orlik Опубликовано 10 сентября, 2016 · Жалоба Тогда с сайта тяните или с торентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 10 сентября, 2016 · Жалоба Добрый день - не подскажите, есть ли возможность выгрузить образ JunOS с рабочего коммутатора, чтобы поставить его на другой? Гугление результатов не дало. P.s. В джунах не силен. Как вариант - на рабочей железке втыкаете флешку, делаете > request system snapshot partition media external Потом на второй железке загружаетесь с этой флешки и делаете обратную операцию > request system snapshot media internal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kergorn Опубликовано 10 сентября, 2016 · Жалоба Mystray железка была удаленная, хотел слить по tftp. В любом случае, уже нашел на просторах интернета, перепрошил с флешки и все завелось. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 15 сентября, 2016 · Жалоба Может кто может более детально подсказать, какие есть подводные камни покупки такой железки БУ и какие могут быть последствия, ведь она требует периодического обновления сигнатур, без оф поддержки это явно не добиться.зависит от того какие фичи вы хотите использовать. роутинг, мплс, ipsec'и и стейтфул файервол не требуют лицензий. для некоторых фич лицензий немного есть в коробке (для клиентского впна - 2 шт.).так же для BGP RR нужна SRX-BGP-ADV-LTU. но в целом держать RR на srx мне никогда не требовалось. но тут уж все зависит от вашей сети. но лицензия дорогая: $3k по GPL. Ну и в общем целом может есть, кто работал с ASA5515-X например и с SRX550 или 650? Что лучше выбрать?я тут обычно топлю за J, поэтому да, SRX самый лучший файервол на рынке. просто потому что он еще и роутер ок, в отличии от конкурентов.Как вообще лицензируются такие железки, или спрошу по другому, как можно получить без гемороя полный функционал и последние обновления?про J: софт получить не проблема, если у вас есть железка. можно даже ее себе на аккаунт повесить, если J предоставить инвойсы и платежные документы по покупке оборудования на вторичном рынке. и даже потом можно саппорт на нее купить, если она, конечно, исправна. но надо быть готовым заплатить штраф за дырку в саппорте, если она такая есть. но обычно миллионов там не насчитывают.подписки на антивирусы и идс лично я не покупал (нет нужды) и, вероятно, у вас ее тоже не будет, ибо для 650ого это не три копейки: антивирус касперь-софос почти $4k, идс-ипс/защита приложений - около $6k. это в GPL, но расчитывать на большие скидки для лицензий на оборудование со вторичных рынков я бы не стал. всяких разных лицензий и их бандлов там много, можете сами по изучать, цены я привел только для идс и антивируса для того чтобы осозновать их порядок. про циску тут и так вам расскажут или вы сами знаете. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 23 сентября, 2016 · Жалоба Juniper MX80 не получатся реализовать схему Http-redirect для пользователей заблокированных по балансу. Для подключения пользователей с положительным балансом используем фильтры: set firewall family inet filter fltr-100Mb-NAT interface-specific set firewall family inet filter fltr-100Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-100Mb-NAT term 1 then service-accounting set firewall family inet filter fltr-100Mb-NAT term 1 then routing-instance NAT-RI set firewall family inet filter fltr-100Mb-NAT term 2 then service-accounting set firewall family inet filter fltr-50Mb-NAT interface-specific set firewall family inet filter fltr-50Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-50Mb-NAT term 1 then policer plcr-100Mb set firewall family inet filter fltr-50Mb-NAT term 1 then service-accounting set firewall family inet filter fltr-50Mb-NAT term 2 then policer plcr-100Mb set firewall family inet filter fltr-50Mb-NAT term 2 then service-accounting set firewall policer plcr-100Mb logical-interface-policer set firewall policer plcr-100Mb if-exceeding bandwidth-limit 1g set firewall policer plcr-100Mb if-exceeding burst-size-limit 38400000 set firewall policer plcr-100Mb then discard Для заблокированных по балансу пытались сделать через фильтр такого плана: set firewall family inet filter fltr-http-redirect term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-http-redirect term 1 from protocol icmp set firewall family inet filter fltr-http-redirect term 1 from port bootpc set firewall family inet filter fltr-http-redirect term 1 from port dhcp set firewall family inet filter fltr-http-redirect term 1 from port domain set firewall family inet filter fltr-http-redirect term 1 from port netbios-ns set firewall family inet filter fltr-http-redirect term 1 then policer plcr-8Mb set firewall family inet filter fltr-http-redirect term 1 then count service_accept set firewall family inet filter fltr-http-redirect term 1 then accept set firewall family inet filter fltr-http-redirect term 2 from port http set firewall family inet filter fltr-http-redirect term 2 then policer plcr-8Mb set firewall family inet filter fltr-http-redirect term 2 then count redirected set firewall family inet filter fltr-http-redirect term 2 then routing-instance http-redirect set firewall family inet filter fltr-http-redirect term 3 then count else_discard set firewall policer plcr-8Mb logical-interface-policer set firewall policer plcr-8Mb if-exceeding bandwidth-limit 8m set firewall policer plcr-8Mb if-exceeding burst-size-limit 1920000 set firewall policer plcr-8Mb then discard set routing-instances http-redirect instance-type forwarding set routing-instances http-redirect routing-options static route 0.0.0.0/0 next-hop xxx.xxx.xxx.xxx Но данная схема не заработала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 сентября, 2016 · Жалоба А дефолт в routing-instance http-redirect активен? Или он hidden из-за недоступности next-hop? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 28 сентября, 2016 · Жалоба Ну и как ходит обратный трафик, тут нет ни фильтра (который должен разрешать трафик с port 80 и tcp established) ни информации как трафик обратно попадает по маршрутизации... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ancient Опубликовано 28 ноября, 2016 · Жалоба Не получается найти инфу даже на сайте juniper, на mx-серии, в частности mx104 на встроенных 10g-интерфейсах доступен ли шейпинг по vlan-интерфейсам? и если доступен то как его включить? per-Unit Scheduling на интерфейс не срабатывает: [edit interfaces xe-2/0/1] youar@MX104_1# commit check [edit interfaces] 'xe-2/0/1' per-unit-scheduler is not valid on this interface error: configuration check-out failed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 28 ноября, 2016 · Жалоба по опыту MX80 встроенные порты - это порты, которые должны смотреть на switch fabric и поэтому не имеют Q-чипа. следовательно не умеют H-QoS, т.е. 8 очередей на порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ancient Опубликовано 29 ноября, 2016 · Жалоба спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ancient Опубликовано 30 ноября, 2016 (изменено) · Жалоба Новая информация: Поддержка очередизация и остальных механизмов H-QOS на встроенных портах mx104 появилась в релизе 16.1 Ниже описание этой software feature, и информация из release notes 16.1R1 (параграф Support for queuing features on built-in ports to provide customized traffic shaping services (MX80, MX104)) https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=7243&fn=Queuing+features+on+built-in+ports+to+provide+customized+traffic+shaping+services http://www.juniper.net/techpubs/en_US/junos16.1/information-products/topic-collections/release-notes/16.1/junos-release-notes-16.1r1.pdf Изменено 30 ноября, 2016 пользователем Ancient Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 10 мая, 2017 · Жалоба А кто-нибудь использует converged CPCD на MX? Что-то не получается запустить, пробовал Junos 15.1R5.5 , 16.2R1.6 , 17.1R1.8 Настраиваю так: show services captive-portal-content-delivery { profile P1 { dynamic; } } service-set SS1 { service-set-options { subscriber-awareness; routing-engine-services; } captive-portal-content-delivery-profile P1; interface-service { service-interface si-0/0/0.0; } } show dynamic-profiles HTTP-REDIRECT variables { redirect-url mandatory; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { service { input { service-set SS1 service-filter walled; } output { service-set SS1 service-filter skip; } } } } } } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect "$redirect-url"; } } } } } На абонента сервис накладывается: run show dynamic-profile session service-id 5 HTTP-REDIRECT { interfaces { ge-0/0/0 { unit 3221225473 { family { inet { service { service-set SS1 { } input service-filter walled; service-set SS1 { } output service-filter skip; } } } } } } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect http://192.168.1.1; } } } } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 11 мая, 2017 · Жалоба все так думаю вот в чем дело Converged CPCD supported from 16.1R4 https://kb.juniper.net/InfoCenter/index?page=content&id=KB31615 у меня на 16.1r4 срабатывает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 11 мая, 2017 · Жалоба Так вроде на 16.2R1.6 должно работать... Или я что-о не понимаю в junos? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 11 мая, 2017 · Жалоба теперь опять все по другому опять все по новому 16.1 будет eeol или типа того, даже не знаю как назвать теперь )) а не как раньше .3/.4 так что фичапаритета тут не стоит по дефолту ожидать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 11 мая, 2017 (изменено) · Жалоба short А вот Вы правы :) Прошился на 16.1 и всё заработало :) Спасибо! Изменено 11 мая, 2017 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 18 мая, 2017 · Жалоба И снова я с вопросом к сообществу :) Пустил на стенде dual-stack. Вроде все работает, адреса раздаются, пинги идут. Но ipv4 и ipv6 сессии авторизуются как разные абоненты. ae0.3221225855 0x8100.4000 0x8100.3000 default:defaultae0.3221225856 172.17.1.2 ae0:4000-3000 default:default ae0.3221225857 2001:db8::17 ipv6subscriber&ae0:4000-3000 default:default В принципе ок. Но вот полисер навешивается на каждую сессию свой, так что скорость у абонента фактически равна скорость ipv4+скорость ipv6, что не есть хорошо. Вопрос соответственно такой, можно ли применять firewall filter не к абонентскому интерфейсу (ae0.3221225856, ae0.3221225856), а к интерфейсу ae0.3221225855, который типа underlying? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 18 мая, 2017 · Жалоба На обычных интерфейсах это делается добавлением interface-specific в фильтр, вот документация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 18 мая, 2017 (изменено) · Жалоба interface-specific есть RATE-LIMIT { variables { var-bw mandatory; var-burst equals "round($var-bw/8)"; var-ff-in uid; var-ff-ou; var-plr uid; var-ff-out uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input "$var-ff-in" precedence 50; output "$var-ff-out" precedence 50; } } } } } firewall { family inet { filter "$var-ff-in" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } filter "$var-ff-out" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } } policer "$var-plr" { logical-interface-policer; if-exceeding { bandwidth-limit "$var-bw"; burst-size-limit "$var-burst"; } then discard; } } Без него policer на stacked-vlan интерфейсах вообще не работает. Вопрос: при этом по show interfaces ae0.3221225855 extensive должен ли полисер отображаться на "основном" интерфейсе, или он будет отображаться только на интерфейсе для ipv4 абонента и "действовать" на ipv6? Изменено 19 мая, 2017 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 19 мая, 2017 · Жалоба logical interface policer вроде должен помочь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 19 мая, 2017 · Жалоба short Не-а, не помогает :( Навешиваю полисер на ipv4 абонента - режется только ipv6. Тот же dynamic-profile (RATE-LIMIT) пытаюсь навесить на ipv6 абонента - получаю Error-Cause = Invalid-Request Соответственно копирую RATE-LIMIT в RATE-LIMIT-V6 и навешиваю на ipv6 абонента - ipv6 режется, но скорость у абонента равна ipv4+ipv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 19 мая, 2017 · Жалоба Так у вас family inet filter, а для IPv6 надо family inet6 filter, или family any filter. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 19 мая, 2017 · Жалоба v_r Скопировал не тот dynamic-profile :) variables { var-bw mandatory; var-burst equals "round($var-bw/8)"; var-ff-in uid; var-ff-ou; var-plr uid; var-ff-out uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input "$var-ff-in" precedence 50; output "$var-ff-out" precedence 50; } } family inet6 { filter { input "$var-ff-in" precedence 50; output "$var-ff-out" precedence 50; } } } } } firewall { family inet { filter "$var-ff-in" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } filter "$var-ff-out" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } } family inet6 { filter "$var-ff-in" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } filter "$var-ff-out" { interface-specific; term 1 { then { policer "$var-plr"; accept; } } } } policer "$var-plr" { logical-interface-policer; if-exceeding { bandwidth-limit "$var-bw"; burst-size-limit "$var-burst"; } then discard; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 19 мая, 2017 · Жалоба Тогда вероятно вам поможет layer2-policer назначенный на логический интерфейс, не на family. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 19 мая, 2017 · Жалоба v_r скорее всего нет, он же только output :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...