[Smersh]

Не получается настроить сабинтерфейсы на Juniper SRX, JUNOS Software Release [10.0R1.8]

 

[edit interfaces]
root# show
interface-range interfaces-trust {
    member fe-0/0/1;
    member fe-0/0/2;
    member fe-0/0/3;
    member fe-0/0/4;
    member fe-0/0/5;
    member fe-0/0/6;
    member fe-0/0/7;
    unit 0;
}
fe-0/0/0 {
    unit 0 {
        family inet {
            address 192.168.255.2/24;
        }
    }
}
fe-0/0/1 {
    vlan-tagging;
    unit 10 {
        vlan-id 10;
        family inet {
            address 192.168.11.1/24;
        }           
    }
    unit 20 {
        vlan-id 20;
        family inet {
            address 192.168.252.1/30;
        }
    }
    unit 102 {
        vlan-id 102;
        family inet {
            address 192.168.12.1/24;
        }
    }
}
vlan {
    unit 0;
}

[edit interfaces]
root# commit check
[edit]
  'unit 0'
     VLAN-ID must be specified on tagged ethernet interfaces
error: configuration check-out failed

[edit interfaces]
root#

В чем причина? что надо добавить?

 

[iCEDmAN]

боюсь ошибиться, но...

fe-0/0/0 {

vlan-tagging;

unit 0 {

vlan-id 101;

Изменено 16 сентября, 2010 пользователем iCEDmAN

[Smersh]

боюсь ошибиться, но...

fe-0/0/0 {

vlan-tagging;

unit 0 {

Пробовал ))

выдает

'unit 0'

VLAN-ID must be specified on tagged ethernet interfaces

error: configuration check-out failed

Уже час бьюсь, фик знает как сделать.

[Sonne]

vlans {
    AAAAA {
        vlan-id 10;
        l3-interface vlan.10;
    }
    BBBB {
        vlan-id 20;
        l3-interface vlan.20;
    }
    CCC {
        vlan-id 30;
        l3-interface vlan.30;
    }

}

[Smersh]

Sonne

Да, так действительно заработало, просто меня вводил в ступор

  'l3-interface vlan.0'
    Interface must already be defined under [edit interfaces]
error: configuration check-out failed: (statements constraint check failed)

Который как оказалось относился к другой части конфига, не связанной с интерфейсами))

[hsvt]

Подскажите как настроить на MX480 12.3R6.6 серии сабы и прокинуть их на физ интерфейсы.

 

Пробую так:

 

ge-0/0/1 {
   flexible-vlan-tagging;
   encapsulation flexible-ethernet-services;
   unit 0 {
       encapsulation vlan-bridge;
       family bridge {
           interface-mode trunk;
           vlan-id-list 90;
       }
   }
   unit 300 {
       vlan-id 300;
       family inet {
           address 1.1.1.1/22;
       }
   }
}
irb {
   unit 90 {
       family inet {
           address 10.90.90.77/24;
       }
   }
}

 

show interfaces ge-0/0/1
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
   encapsulation vlan-bridge;
   family bridge {
       interface-mode trunk;
       vlan-id-list [ 90 300 ];
   }
}
unit 300 {
   vlan-id 300;
   family inet {
       unnumbered-address lo0.2012 preferred-source-address 1.1.1.1;
   }
}

lo0 {
   unit 2012 {
       family inet {
           address 1.1.1.1/32;
       }
   }
}

commit check
[edit interfaces ge-0/0/1 unit 0 family bridge]
 'vlan-id-list 300'
    duplicate VLAN-ID on interface ge-0/0/1.0
error: configuration check-out failed

 

Необходимо прокинуть VLAN 300 на физ. интерфейс транком для выделенного белого адреса клиенту. (ip-unnumbered), при этом не создавать irb интерфейс. То есть чтобы family inet был на ge в отдельном юните и при этом пихнуть его в нужный интерфейс бриджом. Видеть мак адреса клиента в нужном интерфейсе по команде show bridge mac-table vlan-id 300. Примерно как на EX, тут как это можно сделать?

Изменено 2 марта, 2015 пользователем hsvt

[pfexec]

охщи. позовите одмина уже или начните читать документацию. SHAME ON YOU !

[hsvt]

охщи. позовите одмина уже или начните читать документацию. SHAME ON YOU !

 

Ну от вас то я ничего другого не ожидал услышать, и так в каждой теме по Juniper. Может я сумбурно написал, но если кроме этого Вам нечего написать, то лучше уж промолчать. А если у вас JNCIE-ENT тогда могли бы и подсказать.

Изменено 2 марта, 2015 пользователем hsvt

[pfexec]

А если у вас JNCIE-ENT тогда могли бы и подсказать.

ммм... в данном случае не надо быть профессором семи пядей во лбу. прочитать пару примеров из документации может каждый.

[furai]

при этом не создавать irb интерфейс

 

а чем вам irb не нравится?

[hsvt]

при этом не создавать irb интерфейс

 

а чем вам irb не нравится?

 

Не подходит, необходимо использовать ge- для ip-unnumbered.

 

Не получается реализовать вот такую схему:

 

show configuration interfaces ge-1/0/5
flexible-vlan-tagging;
native-vlan-id 254;
encapsulation flexible-ethernet-services;
unit 0 {
   family bridge {
       interface-mode trunk;
       vlan-id-list [ 193 194 29 47 145 254  ];
   }
}
unit 300 {
   vlan-id 300;
   family inet {
       unnumbered-address lo0.0 preferred-source-address 1.1.1.1;
   }
}

show configuration interfaces lo0
unit 0 {
   family inet { 
       address 1.1.1.1/32;
   }
}

show configuration routing-options static
/* Test unnumbered route */
route 1.1.1.2/32 {
   qualified-next-hop ge-1/0/5.300;
}

 

ge-1/0/5 воткнут в коммутатор tag 24 и untagged 10 порты. Буком втыкаюсь в 10 порт и прописываю у себя 1.1.1.2/24 gw 1.1.1.1 - трафика не вижу.

 

monitor traffic interface ge-1/0/5.300 no-resolve
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is OFF.
Listening on ge-1/0/5.300, capture size 96 bytes

15:14:07.634188 Out arp who-has 1.1.1.2 tell 1.1.1.1
15:14:22.507167 Out arp who-has 1.1.1.2 tell 1.1.1.1
15:14:40.966667 Out arp who-has 1.1.1.2 tell 1.1.1.1
15:14:54.690792 Out arp who-has 1.1.1.2 tell 1.1.1.1

 

Если создавать bridge domain vlan300 - ругается что можно только family bridge (Warning: only family bridge can be configured on this interface), если пихать 300 vlan в vlan-id-list - так же коммит не пройдёт из-за дубликата.

 

Пробовал и так:

 

unit 300 {
   encapsulation vlan-bridge;
   vlan-id 300;
   family inet {
       unnumbered-address lo0.0 preferred-source-address 1.1.1.1;
   }
}

show bridge-domains
vlan300 {
   vlan-id 300;
   ##
   ## Warning: only family bridge can be configured on this interface
   ##
   interface ge-1/0/5.300;
}

Изменено 4 марта, 2015 пользователем hsvt

[maxx_s]

show configuration interfaces lo0
unit 0 {
   family inet { 
       address 1.1.1.1/32;
   }
}

 

Это неверно, джинипер же имеет /32, куда идёт бродкаст - не представляю.

А бук с адресом 1.1.1.2/24 отправит броадкаст на 1.1.1.255, lo0 не ответит.

 

 

должно быть

 

show configuration interfaces lo0
unit 0 {
   family inet { 
       address 1.1.1.1/24;
   }
}

 

Это лишнее, пока на лупбеке один адрес

preferred-source-address 1.1.1.1

 

Без этого тоже будет работать, это не Cisco

route 1.1.1.2/32 {

qualified-next-hop ge-1/0/5.300

}

 

Сам сейчас пытаюсь найти решение чтобы привязать ip к сабинтерфейсу, тем самым решив проблему спуфинга.