Перейти к содержимому
Калькуляторы

Разобрался. Если кому надо:

 

vmbr1 добавялем без VID и тега, далее stop/start ноды и получаем новый ge-0/0/3, например, и мак с которым создавали.

 

Прописываем пропускать trunk

 

admin@vSRX# show interfaces ge-0/0/3
vlan-tagging;
unit 254 {
   vlan-id 254;
   family inet {
       address 10.90.254.102/24;
   }
}

 

И видим нужный нам 802.1Q:

 

run monitor traffic extensive no-resolve interface ge-0/0/3
Address resolution is OFF.
Listening on ge-0/0/3, capture size 1514 bytes

13:30:53.061833  In
       Juniper PCAP Flags [Ext, In], PCAP Extension(s) total length 22
         Device Media Type Extension TLV #3, length 1, value: Ethernet (1)
         Logical Interface Encapsulation Extension TLV #6, length 1, value: Ethernet (14)
         Device Interface Index Extension TLV #1, length 2, value: 137
         Logical Interface Index Extension TLV #4, length 4, value: 74
         Logical Unit Number Extension TLV #5, length 4, value: 32767
       -----original packet-----
       3c:61:04:47:1f:f0 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 254, p 0, ethertype ARP, arp who-has 10.90.254.253 tell 10.90.254.254

 

run show interfaces ge-0/0/3
Physical interface: ge-0/0/3, Enabled, Physical link is Up
 Interface index: 137, SNMP ifIndex: 517
 Link-level type: Ethernet, MTU: 1518, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled,
 Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online
 Device flags   : Present Running
 Interface flags: SNMP-Traps Internal: 0x4000
 CoS queues     : 8 supported, 8 maximum usable queues
 Current address: 8e:0b:12:ed:ad:f5, Hardware address: 8e:0b:12:ed:ad:f5

 

Как создавать всё это дело на proxmox - https://respawner.fr/blog/index.php?post/2015/01/17/Get-Juniper-Firefly-Perimeter-working-on-Proxmox-VE

 

OVS зайдествовать не пришлось.

 

ip-unnumbered настроил так:

 

ge-0/0/2 {
       unit 0 {
           family inet {
               unnumbered-address lo0.148 preferred-source-address 1.1.3.4;
           }
       }
   }
   lo0 {
       unit 666 {
           family inet {
               address 1.1.3.4/32;
           }
       }
   }
}

routing-options {
   static {
       route 0.0.0.0/0 next-hop 10.90.0.254;
       route 1.1.3.5/32 {
           qualified-next-hop ge-0/0/2.0;
       }
   }

 

У нас на MX480 на lo0 filter list.

 

 lo0 {
       unit 0 {
           family inet {
               filter {
                   input-list [ accept-bgp accept-common-services discard ];
               }
           }
       }
   }
}

 

Я правильно понимаю, если вешать туда lo0.XXX и /32 эти фильтры применятся и к данному ip который будет являться шлюзем для клиентов ?

 

И еще при использовании irb.XX было удобно вешать description и policer для шейпинга, как это все дело применить к новому конфигу ?

 

policer вешать на интерфейс с сабом -

set interfaces ge-0/0/2 unit 666 family inet policer input

?

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 07.02.2015 в 22:17, s.lobanov сказал:

 я гоняю vsrx-ы на esxi, там никаких проблем с dot1q нет, сабы работают. security всё выключаю (когда не делаю лабы связанные с security фичами srx). настройки esxi и самого vsrx можете взять здесь

 

В продолжении темы.

 

Ребят, я кончено извиняюсь но зачем такой высокий уровень безопасности в этих SRXax ??? security я выключил по вашим рекомендациям:

 

root# set security zones security-zone trust interfaces all host-inbound-traffic system-services all
root# set security zones security-zone trust interfaces all host-inbound-traffic protocols all
 

 

У меня слов нет, я то думал что всё теперь, весь трафик пропускается в том числе и транзитный, но не тут было, у меня ни хрена ничего не работало если указывать инерфейс all, пока не прописал вот так. В лог отловить не получается как не включал его. И default-policy на permit-all не помогало. Из шелла как нибудь можно посмотреть правила фаерволла или политики security ? Ни ipfw, ни pfctl не вижу. Что там используется?

 

 

 

И еще по поводу unnumbered на lo0.XX вешается /32 иначе комит не пройдёт.

 

admin@vSRX# commit check
error: preferred-source-address does not have /32 prefix for ge-0/0/1.1111 on the donor lo0.148
error: configuration check-out failed
 
Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ждите когда образ vmx-а выложат, официальных данных на этот счёт нет, но ходят слухи, что в 1Q2015

да у меня давно на компе валялся, правда старый..

нашёл новый)

http://pan.baidu.com/wap/link?shareid=2863898980&uk=2067013301&third=0&dir=%2FvMX&page=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ждите когда образ vmx-а выложат, официальных данных на этот счёт нет, но ходят слухи, что в 1Q2015

да у меня давно на компе валялся, правда старый..

нашёл новый)

http://pan.baidu.com/wap/link?shareid=2863898980&uk=2067013301&third=0&dir=%2FvMX&page=1

 

Вот за это вам БОЛЬШОЕ человеческое спасибо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.