это по поводу чего?3) можноМожно клиентов через CCC подключить, если уж очень хочется весь функционал задействовать.не пинайте....что такое CCC?
если circuit cross-connect, то на него вроде бы Advanced License нужен... и как оно работает вообще?
-
Если коммутаторы доступа умеют L3 интерфейс к SVI привязать, то нет проблем и влан для VPN прокинуть через uplink порт к другому кусту.
не понял...
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
насчет rpf-check "сразу на всех" - нет такогоhttp://www.juniper.net/techpubs/en_US/juno...-ex-series.html
Почти в конце странички - "When Not to Enable Unicast RPF"
"Note: Do not enable unicast RPF if any switch interfaces are asymmetrically routed because unicast RPF is enabled globally on all interfaces. All switch interfaces must be symmetrically routed for you to enable unicast RPF without the risk of the switch's discarding traffic that you want to forward."
Растягивать L2 до бордера...Как-то не айс. (с учетом того, что все свичи - L3 с OSPF и прочими плюшками).RVI на ядре или вообще на бордереVPN с чем? с соседним филиалом? в 1 влан ихИ на все подключаемые железки этого вилана давать по паблик-адресу? Можно ли сделать следующим образом?
дать пользователю "транк" на одной "площадке" (дистриб-свич-А) - в нем vpn-vlan и internet-vlan (шлюз для инета на дистриб-свиче-А), а на 2-й
"площадке" (дистриб-свич-Б) - только vpn-vlan. И пусть он сам выпускает свою 2-ю площадку в инет через 1-ю. Но это, опять же получается, растягивать виланы на весь дистриб/ядро =(.
Или это тоже геморройный вариант?
-
Люди, а кто-нибудь может подсказать "+" и "-" вот этого:
Ядро переводим на коммутацию по меткам, юриков запихиваем в отдельные VRF, делаем им впны.Фактически, ваши требования идеально описыват назначение мплс :)
против вот этого:
А руками SVI и ацл прописывать - это не много работы?Короче плюсы/минусы схемы с vrf и "схемы без vrf"...
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Имеется следующие juniper-железки:10 дистриб-свичей;
2 свича ядра;
2 бордер-маршрутизатора (пиринг BGP, 2 ISP);
А какие это конкретно коробки? Сколько абонентов предполагается к этому подключить? Все абоненты юрики?
Коробки следующие:
ex4200 - дистриб;
ex8200 - ядро;
m7i - бордеры.
(между m7i и 8200 - пара srx3400)
абонентов <= 400;
Все юрики.
-
По поводу остального - может подкинете ссылку с "примером"?
http://torrents.ru/forum/viewtopic.php?t=1115719
Документ называется Cisco.Press.MPLS.Implementing.Cisco.MPLS.v.2.1.Vol.2
Спасибо, ща покуримс
-
тут велосипеда я бы вообще не придумывалИмеется следующие juniper-железки:10 дистриб-свичей;
2 свича ядра;
2 бордер-маршрутизатора (пиринг BGP, 2 ISP);
влан на клиента, на RVI uRPF, VRRP на двух бордерах, там же считаем и шейпим.
Все, больше тут ничего не нужно на 10 свитчах распределения.
RVI клиентский где? на дистрибе или в ядре? насчет uRPF - не канает, скорее всего в обоих случаях, т.к. 2 аплинка в ядро, т.е. ассиметрия может быть, а uRPF включается у джунипера на всех портах сразу.
Опять же не ясен вопрос "инет+"vpn"" в "одном порту".
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Это точно - много.А руками SVI и ацл прописывать - это не много работы?По поводу остального - может подкинете ссылку с "примером"? А то что-то по поводу мплс не в зуб ногой - не понятно, как инет с выдачей паблик-адресов+"впн" работает там? (в смысле без ната).
-
=) когда заходил вопрос об этом с реализацией на цискином железе, то VRF-lite мне все в голову лез, однако, люди сказали, что с ним лучше не связываться - очень много "ручной" работы - типа прописей vlan-vrf и прочее.
А как с остальным? Например, где резать полосу?...
-
ой, как-то стало неутно....
можно подробнее?
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Имеется следующие juniper-железки:
10 дистриб-свичей;
2 свича ядра;
2 бордер-маршрутизатора (пиринг BGP, 2 ISP);
Задача:
на дистриб подключить юр.лиц (с учетом того, что некоторые юр.лица «распределены» на несколько дистриб-свичей);
выдать подключаемым пользователям интернет;
организовать связь (помимо инета) для «распределенных» юр.лиц;
обеспечить необходимую полосу пропускания в инет;
обезопасить сеть от спуфинга адресов (считать/нарезать полосу, вероятнее всего по IP-адресу);
Раздача инета:
Есть желание раздать пользователям публичные адреса (статикой) или, при необходимости, подсети. В качестве шлюза для пользователей использовать дистриб-свич. Далее в ядро OSPF ECMP с серой транспортной адресацией.
Спуфинг:
Ничего, кроме ACL на пользовательский порт на дистриб-свиче в голову не приходит, т.к. активных линка в ядро 2, следовательно, uRPF не канает.
а-ля VPN (связь для «распределенных пользователей»):
Вот тут начинаются неприятные вещи. Если первая L3-точка для пользователя – дистриб-свич, от которого в ядро уходят L3-линки, то как прокинуть вилан с одного блока распределения на другой?(если бы L2, то, тупо в сторону пользователя транк с пропуском 2-х его виланов - инета и "vpn").
QoS:
Где правильней нарезать полосу в инет для пользователей? сразу на дистрибе? в ядре?
Есть ли смысл терминировать пользовательские "инет"- и "vpn"- виланы на дистибе? или лучше по L2-линкам дотащить в ядро? (все железки «умные» - и дистриб и ядро).
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Это совсем малость не дотягивает до цены указанной конфигурации в б.у. варианте.На 3 года = 14400$.$1800 шасси и питальник на 2,5кВт, $5800 - суп 3В, $12000 - пара 6748-SFP.
Если в резерв не класть обе 6748, а только одну - так и дешевле выйдет.
Правда, это для простой 6506... Но и на "Е" разница не столь велика.
;-)
б.у. вариант не рассматривали ни разу, поэтому класть в зип такое - не айс, а так, конечно б.у. дешевле., просто даже б.у. можно купить "по белой" схеме, как я говорил выше, даже вместе с сервисом.
Дистрибуторы говорят, что циска резко изменила политику с 1 июня. Они пока даже въехать не могут, чего и как считать.угу, перешла на поставки по DDU, раньше было DDP (могу ошибаться) - типа каждый дистриб теперь таможит сам, а раньше циска сама это делала => скидки, которые дают дистрибы партнерам и енд-юзерам резко снизились процентов на 15-20% + к этому вроде как изменился сам GPL, особенно позиции k9 - возросли цены ~10% - это не проверенная инфа, только слухи.
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Так сколько будет смарт с заменой в один день на 6506 + sup720-3B + пара x6748? Года эдак на три...Около 6000$ за год по GPL, точно сказать не могу, берем скидку процентов 20% - не самая большая на сервис, получаем 4800. На 3 года = 14400$. Это NBD, также не забываем про TAC и не сворованный софт.
Совсем грубая набивка по GPL:
Шасси - WS-C6506-E - 5500$
Суп - WS-SUP720-3B - 28000$
БП - WS-CAC-3000W - 3000$
Карта 48 меди - WS-X6748-GE-TX - 30000$ за 2 штуки
Фантрэй - WS-C6506-E-FAN - 495$
Итого: 66995$, берем скидку 25%, получаем 50246,25$ - это с одним БП.
-
Знаком, поэтому теперь начинаем смотреть в сторону Juniper =). Кстати, на циско-RF-железо смартнет дешевле обычного.Прайс от Сиско на это знаком? ;-)Дешевле (заметно) поставить запасной юнит на склад...Ой ли? На склад 6к5 с модулями? Ведь самое неприятное это 90-day limited warranty все-таки. Наверное, надо в каждом отдельном случае брать и считать - на что смартнет, а на что - зип.
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Поддержкой чего? ;-)Гхм. Вот уж лет 5 как завожу б.у. Сиски. Понадежнее нового китая будут... Раз в 10.А как с поддержкой быть?
Сиско прекрасно документирована, софты найти - тоже проблема не великая...
Next business day replacement, TAC поддержка...
-
Гхм. Вот уж лет 5 как завожу б.у. Сиски. Понадежнее нового китая будут... Раз в 10.
А как с поддержкой быть?
-
Но вот б/у Циску не брал, черт его знает насколько это рискованно ?Вам разве принтер нужен?У циски есть спецпрограмма - продажа, т.н. "восстановленного" железа (пишут, что ~30-40% от стоимости новых) + к ним же есть и smartnet-ы абсолютно такие же вроде бы. У данных железок идет, кажется, в конце партнамбера приставочка "RF" - "REFURBISHED".
Только вот кто из дистрибуторов такое завозит - это вопрос...
(Видимо, восстановленное - это не обязательно поломанное и потом починенное, а также еще и просто б.у...)
-
Опубликовано · Изменено пользователем altair · Жалоба на ответ
Ну, в любом случае, juniper-свичи дешевле, однако.
Вы быстро упретесь в недостаток слотов расширения. Если есть возможность, купите лучше подержаный M10 (без i) с E-FEB. Память на FEB расширяется с пом. модулей памяти для Catalyst MSFC2 (модуль в 512Мб видится как 256Мб, модуль в 256Мб - как 128Мб). Еще стоит купить CF на 1Гб (только нужно брать не Hi Speed) для Routing Engine, чтобы можно было поставить Junos > 9.2. За цену M7i можно купить 2 подержанных M10 с набивкой. Обязательно берите с E-FEB (Enhanced FEB)б.у. не катит, надо новое.
Кто использует Juniper EX3200/4200 ?
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Жалоба на ответ
Поставили достаточное количество (более 40 шт.) EX4200 (24p/t, 48p/t) в рамках одного проекта. Почти год нормально работали. Сегодня выяснилось, что в течении 3-х недель вылетело 3 шт. EX4200-48P (постоянная перезагрузка. две из трех железяк стояли в одном Virtual Chassis). Надо идти смотреть.
Используются они на доступе. Из используемого функционала - MSTP, VLAN, ACL, ограничение скорости на портах, QoS, DHCP Option 82. Проблем не возникало. Единственный момент, если к порту доступа подключен писюк - со вставкой опции 82 все нормально, если - cisco/Dlink или еще какой-либо маршрутизатор - DHCP запрос на сервера с EX4200 не доходит.