hsvt Опубликовано 11 февраля, 2015 (изменено) · Жалоба Разобрался. Если кому надо: vmbr1 добавялем без VID и тега, далее stop/start ноды и получаем новый ge-0/0/3, например, и мак с которым создавали. Прописываем пропускать trunk admin@vSRX# show interfaces ge-0/0/3 vlan-tagging; unit 254 { vlan-id 254; family inet { address 10.90.254.102/24; } } И видим нужный нам 802.1Q: run monitor traffic extensive no-resolve interface ge-0/0/3 Address resolution is OFF. Listening on ge-0/0/3, capture size 1514 bytes 13:30:53.061833 In Juniper PCAP Flags [Ext, In], PCAP Extension(s) total length 22 Device Media Type Extension TLV #3, length 1, value: Ethernet (1) Logical Interface Encapsulation Extension TLV #6, length 1, value: Ethernet (14) Device Interface Index Extension TLV #1, length 2, value: 137 Logical Interface Index Extension TLV #4, length 4, value: 74 Logical Unit Number Extension TLV #5, length 4, value: 32767 -----original packet----- 3c:61:04:47:1f:f0 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 254, p 0, ethertype ARP, arp who-has 10.90.254.253 tell 10.90.254.254 run show interfaces ge-0/0/3 Physical interface: ge-0/0/3, Enabled, Physical link is Up Interface index: 137, SNMP ifIndex: 517 Link-level type: Ethernet, MTU: 1518, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 CoS queues : 8 supported, 8 maximum usable queues Current address: 8e:0b:12:ed:ad:f5, Hardware address: 8e:0b:12:ed:ad:f5 Как создавать всё это дело на proxmox - https://respawner.fr/blog/index.php?post/2015/01/17/Get-Juniper-Firefly-Perimeter-working-on-Proxmox-VE OVS зайдествовать не пришлось. ip-unnumbered настроил так: ge-0/0/2 { unit 0 { family inet { unnumbered-address lo0.148 preferred-source-address 1.1.3.4; } } } lo0 { unit 666 { family inet { address 1.1.3.4/32; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.90.0.254; route 1.1.3.5/32 { qualified-next-hop ge-0/0/2.0; } } У нас на MX480 на lo0 filter list. lo0 { unit 0 { family inet { filter { input-list [ accept-bgp accept-common-services discard ]; } } } } } Я правильно понимаю, если вешать туда lo0.XXX и /32 эти фильтры применятся и к данному ip который будет являться шлюзем для клиентов ? И еще при использовании irb.XX было удобно вешать description и policer для шейпинга, как это все дело применить к новому конфигу ? policer вешать на интерфейс с сабом - set interfaces ge-0/0/2 unit 666 family inet policer input ? Изменено 11 февраля, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 17 февраля, 2015 (изменено) · Жалоба В 07.02.2015 в 22:17, s.lobanov сказал: я гоняю vsrx-ы на esxi, там никаких проблем с dot1q нет, сабы работают. security всё выключаю (когда не делаю лабы связанные с security фичами srx). настройки esxi и самого vsrx можете взять здесь В продолжении темы. Ребят, я кончено извиняюсь но зачем такой высокий уровень безопасности в этих SRXax ??? security я выключил по вашим рекомендациям: root# set security zones security-zone trust interfaces all host-inbound-traffic system-services all root# set security zones security-zone trust interfaces all host-inbound-traffic protocols all У меня слов нет, я то думал что всё теперь, весь трафик пропускается в том числе и транзитный, но не тут было, у меня ни хрена ничего не работало если указывать инерфейс all, пока не прописал вот так. В лог отловить не получается как не включал его. И default-policy на permit-all не помогало. Из шелла как нибудь можно посмотреть правила фаерволла или политики security ? Ни ipfw, ни pfctl не вижу. Что там используется? И еще по поводу unnumbered на lo0.XX вешается /32 иначе комит не пройдёт. admin@vSRX# commit check error: preferred-source-address does not have /32 prefix for ge-0/0/1.1111 on the donor lo0.148 error: configuration check-out failed Изменено 2 октября, 2019 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 17 февраля, 2015 · Жалоба ждите когда образ vmx-а выложат, официальных данных на этот счёт нет, но ходят слухи, что в 1Q2015 да у меня давно на компе валялся, правда старый.. нашёл новый) http://pan.baidu.com/wap/link?shareid=2863898980&uk=2067013301&third=0&dir=%2FvMX&page=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 17 февраля, 2015 · Жалоба ждите когда образ vmx-а выложат, официальных данных на этот счёт нет, но ходят слухи, что в 1Q2015 да у меня давно на компе валялся, правда старый.. нашёл новый) http://pan.baidu.com/wap/link?shareid=2863898980&uk=2067013301&third=0&dir=%2FvMX&page=1 Вот за это вам БОЛЬШОЕ человеческое спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...