Перейти к содержимому
Калькуляторы

Роутинг на Juniper EX2200-48T-4G

Доброе время суток!

Пытаюсь на коммутаторе Juniper EX2200-48T-4G настроить роутинг, чтобы все определенные запросы перенаправлялись на нужные интерфейсы.

Есть два шлюза. Один - в инет, другой - смотрит на внутреннюю сеть другой организации.

Задача в том: в качестве шлюза на клиентах указываю сам коммутатор. Который должен в зависимости от направлений направить на нужный шлюз в соответствии с таблицей ниже. Сами клиенты находятся в подсети 172.30.54.***.

routing-options {
   static {
       route 0.0.0.0/0 next-hop 172.16.1.1;
       route 172.30.0.0/16 next-hop 172.30.54.254;
       route 172.16.10.0/24 next-hop 172.30.54.254;
       route 172.16.16.0/24 next-hop 172.30.54.254;
       route 192.168.0.0/16 next-hop 172.30.54.254;
       route 10.0.0.0/8 next-hop 172.30.54.254;
   }
}

Один из интерфейсов назначил:

    ge-0/0/2 {
       unit 0 {
           family inet {
               address 172.16.1.2/24;
           }
       }
   }

Именно этот интерфейс смотрит на шлюз 172.16.1.1.

Коммутатор сможет решить такую задачу? Если да, то как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что не работает и как это выглядит?

Диагностика где, с этими вот всеми арпами-пингами-трасертами, show route и netstat -nra с клиентской машины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Список вланов:

vlans {
   NET {
       vlan-id 5;
   }
   default {
       l3-interface vlan.0;
   }
}

 

   ge-0/0/47 {
       unit 0 {
           family ethernet-switching {
               port-mode trunk;
               vlan {
                   members all;
               }
           }
       }
   }
...
   vlan {
       unit 0 {
           family inet {
               address 172.30.54.251/24;
           }
       }
       unit 5 {
           family inet {
               address 172.16.1.2/24;
           }
       }
   }

С такими настройками пинг от клиента через коммутатор идет через шлюз 172.30.54.254 успешно, а через шлюз 172.16.1.1 - нет.

47-й интерфейс подключен к шлюзу 172.30.54.254

2-й интерфейс - к шлюзу 172.16.1.1

 

С джуна пинг:

PING 172.16.1.1 (172.16.1.1): 56 data bytes
ping: sendto: No route to host
ping: sendto: No route to host
ping: sendto: No route to host
ping: sendto: No route to host
ping: sendto: No route to host
--- 172.16.1.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Изменено пользователем Vady85

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

l3 интерфейс vlan.0 вижу, vlan.5 - нет, откуда он взялся?

> show interface terse

> show route terse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Советую перед тем как задавать вопрос, нарисовать l2/l3 схему с выводами команд. Чаще всего в процессе рисования схемы, вопрос сам собой решается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Точнее где l3-interface для влана NET? :)

его может и не быть, может там другой vlan с vlan.5 (vlan-id и номер/юнит l3-интерфейса могут не совпадать). Все варианты извращений автора предугадать невозможно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, что откликнулись. Сразу скажу: с сетевым оборудованием я пока новичок, что такое vlan, имею смутное представление, а чем l2 от l3-интерфейса отличаются - понятия не имею, к сожалению, пытаюсь решить задачу методом тыка.

Задача простая: есть 2 шлюза, один смотрит в инет, другой - в внутреннюю сеть другой организации.

Чтобы не извращаться на клиентах, прописываю на них один шлюз (172.30.54.252), и им будет коммутатор, который, в свою очередь, должен перенаправить в соответствующие шлюзы в соответствии с прописанными правилами.

 

Сейчас настройки уже отличаются от вчерашних, пинги теперь идут от клиентов в оба шлюза, ответ есть! Но... сайты из инет-шлюза не работают, нет ответов (словно DNS не работает)... А пинги до сайтов работают... Трассировка до ya.ru от клиента показывает, что идет по правильному маршруту, через инет-шлюз.

 

Вот и задумался, куда теперь копать - в инет-шлюзе или коммутаторе? Изначально на время настройки дал коммутатору ip ***251, т.к. ***252 был занят SRX100. И до этого прекрасно работал инет. Поэтому не уверен в том, что дело в инет-шлюзе. Теперь убрал маршрутизатор, вместо него - коммутатор, изменив на 252, чтобы не отличался от маршрутизатора в сетевых настройках клиентов. Или потому что в SRX использовались NAT-настройки (были заводские, конфиг не менял, только интерфейсы, использовал порт 0) и на коммутаторе это никак не решить?

 

Почему это я делаю? Потому что цепочка нашей сети выглядит так: модем---инет-шлюз (фаерволл)---SRX100---EX2200-24---остальные. Портов на 24 нам недостаточно, часть компенсирует SRX100... Поэтому заменяю EX2200-24 на EX2200-48. И, учитывая, что коммутатор поддерживает роутинг, SRX100 мне кажется лишним звеном в цепи...

 

Конфиг джуна в данный момент:

 

## Last changed: 2014-10-11 20:27:42 UTC
version 11.1R3.5;
system {
   host-name ex2200-48;
   root-authentication {
       encrypted-password *********;
   }
   name-server {
       8.8.4.4;
       8.8.8.8;
   }
   services {
       ssh {
           protocol-version v2;
       }
       netconf {
           ssh;
       }
       web-management {
           http;
       }
   }
   syslog {
       user * {
           any emergency;
       }
       file messages {
           any notice;
           authorization info;
       }
       file interactive-commands {
           interactive-commands any;
       }
   }
}
chassis {
   alarm {
       management-ethernet {
           link-down ignore;
       }
   }
}
interfaces {
   ge-0/0/0 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/1 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/2 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/3 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/4 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/5 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/6 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/7 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/8 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/9 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/10 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/11 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/12 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/13 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/14 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/15 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/16 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/17 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/18 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/19 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/20 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/21 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/22 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/23 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/24 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/25 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/26 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/27 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/28 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/29 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/30 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/31 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/32 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/33 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/34 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/35 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/36 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/37 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/38 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/39 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/40 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/41 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/42 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/43 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/44 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/45 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/46 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/0/47 {
       unit 0 {
           family inet {
               address 172.16.1.2/24;
           }
       }
   }
   ge-0/1/0 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/1/1 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/1/2 {
       unit 0 {
           family ethernet-switching;
       }
   }
   ge-0/1/3 {
       unit 0 {
           family ethernet-switching;
       }
   }
   vlan {
       unit 0 {
           family inet {
               address 172.30.54.252/24;
           }
       }
   }
}
routing-options {
   static {
       route 0.0.0.0/0 next-hop 172.16.1.1;
       route 172.30.0.0/16 next-hop 172.30.54.254;
       route 172.16.10.0/24 next-hop 172.30.54.254;
       route 172.16.16.0/24 next-hop 172.30.54.254;
       route 192.168.0.0/16 next-hop 172.30.54.254;
       route 10.0.0.0/8 next-hop 172.30.54.254;
   }
}
protocols {
   igmp-snooping {
       vlan all;
   }
   rstp {
       bridge-priority 16k;
       interface ge-0/1/0.0 {
           cost 1000;
           mode point-to-point;
       }
       interface ge-0/1/1.0 {
           cost 1000;
           mode point-to-point;
       }
       interface ge-0/1/2.0 {
           cost 1000;
           mode point-to-point;
       }
       interface ge-0/1/3.0 {
           cost 1000;
           mode point-to-point;
       }
   }
   lldp {
       interface all;
   }
   lldp-med {
       interface all;
   }
}
ethernet-switching-options {
   storm-control {
       interface all;
   }
}
vlans {
   default {
       l3-interface vlan.0;
   }
}

 

 

show interfaces terse

 

Interface               Admin Link Proto    Local                 Remote
ge-0/0/0                up    down
ge-0/0/0.0              up    down eth-switch
ge-0/0/1                up    down
ge-0/0/1.0              up    down eth-switch
ge-0/0/2                up    up
ge-0/0/2.0              up    up   eth-switch
ge-0/0/3                up    down
ge-0/0/3.0              up    down eth-switch
ge-0/0/4                up    down
ge-0/0/4.0              up    down eth-switch
ge-0/0/5                up    down
ge-0/0/5.0              up    down eth-switch
ge-0/0/6                up    down
ge-0/0/6.0              up    down eth-switch
ge-0/0/7                up    down
ge-0/0/7.0              up    down eth-switch
ge-0/0/8                up    down
ge-0/0/8.0              up    down eth-switch
ge-0/0/9                up    down
ge-0/0/9.0              up    down eth-switch
ge-0/0/10               up    down
ge-0/0/10.0             up    down eth-switch
ge-0/0/11               up    down
ge-0/0/11.0             up    down eth-switch
ge-0/0/12               up    up
ge-0/0/12.0             up    up   eth-switch
ge-0/0/13               up    down
ge-0/0/13.0             up    down eth-switch
ge-0/0/14               up    down
ge-0/0/14.0             up    down eth-switch
ge-0/0/15               up    down
ge-0/0/15.0             up    down eth-switch
ge-0/0/16               up    down
ge-0/0/16.0             up    down eth-switch
ge-0/0/17               up    down
ge-0/0/17.0             up    down eth-switch
ge-0/0/18               up    down
ge-0/0/18.0             up    down eth-switch
ge-0/0/19               up    down
ge-0/0/19.0             up    down eth-switch
ge-0/0/20               up    down
ge-0/0/20.0             up    down eth-switch
ge-0/0/21               up    down
ge-0/0/21.0             up    down eth-switch
ge-0/0/22               up    down
ge-0/0/22.0             up    down eth-switch
ge-0/0/23               up    down
ge-0/0/23.0             up    down eth-switch
ge-0/0/24               up    down
ge-0/0/24.0             up    down eth-switch
ge-0/0/25               up    down
ge-0/0/25.0             up    down eth-switch
ge-0/0/26               up    down
ge-0/0/26.0             up    down eth-switch
ge-0/0/27               up    down
ge-0/0/27.0             up    down eth-switch
ge-0/0/28               up    down
ge-0/0/28.0             up    down eth-switch
ge-0/0/29               up    down
ge-0/0/29.0             up    down eth-switch
ge-0/0/30               up    down
ge-0/0/30.0             up    down eth-switch
ge-0/0/31               up    down
ge-0/0/31.0             up    down eth-switch
ge-0/0/32               up    down
ge-0/0/32.0             up    down eth-switch
ge-0/0/33               up    down
ge-0/0/33.0             up    down eth-switch
ge-0/0/34               up    down
ge-0/0/34.0             up    down eth-switch
ge-0/0/35               up    down
ge-0/0/35.0             up    down eth-switch
ge-0/0/36               up    down
ge-0/0/36.0             up    down eth-switch
ge-0/0/37               up    down
ge-0/0/37.0             up    down eth-switch
ge-0/0/38               up    down
ge-0/0/38.0             up    down eth-switch
ge-0/0/39               up    down
ge-0/0/39.0             up    down eth-switch
ge-0/0/40               up    down
ge-0/0/40.0             up    down eth-switch
ge-0/0/41               up    down
ge-0/0/41.0             up    down eth-switch
ge-0/0/42               up    down
ge-0/0/42.0             up    down eth-switch
ge-0/0/43               up    down
ge-0/0/43.0             up    down eth-switch
ge-0/0/44               up    down
ge-0/0/44.0             up    down eth-switch
ge-0/0/45               up    down
ge-0/0/45.0             up    down eth-switch
ge-0/0/46               up    down
ge-0/0/46.0             up    down eth-switch
ge-0/0/47               up    up
ge-0/0/47.0             up    up   inet     172.16.1.2/24
ge-0/1/0                up    up
ge-0/1/0.0              up    up   eth-switch
bme0                    up    up
bme0.32768              up    up   inet     128.0.0.1/2
                                           128.0.0.16/2
                                           128.0.0.32/2
                                  tnp      0x10
dsc                     up    up
gre                     up    up
ipip                    up    up
jsrv                    up    up
jsrv.1                  up    up   inet     128.0.0.127/2
lo0                     up    up
lsi                     up    up
me0                     up    down
mtun                    up    up
pimd                    up    up
pime                    up    up
tap                     up    up
vlan                    up    up
vlan.0                  up    up   inet     172.30.54.252/24

 

 

show route terse

 

inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

A Destination        P Prf   Metric 1   Metric 2  Next hop        AS path
* 0.0.0.0/0          S   5                       >172.16.1.1
* 10.0.0.0/8         S   5                       >172.30.54.254
* 172.16.1.0/24      D   0                       >ge-0/0/47.0
* 172.16.1.2/32      L   0                        Local
* 172.16.10.0/24     S   5                       >172.30.54.254
* 172.16.16.0/24     S   5                       >172.30.54.254
* 172.30.0.0/16      S   5                       >172.30.54.254
* 172.30.54.0/24     D   0                       >vlan.0
* 172.30.54.252/32   L   0                        Local
* 192.168.0.0/16     S   5                       >172.30.54.254
* 224.0.0.2/32       P   0                        MultiRecv
* 224.0.0.13/32      P   0                        MultiRecv

inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

A Destination        P Prf   Metric 1   Metric 2  Next hop        AS path
* ff02::2/128        P   0                        MultiRecv
* ff02::d/128        P   0                        MultiRecv

 

Изменено пользователем Vady85

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Vady85

Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается.

NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант)

(словно DNS не работает)

а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Vady85

Возможно, стоит обратиться к специалисту? заплатить за разовую работу. Серьёзное железо методом тыка не настраивается.

NAT'а на коммутаторе нет, но по смыслу - он должен быть на инет-шлюзе (не понятно, что это: железка, программный вариант)

(словно DNS не работает)

а проверить nslookup'ом? и что в настройках сетевых, какой DNS стоит?

Живу в глухомани... Таких спецов нет... Может, и вправду дело в NAT`е. Когда будет возможность, попробую на SRX100 убрать нат и всё, что отличает от коммутатора, чтобы узнать что именно их отличает в настройках.

nslookup попробую... DNS - 8.8.8.8, 8.8.4.4.

Инет-шлюз - обычный системник с несколькими сетевухами с ОС "Интернет-контроль сервер" (ИКС). Только смысла в нате в инет-шлюзе не вижу... Просто прямой инет к ADSL-модему...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дополню.

nslookup работает на ура на любые сайты...

На инет-шлюзе (ИКС) настроен прозрачный прокси. Есть правила прокси со списком разрешенных сайтов. Есть исключения для прозрачного прокси (это сайты с жесткой проверкой сертификатов).

До замены маршрутизатора на коммутатор все сайты (как в списке разрешенных в правилах прокси, так и в исключениях для прозрачного прокси) работали.

После - работают только те сайты, которые в исключениях для прозрачного прокси. Те, которые в списке разрешенных в правилах прокси, не отвечают. В общем, не отвечают все сайты, которые не находятся в исключениях для прозрачного прокси.

У маршрутизатора есть следующие строчки:

 

security {
   screen {
       ids-option untrust-screen {
           icmp {
               ping-death;
           }
           ip {
               source-route-option;
               tear-drop;
           }
           tcp {
               syn-flood {
                   alarm-threshold 1024;
                   attack-threshold 200;
                   source-threshold 1024;
                   destination-threshold 2048;
                   timeout 20;
               }
               land;
           }
       }
   }
   nat {
       source {
           rule-set trust-to-untrust {
               from zone trust;
               to zone untrust;
               rule source-nat-rule {
                   match {
                       source-address 0.0.0.0/0;
                   }
                   then {
                       source-nat {
                           interface;
                       }
                   }
               }
           }
       }
   }
   policies {
       from-zone trust to-zone untrust {
           policy trust-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone untrust to-zone trust {
           policy untrust-to-trust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
   }
   zones {
       security-zone trust {
           host-inbound-traffic {
               system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               vlan.0 {
                   host-inbound-traffic {
                       system-services {
                           all;
                       }
                       protocols {
                           all;
                       }
                   }
               }
           }
       }
       security-zone untrust {
           screen untrust-screen;
           interfaces {
               fe-0/0/0.0;
           }
       }
   }
}

 

 

Стоило убрать вот эти строчки:

 

    nat {
       source {
           rule-set trust-to-untrust {
               from zone trust;
               to zone untrust;
               rule source-nat-rule {
                   match {
                       source-address 0.0.0.0/0;
                   }
                   then {
                       source-nat {
                           interface;
                       }
                   }
               }
           }
       }
   }

 

И после этого начинается поведение, идентичное поведению, которое наблюдается с коммутатором, т.е. работают только те сайты, которые не работают с прозрачным прокси в инет-шлюзе.

 

Как обойти такое ограничение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Vady85

Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Vady85

Значит, SRX NAT'ил, и замена на коммутатор не подходит, надо оставлять оба. Ну или на ИКС настраивать, я не в курсе, не видел такой

Хотелось бы понять чем выход от коммутатора после роутинга отличается от выхода из клиента. Если клиента подключить напрямую к ИКС - нет проблем, как и с маршрутизатором. Или коммутатор не принял ответ от ИКС? Все-таки не работают только сайты, прошедшие через прокси. Те, которые мимо прокси - идут на ура!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднимаю тему. Исходные данные задачи:

1. Настройки коммутатора с роутингом остались без изменений: #8.

2. При отключенном прозрачном прокси на инет-шлюзе (ИКС) сайты работают без проблем. Не думаю, что отсутствие поддержки NAT должно помешать.

3. При включенном прозрачном прокси на инет-шлюзе любые разрешенные правилами прокси сайты не работают - нет ответа от сервера. Исключение - работают только те сайты, прописанные в исключениях для прозрачного прокси.

4. Если клиента подключить напрямую к инет-шлюзу с включенным прозрачным прокси, все сайты, разрешенные правилами прокси, работают без проблем.

 

Где именно застрял трафик? Надо ли перенаправление портов делать? Какой и куда? Или что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.