Vady85 Posted August 7, 2017 Posted August 7, 2017 Доброе время суток! Пытаюсь на коммутаторе Juniper EX2200-48T-4G настроить роутинг, чтобы все определенные запросы перенаправлялись на нужные интерфейсы. Есть два шлюза. Один - в инет, другой - смотрит на внутреннюю сеть другой организации. Задача в том: в качестве шлюза на клиентах указываю сам коммутатор. Который должен в зависимости от направлений направить на нужный шлюз в соответствии с таблицей ниже. Сами клиенты находятся в подсети 172.30.54.***. routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.54.254; route 172.16.10.0/24 next-hop 172.30.54.254; route 172.16.16.0/24 next-hop 172.30.54.254; route 192.168.0.0/16 next-hop 172.30.54.254; route 10.0.0.0/8 next-hop 172.30.54.254; } } Один из интерфейсов назначил: ge-0/0/2 { unit 0 { family inet { address 172.16.1.2/24; } } } Именно этот интерфейс смотрит на шлюз 172.16.1.1. Коммутатор сможет решить такую задачу? Если да, то как? Вставить ник Quote
uxcr Posted August 7, 2017 Posted August 7, 2017 Что не работает и как это выглядит? Диагностика где, с этими вот всеми арпами-пингами-трасертами, show route и netstat -nra с клиентской машины? Вставить ник Quote
Vady85 Posted August 7, 2017 Author Posted August 7, 2017 (edited) Список вланов: vlans { NET { vlan-id 5; } default { l3-interface vlan.0; } } ge-0/0/47 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members all; } } } } ... vlan { unit 0 { family inet { address 172.30.54.251/24; } } unit 5 { family inet { address 172.16.1.2/24; } } } С такими настройками пинг от клиента через коммутатор идет через шлюз 172.30.54.254 успешно, а через шлюз 172.16.1.1 - нет. 47-й интерфейс подключен к шлюзу 172.30.54.254 2-й интерфейс - к шлюзу 172.16.1.1 С джуна пинг: PING 172.16.1.1 (172.16.1.1): 56 data bytes ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host ping: sendto: No route to host --- 172.16.1.1 ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss Edited August 7, 2017 by Vady85 Вставить ник Quote
vvertexx Posted August 7, 2017 Posted August 7, 2017 l3 интерфейс vlan.0 вижу, vlan.5 - нет, откуда он взялся? > show interface terse > show route terse Вставить ник Quote
nuclearcat Posted August 8, 2017 Posted August 8, 2017 Точнее где l3-interface для влана NET? :) Вставить ник Quote
Funtick Posted August 8, 2017 Posted August 8, 2017 Советую перед тем как задавать вопрос, нарисовать l2/l3 схему с выводами команд. Чаще всего в процессе рисования схемы, вопрос сам собой решается. Вставить ник Quote
vvertexx Posted August 8, 2017 Posted August 8, 2017 Точнее где l3-interface для влана NET? :) его может и не быть, может там другой vlan с vlan.5 (vlan-id и номер/юнит l3-интерфейса могут не совпадать). Все варианты извращений автора предугадать невозможно... Вставить ник Quote
Vady85 Posted August 8, 2017 Author Posted August 8, 2017 (edited) Спасибо, что откликнулись. Сразу скажу: с сетевым оборудованием я пока новичок, что такое vlan, имею смутное представление, а чем l2 от l3-интерфейса отличаются - понятия не имею, к сожалению, пытаюсь решить задачу методом тыка. Задача простая: есть 2 шлюза, один смотрит в инет, другой - в внутреннюю сеть другой организации. Чтобы не извращаться на клиентах, прописываю на них один шлюз (172.30.54.252), и им будет коммутатор, который, в свою очередь, должен перенаправить в соответствующие шлюзы в соответствии с прописанными правилами. Сейчас настройки уже отличаются от вчерашних, пинги теперь идут от клиентов в оба шлюза, ответ есть! Но... сайты из инет-шлюза не работают, нет ответов (словно DNS не работает)... А пинги до сайтов работают... Трассировка до ya.ru от клиента показывает, что идет по правильному маршруту, через инет-шлюз. Вот и задумался, куда теперь копать - в инет-шлюзе или коммутаторе? Изначально на время настройки дал коммутатору ip ***251, т.к. ***252 был занят SRX100. И до этого прекрасно работал инет. Поэтому не уверен в том, что дело в инет-шлюзе. Теперь убрал маршрутизатор, вместо него - коммутатор, изменив на 252, чтобы не отличался от маршрутизатора в сетевых настройках клиентов. Или потому что в SRX использовались NAT-настройки (были заводские, конфиг не менял, только интерфейсы, использовал порт 0) и на коммутаторе это никак не решить? Почему это я делаю? Потому что цепочка нашей сети выглядит так: модем---инет-шлюз (фаерволл)---SRX100---EX2200-24---остальные. Портов на 24 нам недостаточно, часть компенсирует SRX100... Поэтому заменяю EX2200-24 на EX2200-48. И, учитывая, что коммутатор поддерживает роутинг, SRX100 мне кажется лишним звеном в цепи... Конфиг джуна в данный момент: ## Last changed: 2014-10-11 20:27:42 UTC version 11.1R3.5; system { host-name ex2200-48; root-authentication { encrypted-password *********; } name-server { 8.8.4.4; 8.8.8.8; } services { ssh { protocol-version v2; } netconf { ssh; } web-management { http; } } syslog { user * { any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } } } chassis { alarm { management-ethernet { link-down ignore; } } } interfaces { ge-0/0/0 { unit 0 { family ethernet-switching; } } ge-0/0/1 { unit 0 { family ethernet-switching; } } ge-0/0/2 { unit 0 { family ethernet-switching; } } ge-0/0/3 { unit 0 { family ethernet-switching; } } ge-0/0/4 { unit 0 { family ethernet-switching; } } ge-0/0/5 { unit 0 { family ethernet-switching; } } ge-0/0/6 { unit 0 { family ethernet-switching; } } ge-0/0/7 { unit 0 { family ethernet-switching; } } ge-0/0/8 { unit 0 { family ethernet-switching; } } ge-0/0/9 { unit 0 { family ethernet-switching; } } ge-0/0/10 { unit 0 { family ethernet-switching; } } ge-0/0/11 { unit 0 { family ethernet-switching; } } ge-0/0/12 { unit 0 { family ethernet-switching; } } ge-0/0/13 { unit 0 { family ethernet-switching; } } ge-0/0/14 { unit 0 { family ethernet-switching; } } ge-0/0/15 { unit 0 { family ethernet-switching; } } ge-0/0/16 { unit 0 { family ethernet-switching; } } ge-0/0/17 { unit 0 { family ethernet-switching; } } ge-0/0/18 { unit 0 { family ethernet-switching; } } ge-0/0/19 { unit 0 { family ethernet-switching; } } ge-0/0/20 { unit 0 { family ethernet-switching; } } ge-0/0/21 { unit 0 { family ethernet-switching; } } ge-0/0/22 { unit 0 { family ethernet-switching; } } ge-0/0/23 { unit 0 { family ethernet-switching; } } ge-0/0/24 { unit 0 { family ethernet-switching; } } ge-0/0/25 { unit 0 { family ethernet-switching; } } ge-0/0/26 { unit 0 { family ethernet-switching; } } ge-0/0/27 { unit 0 { family ethernet-switching; } } ge-0/0/28 { unit 0 { family ethernet-switching; } } ge-0/0/29 { unit 0 { family ethernet-switching; } } ge-0/0/30 { unit 0 { family ethernet-switching; } } ge-0/0/31 { unit 0 { family ethernet-switching; } } ge-0/0/32 { unit 0 { family ethernet-switching; } } ge-0/0/33 { unit 0 { family ethernet-switching; } } ge-0/0/34 { unit 0 { family ethernet-switching; } } ge-0/0/35 { unit 0 { family ethernet-switching; } } ge-0/0/36 { unit 0 { family ethernet-switching; } } ge-0/0/37 { unit 0 { family ethernet-switching; } } ge-0/0/38 { unit 0 { family ethernet-switching; } } ge-0/0/39 { unit 0 { family ethernet-switching; } } ge-0/0/40 { unit 0 { family ethernet-switching; } } ge-0/0/41 { unit 0 { family ethernet-switching; } } ge-0/0/42 { unit 0 { family ethernet-switching; } } ge-0/0/43 { unit 0 { family ethernet-switching; } } ge-0/0/44 { unit 0 { family ethernet-switching; } } ge-0/0/45 { unit 0 { family ethernet-switching; } } ge-0/0/46 { unit 0 { family ethernet-switching; } } ge-0/0/47 { unit 0 { family inet { address 172.16.1.2/24; } } } ge-0/1/0 { unit 0 { family ethernet-switching; } } ge-0/1/1 { unit 0 { family ethernet-switching; } } ge-0/1/2 { unit 0 { family ethernet-switching; } } ge-0/1/3 { unit 0 { family ethernet-switching; } } vlan { unit 0 { family inet { address 172.30.54.252/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.54.254; route 172.16.10.0/24 next-hop 172.30.54.254; route 172.16.16.0/24 next-hop 172.30.54.254; route 192.168.0.0/16 next-hop 172.30.54.254; route 10.0.0.0/8 next-hop 172.30.54.254; } } protocols { igmp-snooping { vlan all; } rstp { bridge-priority 16k; interface ge-0/1/0.0 { cost 1000; mode point-to-point; } interface ge-0/1/1.0 { cost 1000; mode point-to-point; } interface ge-0/1/2.0 { cost 1000; mode point-to-point; } interface ge-0/1/3.0 { cost 1000; mode point-to-point; } } lldp { interface all; } lldp-med { interface all; } } ethernet-switching-options { storm-control { interface all; } } vlans { default { l3-interface vlan.0; } } show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up down ge-0/0/0.0 up down eth-switch ge-0/0/1 up down ge-0/0/1.0 up down eth-switch ge-0/0/2 up up ge-0/0/2.0 up up eth-switch ge-0/0/3 up down ge-0/0/3.0 up down eth-switch ge-0/0/4 up down ge-0/0/4.0 up down eth-switch ge-0/0/5 up down ge-0/0/5.0 up down eth-switch ge-0/0/6 up down ge-0/0/6.0 up down eth-switch ge-0/0/7 up down ge-0/0/7.0 up down eth-switch ge-0/0/8 up down ge-0/0/8.0 up down eth-switch ge-0/0/9 up down ge-0/0/9.0 up down eth-switch ge-0/0/10 up down ge-0/0/10.0 up down eth-switch ge-0/0/11 up down ge-0/0/11.0 up down eth-switch ge-0/0/12 up up ge-0/0/12.0 up up eth-switch ge-0/0/13 up down ge-0/0/13.0 up down eth-switch ge-0/0/14 up down ge-0/0/14.0 up down eth-switch ge-0/0/15 up down ge-0/0/15.0 up down eth-switch ge-0/0/16 up down ge-0/0/16.0 up down eth-switch ge-0/0/17 up down ge-0/0/17.0 up down eth-switch ge-0/0/18 up down ge-0/0/18.0 up down eth-switch ge-0/0/19 up down ge-0/0/19.0 up down eth-switch ge-0/0/20 up down ge-0/0/20.0 up down eth-switch ge-0/0/21 up down ge-0/0/21.0 up down eth-switch ge-0/0/22 up down ge-0/0/22.0 up down eth-switch ge-0/0/23 up down ge-0/0/23.0 up down eth-switch ge-0/0/24 up down ge-0/0/24.0 up down eth-switch ge-0/0/25 up down ge-0/0/25.0 up down eth-switch ge-0/0/26 up down ge-0/0/26.0 up down eth-switch ge-0/0/27 up down ge-0/0/27.0 up down eth-switch ge-0/0/28 up down ge-0/0/28.0 up down eth-switch ge-0/0/29 up down ge-0/0/29.0 up down eth-switch ge-0/0/30 up down ge-0/0/30.0 up down eth-switch ge-0/0/31 up down ge-0/0/31.0 up down eth-switch ge-0/0/32 up down ge-0/0/32.0 up down eth-switch ge-0/0/33 up down ge-0/0/33.0 up down eth-switch ge-0/0/34 up down ge-0/0/34.0 up down eth-switch ge-0/0/35 up down ge-0/0/35.0 up down eth-switch ge-0/0/36 up down ge-0/0/36.0 up down eth-switch ge-0/0/37 up down ge-0/0/37.0 up down eth-switch ge-0/0/38 up down ge-0/0/38.0 up down eth-switch ge-0/0/39 up down ge-0/0/39.0 up down eth-switch ge-0/0/40 up down ge-0/0/40.0 up down eth-switch ge-0/0/41 up down ge-0/0/41.0 up down eth-switch ge-0/0/42 up down ge-0/0/42.0 up down eth-switch ge-0/0/43 up down ge-0/0/43.0 up down eth-switch ge-0/0/44 up down ge-0/0/44.0 up down eth-switch ge-0/0/45 up down ge-0/0/45.0 up down eth-switch ge-0/0/46 up down ge-0/0/46.0 up down eth-switch ge-0/0/47 up up ge-0/0/47.0 up up inet 172.16.1.2/24 ge-0/1/0 up up ge-0/1/0.0 up up eth-switch bme0 up up bme0.32768 up up inet 128.0.0.1/2 128.0.0.16/2 128.0.0.32/2 tnp 0x10 dsc up up gre up up ipip up up jsrv up up jsrv.1 up up inet 128.0.0.127/2 lo0 up up lsi up up me0 up down mtun up up pimd up up pime up up tap up up vlan up up vlan.0 up up inet 172.30.54.252/24 show route terse inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.16.1.1 * 10.0.0.0/8 S 5 >172.30.54.254 * 172.16.1.0/24 D 0 >ge-0/0/47.0 * 172.16.1.2/32 L 0 Local * 172.16.10.0/24 S 5 >172.30.54.254 * 172.16.16.0/24 S 5 >172.30.54.254 * 172.30.0.0/16 S 5 >172.30.54.254 * 172.30.54.0/24 D 0 >vlan.0 * 172.30.54.252/32 L 0 Local * 192.168.0.0/16 S 5 >172.30.54.254 * 224.0.0.2/32 P 0 MultiRecv * 224.0.0.13/32 P 0 MultiRecv inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A Destination P Prf Metric 1 Metric 2 Next hop AS path * ff02::2/128 P 0 MultiRecv * ff02::d/128 P 0 MultiRecv Edited August 8, 2017 by Vady85 Вставить ник Quote
vvertexx Posted August 8, 2017 Posted August 8, 2017 Vady85 Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается. NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант) (словно DNS не работает) а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит? Вставить ник Quote
Vady85 Posted August 8, 2017 Author Posted August 8, 2017 Vady85 Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается. NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант) (словно DNS не работает) а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит? Живу в глухомани... Таких спецов нет... Может, и вправду дело в NAT`е. Когда будет возможность, попробую на SRX100 убрать нат и всё, что отличает от коммутатора, чтобы узнать что именно их отличает в настройках. nslookup попробую... DNS - 8.8.8.8, 8.8.4.4. Инет-шлюз - обычный системник с несколькими сетевухами с ОС "Интернет-контроль сервер" (ИКС). Только смысла в нате в инет-шлюзе не вижу... Просто прямой инет к ADSL-модему... Вставить ник Quote
Vady85 Posted August 9, 2017 Author Posted August 9, 2017 Дополню. nslookup работает на ура на любые сайты... На инет-шлюзе (ИКС) настроен прозрачный прокси. Есть правила прокси со списком разрешенных сайтов. Есть исключения для прозрачного прокси (это сайты с жесткой проверкой сертификатов). До замены маршрутизатора на коммутатор все сайты (как в списке разрешенных в правилах прокси, так и в исключениях для прозрачного прокси) работали. После - работают только те сайты, которые в исключениях для прозрачного прокси. Те, которые в списке разрешенных в правилах прокси, не отвечают. В общем, не отвечают все сайты, которые не находятся в исключениях для прозрачного прокси. У маршрутизатора есть следующие строчки: security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy untrust-to-trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0; } } } } Стоило убрать вот эти строчки: nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } И после этого начинается поведение, идентичное поведению, которое наблюдается с коммутатором, т.е. работают только те сайты, которые не работают с прозрачным прокси в инет-шлюзе. Как обойти такое ограничение? Вставить ник Quote
vvertexx Posted August 9, 2017 Posted August 9, 2017 Vady85 Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой Вставить ник Quote
Vady85 Posted August 9, 2017 Author Posted August 9, 2017 Vady85 Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой Хотелось бы понять чем выход от коммутатора после роутинга отличается от выхода из клиента. Если клиента подключить напрямую к ИКС - нет проблем, как и с маршрутизатором. Или коммутатор не принял ответ от ИКС? Все-таки не работают только сайты, прошедшие через прокси. Те, которые мимо прокси - идут на ура! Вставить ник Quote
Vady85 Posted August 10, 2017 Author Posted August 10, 2017 Поднимаю тему. Исходные данные задачи: 1. Настройки коммутатора с роутингом остались без изменений: #8. 2. При отключенном прозрачном прокси на инет-шлюзе (ИКС) сайты работают без проблем. Не думаю, что отсутствие поддержки NAT должно помешать. 3. При включенном прозрачном прокси на инет-шлюзе любые разрешенные правилами прокси сайты не работают - нет ответа от сервера. Исключение - работают только те сайты, прописанные в исключениях для прозрачного прокси. 4. Если клиента подключить напрямую к инет-шлюзу с включенным прозрачным прокси, все сайты, разрешенные правилами прокси, работают без проблем. Где именно застрял трафик? Надо ли перенаправление портов делать? Какой и куда? Или что? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.