Serg1936 Posted February 26, 2019 · Report post Добрый день. Извиняюсь, что вопрос по juniper, не пойму где туплю, может дело совсем не в нем. Подскажите, в какую сторону смотреть. Есть сетка, которая работает, все в порядке. Пришла некая juniper SRX240b. Прошивка уже последняя. Безуспешно пытаюсь внедрить в нашу сетку по приложенной схеме, которую я упростил для наглядности. В juniper настроены VLAN - 4 шт. К каждому VLAN привязан свой адрес с подсетью: vlan.2 - 192.168.2.1/24 vlan.3 - 192.168.3.1/24 vlan.4 - 192.168.4.1/24 vlan.5 - 192.168.5.1/24 В каждую vlan внесен порт - порядок как на схеме. Все настройки vlan абсолютно идентичные друг-другу, проверял до буквочки. Все vlan проходяд транзитом через коммутаторы. Именно коммутаторы, маршрутизаторов нет. Если только линуксовый сервер, на котором тоже все vlan, но там все обмены между разными vlan прибил. Все порты на схеме access. Но в других местах сети есть и транковые соединения. В сети есть коммутаторы брендов cisco, orion, extreme. Итак, подключаю физически. От клиентов пингую (допустим как на схеме снизу), результат: 192.168.2.1 - откликается 192.168.3.1 - нет 192.168.4.1 - откликается 192.168.5.1 - нет Выдергиваю провод из juniper для vlan.4 Или гашу программно на juniper. Результат: 192.168.2.1 - откликается 192.168.3.1 - нет 192.168.4.1 - (отключен) 192.168.5.1 - откликается Дополнительно выдергиваю провод из juniper для vlan.5. Результат: 192.168.2.1 - откликается 192.168.3.1 - откликается 192.168.4.1 - (отключен) 192.168.5.1 - (отключен) Отключать интерфейс, входящий в vlan.2 не пробовал, но предполагаю, что результат был бы похожий, а именно - только две vlan работают одновременно... tcpdump на juniper говорит, что пакеты до него не доходят в случае, если нет отклика. Ну и еще для информации, если я подключаюсь рабочей станцией напрямую в порт juniper, т.е. выдергиваю провода в местах с красными крестиками, то все vlan пингуются. Конфиги сознательно не выкладываю, подскажите, какое железо смотреть, выложу, если надо. Куда копать... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post Конфиг в студию. Выхлоп: show interfaces show arp show route На циске есть маки в эти виланах со стороны клиента и джунипера? Интерфейсы собираете вот так? set interfaces ge-1/0/1 flexible-vlan-tagging set interfaces ge-1/0/1 unit 2 vlan-id 2 set interfaces ge-1/0/1 unit 2 family inet filter input nat set interfaces ge-1/0/1 unit 2 family inet address 192.168.2.1/24 Я бы все собирал в теге. З.Ы. в каждой шутке есть доля шутки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 · Report post Убрал ненужно, лишние порты все равно пустые // ------------------------------------------------------------------ # show interfaces ge-0/0/0 { unit 0 { family inet { address ВНЕШНИЙ_БЕЛЫЙ_IP; } } } gr-0/0/0 { unit 0 { family inet; } } ge-0/0/2 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/3 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/4 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/5 { unit 0 { family ethernet-switching { port-mode access; } } } vlan { unit 0 { family inet; } unit 2 { description MYVLAN2; family inet { address 192.168.2.1/24; } } unit 3 { description MYVLAN3; family inet { address 192.168.3.1/24; } } unit 4 { description MYVLAN4; family inet { address 192.168.4.1/24; } } unit 5 { family inet { description MYVLAN5; address 192.168.5.1/24; } } } // ------------------------------------------------------------------ > show route inet.0: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 23:00:55 > to ШЛЮЗ_ПРОВАЙДЕРА via ge-0/0/0.0 192.168.3.0/24 *[Direct/0] 23:00:52 > via vlan.3 192.168.3.1/32 *[Local/0] 23:01:18 192.168.3.1/32 Local via vlan.3 СЕТЬ_ПРОВАЙДЕРА/24 *[Direct/0] 23:00:55 > via ge-0/0/0.0 ВНЕШНИЙ_БЕЛЫЙ_IP *[Local/0] 23:01:06 Local via ge-0/0/0.0 192.168.5.0/24 *[Direct/0] 19:52:31 > via vlan.5 192.168.5.1/32 *[Local/0] 23:01:18 Local via vlan.5 192.168.4.0/24 *[Direct/0] 19:52:32 > via vlan.4 192.168.4.1/32 *[Local/0] 23:01:18 Local via vlan.4 192.168.2.0/24 *[Direct/0] 23:00:53 > via vlan.2 192.168.2.1/32 *[Local/0] 23:01:18 Local via vlan.2 // ------------------------------------------------------------------ // juniper > show arp MAC Address Address Name Interface Flags 00:1f:ca:38:a2:1b АДРЕС_ПРОВА АДРЕС_ПРОВА ge-0/0/0.0 none e4:1f:13:eb:69:8d 192.168.4.254 192.168.4.254 vlan.4 none e4:1f:13:eb:69:8b 192.168.2.254 192.168.2.254 vlan.2 none Total entries: 3 // после отключения портов 4 и 5: > show arp MAC Address Address Name Interface Flags 00:0c:29:38:67:7c 192.168.3.7 192.168.3.7 vlan.3 none 00:1f:ca:38:a2:1b АДРЕС_ПРОВА АДРЕС_ПРОВА ge-0/0/0.0 none e4:1f:13:eb:69:8b 192.168.2.254 192.168.2.254 vlan.2 none Total entries: 3 На сиске: #sh arp Total number of entries: 1 VLAN Interface IP address HW address status --------------------- --------------- ------------------- --------------- vlan 5 192.168.5.254 e4:1f:13:eb:69:8d dynamic Знаю, что я может быть не великий спец. Пока что :) Если можно, в 2-х словах, что проверять... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 27, 2019 · Report post @Serg1936 srx - это не роутер, а zbf. начинать надо с > show vlans потом обязательно посмотреть show sec zones и show sec polic после этого - смотреть другую сторону (циска?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 · Report post 35 минут назад, vvertexx сказал: @Serg1936 srx - это не роутер, а zbf. начинать надо с > show vlans потом обязательно посмотреть show sec zones и show sec polic после этого - смотреть другую сторону (циска?) Да, но по отдельности то все работает, если порты отключать... Эти vlan в разных зонах. Обмен между их зонами пока полностью запрещен. Это отдельные зоны, отдельные vlan, у каждого свой порт. И наружу они откликаются. Но только если не все сразу включены Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @Serg1936 я долго это понимал, попробую объяснить. В JunOS есть модель роутер(можно настроить так же и коммутатор), модель коммутатора(можно настроить роутер) одновременно нельзя одни порты настраивать в режиме роутера, другие в режиме коммутатора(возможно исключения в больших фабриках и RI) Пример настройки как коммутатор ge-0/0/4 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ 2000 3000 ]; } native-vlan-id 1000; Пример настройки как роутер set interfaces ge-1/0/1 flexible-vlan-taggingset interfaces ge-1/0/1 unit 2 vlan-id 2set interfaces ge-1/0/1 unit 2 family inet filter input natset interfaces ge-1/0/1 unit 2 family inet address 192.168.2.1/24 SRX Это маршрутизатор и настраивать его нужно как маршрутизатор. https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/interfaces-configuring-a-logical-interface-for-access-mode.html На форуме есть закрытый раздел по джуниперу. Как бы не прискорбно говорить все есть на juniper.net вообще всё. Информации на русском мало коммюнике маленькое. JunOS единая ос для комков, маршутизаторов (MX, EX, QFX, SRX) у каждого своя философия, но база одна(фильтры, интерфейсы и т.д.) Сейчас порву тебе шаблон Это для коммутатора: sh mac address-table address 0100.0ccc.cccc show ethernet-switching table | find 00:11:5f:0c:39:45 show ethernet-switching table | match 00:11:5f:0c:39:45 show interfaces | display set commit confirmed Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 27, 2019 · Report post @pingz Не так. Flexible-vlan-tagging - это ELS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @vvertexx Говори понятным языком я тут тупой, но вроде работает run show system uptime Current time: 2019-02-27 17:45:38 UTC Time Source: LOCAL CLOCK System booted: 2018-04-10 21:55:24 UTC (46w0d 19:50 ago) Protocols started: 2018-04-10 21:58:27 UTC (46w0d 19:47 ago) Last configured: 2019-02-11 15:40:43 UTC (2w2d 02:04 ago) by admin 5:45PM up 322 days, 19:50, 1 user, load averages: 0.36, 0.29, 0.21 и вообще без кусков конфига, смысл тут писать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 27, 2019 · Report post @pingz ничего не понимаю.... Какие куски конфига? Во-первых, есть два варианта для конфигурирования SRX: transparent-bridge и switching mode. По-умолчанию на большинстве прошивок - второй вариант (исключение - 3xx и 1500 на некоторых прошивках). Про коммутаторы и set interfaces ge-1/0/1 flexible-vlan-tagging - это ELS, в частности, при переходе пришлось немного переписывать конфиг. Отличия там собраны в табличку В проде не один srx, есть в связке с цисками/hp-3com'ами/dlink'ами, проблем нигде не было Скрытый текст srx210> show version and haiku Hostname: Model: srx210he2 JUNOS Software Release [12.3X48-D75.4] Juniper babies The next generation starts Gotta get more sleep @Serg1936 Без конфигов - это гадание на кофейной гуще. >show vlans >show interface terse даст всю необходимую информацию, если не надо траблшутить что-то странное. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @vvertexx у меня на ЕХ и МХ нельзя одновременно прописывать ge-0/0/5 { unit 0 { family ethernet-switching { port-mode access; и ge-0/0/0 { unit 0 { family inet { address ВНЕШНИЙ_БЕЛЫЙ_IP; Чем это SRX от них отличается? Либо все интерфейсы в family inet либо в family ethernet-switching. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 · Report post 22 минуты назад, vvertexx сказал: @pingz Без конфигов - это гадание на кофейной гуще. >show vlans >show interface terse даст всю необходимую информацию, если не надо траблшутить что-то странное. > show vlans Name Tag Interfaces MYVLAN13 13 ge-0/0/10.0*, ge-0/0/11.0 MYVLAN1 2 ge-0/0/2.0*, ge-0/0/12.0*, ge-0/0/13.0*, ge-0/0/14.0 MYVLAN5 5 ge-0/0/5.0* MYVLAN3 3 ge-0/0/3.0* MYVLAN4 4 ge-0/0/4.0* default 1 ge-0/0/1.0, ge-0/0/6.0, ge-0/0/7.0, ge-0/0/8.0, ge-0/0/9.0, ge-0/0/15.0 На ge-0/0/10.0, ge-0/0/12.0, ge-0/0/13.0 - конечные устройства, н-р бесперебойник //------------------------------------------ > show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet МОЙ_БЕЛЫЙ_ВНЕШНИЙ_IP/24 gr-0/0/0 up up ip-0/0/0 up up lsq-0/0/0 up up lt-0/0/0 up up mt-0/0/0 up up sp-0/0/0 up up sp-0/0/0.0 up up inet inet6 sp-0/0/0.16383 up up inet 10.0.0.1 --> 10.0.0.16 10.0.0.6 --> 0/0 128.0.0.1 --> 128.0.1.16 128.0.0.6 --> 0/0 ge-0/0/1 up down ge-0/0/1.0 up down eth-switch ge-0/0/2 up up ge-0/0/2.0 up up eth-switch ge-0/0/3 up up ge-0/0/3.0 up up eth-switch ge-0/0/4 up up ge-0/0/4.0 up up eth-switch ge-0/0/5 up down ge-0/0/5.0 up down eth-switch ge-0/0/6 up down ge-0/0/6.0 up down eth-switch ge-0/0/7 up down ge-0/0/7.0 up down eth-switch ge-0/0/8 up down ge-0/0/8.0 up down eth-switch ge-0/0/9 up down ge-0/0/9.0 up down eth-switch ge-0/0/10 up down ge-0/0/10.0 up down eth-switch ge-0/0/11 up down ge-0/0/11.0 up down eth-switch ge-0/0/12 up up ge-0/0/12.0 up up eth-switch ge-0/0/13 up up ge-0/0/13.0 up up eth-switch ge-0/0/14 up down ge-0/0/14.0 up down eth-switch ge-0/0/15 up up ge-0/0/15.0 up up eth-switch fxp2 up up fxp2.0 up up tnp 0x1 gre up up ipip up up irb up up lo0 up up lo0.0 up up inet lo0.16384 up up inet 127.0.0.1 --> 0/0 lo0.16385 up up inet 10.0.0.1 --> 0/0 10.0.0.16 --> 0/0 128.0.0.1 --> 0/0 128.0.0.4 --> 0/0 128.0.1.16 --> 0/0 lo0.32768 up up lsi up up mtun up up pimd up up pime up up pp0 up up ppd0 up up ppe0 up up st0 up up st0.1 up down inet tap up up vlan up up vlan.0 up down inet vlan.2 up up inet 192.168.2.1/24 vlan.3 up up inet 192.168.3.1/24 vlan.4 up up inet 192.168.4.1/22 vlan.5 up up inet 192.168.5.1/24 vlan.13 up down inet 192.168.13.1/24 Ipsec поднял также. Но для отладки прибил его с другой сторны Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @Serg1936 хоть ты головой бейся у тебя не будут на одной коробки одни порты работать в свичинге, а другие в роутинге. Либо то либо другое. Если нужен L2 на роутере, то настраивай бриджи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 27, 2019 · Report post @pingz с прода: fe-0/0/5 { unit 0 { family ethernet-switching { vlan { members local_xxx; } } } } fe-0/0/6 { unit 0 { description beeline; family inet { address white-ip/29; } } } Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @Serg1936 Конфиг покажи sh vlan Выше вертех написал кусок конфига у тебя нет на интерфейсе указание имени или номера влана после мемберс Так же в set vlan пишится номер влана и помещается l3 интерфейс З.ы. пишу с телефона Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 27, 2019 · Report post @pingz 6 минут назад, pingz сказал: Выше вертех написал кусок конфига у тебя нет на интерфейсе указание имени или номера влана после мемберс потому что если только один интерфейс в этом vlane - проще прописать в иерархии interface. В случае ex'а на 48 портов - у меня прописаны range и vlan в set vlan # show interfaces interface-range interface_local_x member-range ge-0/0/12 to ge-0/0/23; # show vlans local_x { vlan-id 4; interface { all_ge_uplink; interface_local_x; } l3-interface vlan.0; } это вопрос удобства, можно и так, и так Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 (edited) · Report post 22 минуты назад, pingz сказал: @Serg1936 Конфиг покажи sh vlan Выше вертех написал кусок конфига у тебя нет на интерфейсе указание имени или номера влана после мемберс Так же в set vlan пишится номер влана и помещается l3 интерфейс З.ы. пишу с телефона # sh vlan # show vlans MYVLAN13 { vlan-id 13; interface { ge-0/0/10.0; ge-0/0/11.0; } l3-interface vlan.13; } MYVLAN2 { vlan-id 2; interface { ge-0/0/12.0; ge-0/0/13.0; ge-0/0/2.0; ge-0/0/14.0; } l3-interface vlan.2; } MYVLAN5 { vlan-id 5; interface { ge-0/0/5.0; } l3-interface vlan.5; } MYVLAN3 { vlan-id 3; interface { ge-0/0/3.0; } l3-interface vlan.3; } MYVLAN4 { vlan-id 4; l3-interface vlan.4; } Edited February 27, 2019 by Serg1936 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 · Report post 32 минуты назад, pingz сказал: Выше вертех написал кусок конфига у тебя нет на интерфейсе указание имени или номера влана после мемберс Я уже прописывал порты в мемберс, только в последней конфе убрал для эесперимента. А так и это было: set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members MYVLAN2 set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members MYVLAN3 set interfaces ge-0/0/4 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members MYVLAN4 set interfaces ge-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members MYVLAN5 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @Serg1936 sh ethernet-switching table дай выхлоп @Serg1936 sh ethernet-switching table дай выхлоп Смотри маки на интерфейсах на джуне и циске Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 · Report post 8 минут назад, pingz сказал: @Serg1936 sh ethernet-switching table дай выхлоп Сейчас все включены, работает только выход к прову и vlan.2, vlan4 > show ethernet-switching table Ethernet-switching table: 95 entries, 86 learned, 0 persistent entries VLAN MAC address Type Age Interfaces MYVLAN13 b0:a8:6e:be:f2:10 Static - Router MYVLAN2 * Flood - All-members MYVLAN2 00:0b:ca:55:96:1c Learn 0 ge-0/0/2.0 MYVLAN2 00:0c:29:38:67:72 Learn 0 ge-0/0/2.0 MYVLAN2 00:0c:29:6e:fc:85 Learn 0 ge-0/0/2.0 MYVLAN2 00:0c:29:bb:0a:c1 Learn 0 ge-0/0/2.0 MYVLAN2 00:17:c8:78:3e:b4 Learn 0 ge-0/0/2.0 MYVLAN2 00:19:17:80:28:08 Learn 0 ge-0/0/2.0 MYVLAN2 00:1e:67:a4:cd:3f Learn 0 ge-0/0/2.0 MYVLAN2 00:c0:b7:96:fc:ca Learn 0 ge-0/0/12.0 MYVLAN2 30:9c:23:ad:30:fe Learn 0 ge-0/0/2.0 MYVLAN2 44:8a:5b:22:d3:44 Learn 0 ge-0/0/2.0 MYVLAN2 44:8a:5b:58:08:ad Learn 0 ge-0/0/2.0 MYVLAN2 4c:cc:6a:91:b0:35 Learn 0 ge-0/0/2.0 MYVLAN2 4c:cc:6a:ae:61:92 Learn 0 ge-0/0/2.0 MYVLAN2 4c:cc:6a:b6:1c:76 Learn 0 ge-0/0/2.0 MYVLAN2 50:46:5d:07:bb:d9 Learn 0 ge-0/0/2.0 MYVLAN2 50:46:5d:07:be:a4 Learn 0 ge-0/0/2.0 MYVLAN2 50:46:5d:07:be:ad Learn 0 ge-0/0/2.0 MYVLAN2 50:46:5d:07:be:c4 Learn 0 ge-0/0/2.0 MYVLAN2 50:46:5d:07:be:c8 Learn 0 ge-0/0/2.0 MYVLAN2 64:d1:54:65:8a:68 Learn 0 ge-0/0/13.0 MYVLAN2 a0:b3:cc:9c:4d:9e Learn 0 ge-0/0/2.0 MYVLAN2 a0:b3:cc:9c:4d:b5 Learn 0 ge-0/0/2.0 MYVLAN2 a0:b3:cc:9f:2a:4f Learn 0 ge-0/0/2.0 MYVLAN2 ac:22:0b:06:fb:de Learn 0 ge-0/0/2.0 MYVLAN2 b0:a8:6e:be:f2:10 Static - Router MYVLAN2 d8:97:ba:45:08:47 Learn 0 ge-0/0/2.0 MYVLAN2 d8:cb:8a:ec:b8:59 Learn 0 ge-0/0/2.0 MYVLAN2 e4:1f:13:eb:69:8b Learn 0 ge-0/0/2.0 MYVLAN2 ec:8e:b5:bc:1d:89 Learn 0 ge-0/0/2.0 MYVLAN2 f4:f2:6d:03:cd:00 Learn 0 ge-0/0/2.0 MYVLAN5 * Flood - All-members MYVLAN5 b0:a8:6e:be:f2:10 Static - Router MYVLAN3 * Flood - All-members MYVLAN3 b0:a8:6e:be:f2:10 Static - Router MYVLAN3 f4:7f:35:b1:6d:a7 Learn 0 ge-0/0/3.0 MYVLAN4 * Flood - All-members MYVLAN4 00:04:96:8f:c2:8b Learn 0 ge-0/0/4.0 MYVLAN4 00:0c:29:38:67:90 Learn 0 ge-0/0/4.0 MYVLAN4 00:0c:29:c0:ef:51 Learn 0 ge-0/0/4.0 MYVLAN4 0c:70:4a:e9:e2:3e Learn 0 ge-0/0/4.0 MYVLAN4 0c:77:1a:0a:dd:2a Learn 0 ge-0/0/4.0 MYVLAN4 10:44:00:b2:ec:b6 Learn 0 ge-0/0/4.0 MYVLAN4 18:81:0e:21:a4:05 Learn 0 ge-0/0/4.0 MYVLAN4 18:d2:76:94:eb:27 Learn 0 ge-0/0/4.0 MYVLAN4 24:2e:02:7f:75:19 Learn 0 ge-0/0/4.0 MYVLAN4 34:12:98:35:5f:90 Learn 0 ge-0/0/4.0 MYVLAN4 34:2d:0d:8e:54:f2 Learn 0 ge-0/0/4.0 MYVLAN4 40:9c:28:bf:f7:a4 Learn 0 ge-0/0/4.0 MYVLAN4 44:78:3e:1f:f6:f2 Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:9b Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:9c Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:9d Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:9e Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:9f Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:a0 Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:a1 Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:a3 Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6d:ea Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:6e:43 Learn 0 ge-0/0/4.0 MYVLAN4 50:67:f0:38:71:4d Learn 0 ge-0/0/4.0 MYVLAN4 7c:2e:dd:ad:2b:69 Learn 0 ge-0/0/4.0 MYVLAN4 80:2a:a8:68:bb:25 Learn 0 ge-0/0/4.0 MYVLAN4 80:2a:a8:68:bb:e5 Learn 0 ge-0/0/4.0 MYVLAN4 80:35:c1:62:bb:91 Learn 0 ge-0/0/4.0 MYVLAN4 80:82:23:28:89:db Learn 0 ge-0/0/4.0 MYVLAN4 80:e6:50:a7:0e:5d Learn 0 ge-0/0/4.0 MYVLAN4 90:fd:61:2d:e8:b3 Learn 0 ge-0/0/4.0 MYVLAN4 94:44:44:33:26:24 Learn 0 ge-0/0/4.0 MYVLAN4 98:9e:63:cc:76:45 Learn 0 ge-0/0/4.0 MYVLAN4 a8:f9:4b:1f:fc:e0 Learn 0 ge-0/0/4.0 MYVLAN4 a8:f9:4b:b0:00:40 Learn 0 ge-0/0/4.0 MYVLAN4 b0:a8:6e:be:f2:10 Static - Router MYVLAN4 b0:c5:59:8c:77:b3 Learn 0 ge-0/0/4.0 MYVLAN4 b0:e1:7e:28:ff:8d Learn 0 ge-0/0/4.0 MYVLAN4 c0:62:6b:04:94:02 Learn 0 ge-0/0/4.0 MYVLAN4 c0:f4:e6:67:a6:00 Learn 0 ge-0/0/4.0 MYVLAN4 c0:f4:e6:77:6b:65 Learn 0 ge-0/0/4.0 MYVLAN4 c4:6e:1f:11:77:c3 Learn 0 ge-0/0/4.0 MYVLAN4 d0:ff:98:af:59:b9 Learn 0 ge-0/0/4.0 MYVLAN4 d4:a3:3d:dc:86:f0 Learn 0 ge-0/0/4.0 MYVLAN4 d8:8f:76:27:28:03 Learn 0 ge-0/0/4.0 MYVLAN4 d8:c7:71:46:35:e4 Learn 0 ge-0/0/4.0 MYVLAN4 dc:44:b6:df:e9:ed Learn 0 ge-0/0/4.0 MYVLAN4 dc:9f:db:2a:b4:39 Learn 0 ge-0/0/4.0 MYVLAN4 e0:dd:c0:e5:f8:6d Learn 0 ge-0/0/4.0 MYVLAN4 e4:1f:13:eb:69:8d Learn 0 ge-0/0/4.0 MYVLAN4 f0:98:9d:88:b1:e9 Learn 0 ge-0/0/4.0 MYVLAN4 f0:9f:c2:90:d9:ed Learn 0 ge-0/0/4.0 MYVLAN4 f4:7f:35:b2:d9:5c Learn 0 ge-0/0/4.0 MYVLAN4 fc:ec:da:3d:76:f0 Learn 0 ge-0/0/4.0 MYVLAN4 fc:ec:da:3d:78:8d Learn 0 ge-0/0/4.0 MYVLAN4 fc:ec:da:3d:79:b8 Learn 0 ge-0/0/4.0 MYVLAN4 fc:ec:da:3d:7b:90 Learn 0 ge-0/0/4.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 27, 2019 (edited) · Report post Перевел все порты в switching (кроме gr-0/0/0, lo0). Ipsec пока удалил вместе с st0.0 Результат тот же. snat в инет работает. Функционируют только 2 VLAN ------------------------------------------------------------------- Не знаю, что за глюк или правила форума нарушил, но нет кнопки "Ответить" или по ночам нельзя флудить. Поэтому отвечаю pingz в виде изменения предыдущего сообщения. Да, помесил опять все 4 VLAN на теги. Снова заработало 2 VLAN из 4-х. Может быть и петля, но я ввроде был внимателен. Скорее всего по нативным сетям, если это не глупость, а то варюсь в собственном соку, где-то плаваю в знаниях. Со стороны cisco какие-то mac от juniper только в дефолтовой VLAN1. Даже в тех VLAN, которые работают. Подсознательно вижу проблему, но пока не могу сообразитьЮ как решить, не занимался таким. Почитаю, мож мануалы, если есть короткие подсказки, прошу по-возможности Edited February 27, 2019 by Serg1936 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 27, 2019 · Report post @Serg1936 а чем вас не устраивает тегом на циску отдать? Со стороны цыски есть маки во вланах в которых не работает? Vlan 5 весит на ge-0/0/5 он в выключен физически судя по выхлопу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted February 28, 2019 · Report post @Serg1936 Для новичков есть ограничение по количеству сообщений в сутки. На EX(свичинг) у меня настроено вот так: set interfaces ge-0/0/17 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/17 unit 0 family ethernet-switching native-vlan-id 49 set interfaces vlan unit 49 family inet address 192.168.49.8/24 set vlans vlan49 vlan-id 49 set vlans vlan49 l3-interface vlan.49 Я так отдаю антегом Если мне нужно отдать тегом я прописывают так: set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 49 З.Ы. нарисуй полноценную схему, да долго, но по другому не как Покажи как настроена циска. Я понять не могу зачем тебе антегом отдавать на циску? Если коробка не в продакшене то ресет и заново настраивай. ИМХО маршутизатор я бы настраивал как маршутизатор: set interfaces xe-0/0/0 flexible-vlan-tagging set interfaces xe-0/0/0 unit 999 set interfaces xe-0/0/0 unit 999 vlan-id 999 set interfaces xe-0/0/0 unit 999 family inet address 192.168.1.60/24 Чтобы писать конфиг командами после sh (что-то там) добавляешь "| display set" Так же стоит проверить физику(пачкорды, модуля и т.д.) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted February 28, 2019 · Report post По крайней мере убедился, что решение не просто и не зря время трачу. А то может одну строчку поправить, а я столько вожусь. Спасибо, я паузу возьму. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serg1936 Posted March 3, 2019 · Report post Передаю результаты экспериментов. Проведены именно на таком количестве оборудования. Точки поставил в уверенности, что дальнейшее подключение другого железа показало бы тоже самое. Все настройки по VLAN проверил, ошибок нет, несознательной петли нет. Почему-то уверен, juniper тут не причем. Итак, исходные данные. 1. Все кроме juniper - коммутаторы. 2. Все соединения, исходящие и из нижнего коммутатора - разные VLAN. 3. В данной схеме все соединения, кроме красных работают. 4. Если я отключаю синее соединение начинает работать одно из красных. При этом, если я отключаю это работающее красное, начинает работать другое красное. Т.е. с физикой все в порядке. И самое интересное. 5. Синий прямоугольник и красные прямоугольники - это Cisco SG300-28P. 6. Черные прямоугольники - это Orion, Extreme, Cisco - но не SG300-28P! Делаю вывод, что возможно в Cisco SG300-28P можно что-то поправить, чтобы заработало все. Больше не хочу отвлекать, конфиги не буду слать, но если у кого-то есть четкая мысль, что попробовать, прошу направить. Если нет - забью на это и подстроюсь по эту данность. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted March 3, 2019 · Report post Stp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...