Vady85 Posted August 7, 2017 Доброе время суток! Пытаюсь на коммутаторе Juniper EX2200-48T-4G настроить роутинг, чтобы все определенные запросы перенаправлялись на нужные интерфейсы. Есть два шлюза. Один - в инет, другой - смотрит на внутреннюю сеть другой организации. Задача в том: в качестве шлюза на клиентах указываю сам коммутатор. Который должен в зависимости от направлений направить на нужный шлюз в соответствии с таблицей ниже. Сами клиенты находятся в подсети 172.30.54.***. routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.54.254; route 172.16.10.0/24 next-hop 172.30.54.254; route 172.16.16.0/24 next-hop 172.30.54.254; route 192.168.0.0/16 next-hop 172.30.54.254; route 10.0.0.0/8 next-hop 172.30.54.254; } } Один из интерфейсов назначил: ge-0/0/2 { unit 0 { family inet { address 172.16.1.2/24; } } } Именно этот интерфейс смотрит на шлюз 172.16.1.1. Коммутатор сможет решить такую задачу? Если да, то как? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted August 7, 2017 Что не работает и как это выглядит? Диагностика где, с этими вот всеми арпами-пингами-трасертами, show route и netstat -nra с клиентской машины? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 7, 2017 (edited) Список вланов: vlans { NET { vlan-id 5; } default { l3-interface vlan.0; } } ge-0/0/47 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members all; } } } } ... vlan { unit 0 { family inet { address 172.30.54.251/24; } } unit 5 { family inet { address 172.16.1.2/24; } } } С такими настройками пинг от клиента через коммутатор идет через шлюз 172.30.54.254 успешно, а через шлюз 172.16.1.1 - нет. 47-й интерфейс подключен к шлюзу 172.30.54.254 2-й интерфейс - к шлюзу 172.16.1.1 С джуна пинг: PING 172.16.1.1 (172.16.1.1): 56 data bytes ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host --- 172.16.1.1 ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss Edited August 7, 2017 by Vady85 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted August 7, 2017 l3 интерфейс vlan.0 вижу, vlan.5 - нет, откуда он взялся? > show interface terse > show route terse Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted August 8, 2017 Точнее где l3-interface для влана NET? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Funtick Posted August 8, 2017 Советую перед тем как задавать вопрос, нарисовать l2/l3 схему с выводами команд. Чаще всего в процессе рисования схемы, вопрос сам собой решается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted August 8, 2017 Точнее где l3-interface для влана NET? :) его может и не быть, может там другой vlan с vlan.5 (vlan-id и номер/юнит l3-интерфейса могут не совпадать). Все варианты извращений автора предугадать невозможно... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 8, 2017 (edited) Спасибо, что откликнулись. Сразу скажу: с сетевым оборудованием я пока новичок, что такое vlan, имею смутное представление, а чем l2 от l3-интерфейса отличаются - понятия не имею, к сожалению, пытаюсь решить задачу методом тыка. Задача простая: есть 2 шлюза, один смотрит в инет, другой - в внутреннюю сеть другой организации. Чтобы не извращаться на клиентах, прописываю на них один шлюз (172.30.54.252), и им будет коммутатор, который, в свою очередь, должен перенаправить в соответствующие шлюзы в соответствии с прописанными правилами. Сейчас настройки уже отличаются от вчерашних, пинги теперь идут от клиентов в оба шлюза, ответ есть! Но... сайты из инет-шлюза не работают, нет ответов (словно DNS не работает)... А пинги до сайтов работают... Трассировка до ya.ru от клиента показывает, что идет по правильному маршруту, через инет-шлюз. Вот и задумался, куда теперь копать - в инет-шлюзе или коммутаторе? Изначально на время настройки дал коммутатору ip ***251, т.к. ***252 был занят SRX100. И до этого прекрасно работал инет. Поэтому не уверен в том, что дело в инет-шлюзе. Теперь убрал маршрутизатор, вместо него - коммутатор, изменив на 252, чтобы не отличался от маршрутизатора в сетевых настройках клиентов. Или потому что в SRX использовались NAT-настройки (были заводские, конфиг не менял, только интерфейсы, использовал порт 0) и на коммутаторе это никак не решить? Почему это я делаю? Потому что цепочка нашей сети выглядит так: модем---инет-шлюз (фаерволл)---SRX100---EX2200-24---остальные. Портов на 24 нам недостаточно, часть компенсирует SRX100... Поэтому заменяю EX2200-24 на EX2200-48. И, учитывая, что коммутатор поддерживает роутинг, SRX100 мне кажется лишним звеном в цепи... Конфиг джуна в данный момент: ## Last changed: 2014-10-11 20:27:42 UTC version 11.1R3.5; system { host-name ex2200-48; root-authentication { encrypted-password *********; } name-server { 8.8.4.4; 8.8.8.8; } services { ssh { protocol-version v2; } netconf { ssh; } web-management { http; } } syslog { user * { any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } } } chassis { alarm { management-ethernet { link-down ignore; } } } interfaces { ge-0/0/0 { unit 0 { family ethernet-switching; } } ge-0/0/1 { unit 0 { family ethernet-switching; } } ge-0/0/2 { unit 0 { family ethernet-switching; } } ge-0/0/3 { unit 0 { family ethernet-switching; } } ge-0/0/4 { unit 0 { family ethernet-switching; } } ge-0/0/5 { unit 0 { family ethernet-switching; } } ge-0/0/6 { unit 0 { family ethernet-switching; } } ge-0/0/7 { unit 0 { family ethernet-switching; } } ge-0/0/8 { unit 0 { family ethernet-switching; } } ge-0/0/9 { unit 0 { family ethernet-switching; } } ge-0/0/10 { unit 0 { family ethernet-switching; } } ge-0/0/11 { unit 0 { family ethernet-switching; } } ge-0/0/12 { unit 0 { family ethernet-switching; } } ge-0/0/13 { unit 0 { family ethernet-switching; } } ge-0/0/14 { unit 0 { family ethernet-switching; } } ge-0/0/15 { unit 0 { family ethernet-switching; } } ge-0/0/16 { unit 0 { family ethernet-switching; } } ge-0/0/17 { unit 0 { family ethernet-switching; } } ge-0/0/18 { unit 0 { family ethernet-switching; } } ge-0/0/19 { unit 0 { family ethernet-switching; } } ge-0/0/20 { unit 0 { family ethernet-switching; } } ge-0/0/21 { unit 0 { family ethernet-switching; } } ge-0/0/22 { unit 0 { family ethernet-switching; } } ge-0/0/23 { unit 0 { family ethernet-switching; } } ge-0/0/24 { unit 0 { family ethernet-switching; } } ge-0/0/25 { unit 0 { family ethernet-switching; } } ge-0/0/26 { unit 0 { family ethernet-switching; } } ge-0/0/27 { unit 0 { family ethernet-switching; } } ge-0/0/28 { unit 0 { family ethernet-switching; } } ge-0/0/29 { unit 0 { family ethernet-switching; } } ge-0/0/30 { unit 0 { family ethernet-switching; } } ge-0/0/31 { unit 0 { family ethernet-switching; } } ge-0/0/32 { unit 0 { family ethernet-switching; } } ge-0/0/33 { unit 0 { family ethernet-switching; } } ge-0/0/34 { unit 0 { family ethernet-switching; } } ge-0/0/35 { unit 0 { family ethernet-switching; } } ge-0/0/36 { unit 0 { family ethernet-switching; } } ge-0/0/37 { unit 0 { family ethernet-switching; } } ge-0/0/38 { unit 0 { family ethernet-switching; } } ge-0/0/39 { unit 0 { family ethernet-switching; } } ge-0/0/40 { unit 0 { family ethernet-switching; } } ge-0/0/41 { unit 0 { family ethernet-switching; } } ge-0/0/42 { unit 0 { family ethernet-switching; } } ge-0/0/43 { unit 0 { family ethernet-switching; } } ge-0/0/44 { unit 0 { family ethernet-switching; } } ge-0/0/45 { unit 0 { family ethernet-switching; } } ge-0/0/46 { unit 0 { family ethernet-switching; } } ge-0/0/47 { unit 0 { family inet { address 172.16.1.2/24; } } } ge-0/1/0 { unit 0 { family ethernet-switching; } } ge-0/1/1 { unit 0 { family ethernet-switching; } } ge-0/1/2 { unit 0 { family ethernet-switching; } } ge-0/1/3 { unit 0 { family ethernet-switching; } } vlan { unit 0 { family inet { address 172.30.54.252/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.54.254; route 172.16.10.0/24 next-hop 172.30.54.254; route 172.16.16.0/24 next-hop 172.30.54.254; route 192.168.0.0/16 next-hop 172.30.54.254; route 10.0.0.0/8 next-hop 172.30.54.254; } } protocols { igmp-snooping { vlan all; } rstp { bridge-priority 16k; interface ge-0/1/0.0 { cost 1000; mode point-to-point; } interface ge-0/1/1.0 { cost 1000; mode point-to-point; } interface ge-0/1/2.0 { cost 1000; mode point-to-point; } interface ge-0/1/3.0 { cost 1000; mode point-to-point; } } lldp { interface all; } lldp-med { interface all; } } ethernet-switching-options { storm-control { interface all; } } vlans { default { l3-interface vlan.0; } } show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up down ge-0/0/0.0 up down eth-switch ge-0/0/1 up down ge-0/0/1.0 up down eth-switch ge-0/0/2 up up ge-0/0/2.0 up up eth-switch ge-0/0/3 up down ge-0/0/3.0 up down eth-switch ge-0/0/4 up down ge-0/0/4.0 up down eth-switch ge-0/0/5 up down ge-0/0/5.0 up down eth-switch ge-0/0/6 up down ge-0/0/6.0 up down eth-switch ge-0/0/7 up down ge-0/0/7.0 up down eth-switch ge-0/0/8 up down ge-0/0/8.0 up down eth-switch ge-0/0/9 up down ge-0/0/9.0 up down eth-switch ge-0/0/10 up down ge-0/0/10.0 up down eth-switch ge-0/0/11 up down ge-0/0/11.0 up down eth-switch ge-0/0/12 up up ge-0/0/12.0 up up eth-switch ge-0/0/13 up down ge-0/0/13.0 up down eth-switch ge-0/0/14 up down ge-0/0/14.0 up down eth-switch ge-0/0/15 up down ge-0/0/15.0 up down eth-switch ge-0/0/16 up down ge-0/0/16.0 up down eth-switch ge-0/0/17 up down ge-0/0/17.0 up down eth-switch ge-0/0/18 up down ge-0/0/18.0 up down eth-switch ge-0/0/19 up down ge-0/0/19.0 up down eth-switch ge-0/0/20 up down ge-0/0/20.0 up down eth-switch ge-0/0/21 up down ge-0/0/21.0 up down eth-switch ge-0/0/22 up down ge-0/0/22.0 up down eth-switch ge-0/0/23 up down ge-0/0/23.0 up down eth-switch ge-0/0/24 up down ge-0/0/24.0 up down eth-switch ge-0/0/25 up down ge-0/0/25.0 up down eth-switch ge-0/0/26 up down ge-0/0/26.0 up down eth-switch ge-0/0/27 up down ge-0/0/27.0 up down eth-switch ge-0/0/28 up down ge-0/0/28.0 up down eth-switch ge-0/0/29 up down ge-0/0/29.0 up down eth-switch ge-0/0/30 up down ge-0/0/30.0 up down eth-switch ge-0/0/31 up down ge-0/0/31.0 up down eth-switch ge-0/0/32 up down ge-0/0/32.0 up down eth-switch ge-0/0/33 up down ge-0/0/33.0 up down eth-switch ge-0/0/34 up down ge-0/0/34.0 up down eth-switch ge-0/0/35 up down ge-0/0/35.0 up down eth-switch ge-0/0/36 up down ge-0/0/36.0 up down eth-switch ge-0/0/37 up down ge-0/0/37.0 up down eth-switch ge-0/0/38 up down ge-0/0/38.0 up down eth-switch ge-0/0/39 up down ge-0/0/39.0 up down eth-switch ge-0/0/40 up down ge-0/0/40.0 up down eth-switch ge-0/0/41 up down ge-0/0/41.0 up down eth-switch ge-0/0/42 up down ge-0/0/42.0 up down eth-switch ge-0/0/43 up down ge-0/0/43.0 up down eth-switch ge-0/0/44 up down ge-0/0/44.0 up down eth-switch ge-0/0/45 up down ge-0/0/45.0 up down eth-switch ge-0/0/46 up down ge-0/0/46.0 up down eth-switch ge-0/0/47 up up ge-0/0/47.0 up up inet 172.16.1.2/24 ge-0/1/0 up up ge-0/1/0.0 up up eth-switch bme0 up up bme0.32768 up up inet 128.0.0.1/2 128.0.0.16/2 128.0.0.32/2 tnp 0x10 dsc up up gre up up ipip up up jsrv up up jsrv.1 up up inet 128.0.0.127/2 lo0 up up lsi up up me0 up down mtun up up pimd up up pime up up tap up up vlan up up vlan.0 up up inet 172.30.54.252/24 show route terse inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.16.1.1 * 10.0.0.0/8 S 5 >172.30.54.254 * 172.16.1.0/24 D 0 >ge-0/0/47.0 * 172.16.1.2/32 L 0 Local * 172.16.10.0/24 S 5 >172.30.54.254 * 172.16.16.0/24 S 5 >172.30.54.254 * 172.30.0.0/16 S 5 >172.30.54.254 * 172.30.54.0/24 D 0 >vlan.0 * 172.30.54.252/32 L 0 Local * 192.168.0.0/16 S 5 >172.30.54.254 * 224.0.0.2/32 P 0 MultiRecv * 224.0.0.13/32 P 0 MultiRecv inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A Destination P Prf Metric 1 Metric 2 Next hop AS path * ff02::2/128 P 0 MultiRecv * ff02::d/128 P 0 MultiRecv Edited August 8, 2017 by Vady85 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted August 8, 2017 Vady85 Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается. NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант) (словно DNS не работает) а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 8, 2017 Vady85 Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается. NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант) (словно DNS не работает) а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит? Живу в глухомани... Таких спецов нет... Может, и вправду дело в NAT`е. Когда будет возможность, попробую на SRX100 убрать нат и всё, что отличает от коммутатора, чтобы узнать что именно их отличает в настройках. nslookup попробую... DNS - 8.8.8.8, 8.8.4.4. Инет-шлюз - обычный системник с несколькими сетевухами с ОС "Интернет-контроль сервер" (ИКС). Только смысла в нате в инет-шлюзе не вижу... Просто прямой инет к ADSL-модему... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 9, 2017 Дополню. nslookup работает на ура на любые сайты... На инет-шлюзе (ИКС) настроен прозрачный прокси. Есть правила прокси со списком разрешенных сайтов. Есть исключения для прозрачного прокси (это сайты с жесткой проверкой сертификатов). До замены маршрутизатора на коммутатор все сайты (как в списке разрешенных в правилах прокси, так и в исключениях для прозрачного прокси) работали. После - работают только те сайты, которые в исключениях для прозрачного прокси. Те, которые в списке разрешенных в правилах прокси, не отвечают. В общем, не отвечают все сайты, которые не находятся в исключениях для прозрачного прокси. У маршрутизатора есть следующие строчки: security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy untrust-to-trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0; } } } } Стоило убрать вот эти строчки: nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } И после этого начинается поведение, идентичное поведению, которое наблюдается с коммутатором, т.е. работают только те сайты, которые не работают с прозрачным прокси в инет-шлюзе. Как обойти такое ограничение? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted August 9, 2017 Vady85 Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 9, 2017 Vady85 Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой Хотелось бы понять чем выход от коммутатора после роутинга отличается от выхода из клиента. Если клиента подключить напрямую к ИКС - нет проблем, как и с маршрутизатором. Или коммутатор не принял ответ от ИКС? Все-таки не работают только сайты, прошедшие через прокси. Те, которые мимо прокси - идут на ура! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vady85 Posted August 10, 2017 Поднимаю тему. Исходные данные задачи: 1. Настройки коммутатора с роутингом остались без изменений: #8. 2. При отключенном прозрачном прокси на инет-шлюзе (ИКС) сайты работают без проблем. Не думаю, что отсутствие поддержки NAT должно помешать. 3. При включенном прозрачном прокси на инет-шлюзе любые разрешенные правилами прокси сайты не работают - нет ответа от сервера. Исключение - работают только те сайты, прописанные в исключениях для прозрачного прокси. 4. Если клиента подключить напрямую к инет-шлюзу с включенным прозрачным прокси, все сайты, разрешенные правилами прокси, работают без проблем. Где именно застрял трафик? Надо ли перенаправление портов делать? Какой и куда? Или что? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
