Оборудование Juniper Network. Отзывы, реальная производительность.

Как удалить ssh- ключи хранящиеся в /var/home/mts/.ssh/known_hosts без обращения к системным командам вроде start shell или system request?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно файл целиком удалить, file delete /var/home/mts/.ssh/known_hosts

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, а кто-нибудь поднимал OSPF между Quagga и JunOS?

Конфиг Quagga:

interface vlan16
ip ospf network point-to-point
!
router ospf
network 192.168.1.0/30 area 0.0.0.0
neighbor 192.168.1.2
!

 

На JunOS:

area 0.0.0.0 {
   interface lo0.0 {
       interface-type p2p;
       passive;
   }
   interface ae1.15 {
       interface-type p2p;
       metric 10;
       neighbor 192.168.1.1;
   }

 

Проблем в том, что соседство не устанавливается, т.к. Quagga шлёт Mask 0.0.0.0, а Junos - 255.255.255.252.

Это можно как-то обойти, или придётся использовать broadcast?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 neighbor 192.168.1.2

        neighbor 192.168.1.1;

Соседей обычно указывают на NBMA интерфейсах вместе с указанием соответствующего network-type (и тогда пакеты OSPF посылаются юникастом). На обычных P2P линках соседей указывать по адресам не надо. Возможно поэтому Quagga шлет такую маску сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

v_r нет, не помогает. Пробовал и с neighbor и без.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос больше в сторону Quagga, поведение у J согласно стандарту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня прилетел из мира такой вот апдейт:

BGP routing table entry for 186.177.130.0/24
Paths: (1 available, best #1, table Default-IP-Routing-Table)
 ... 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197

     Last update: Tue Jun 20 09:15:55 2017

Квагги на бордерах молча прожевали и передали дальше, но вот судя по количеству отвалившихся сессий, то ли квагги апдейт сломали, то ли джуны не могут такое проглотить, все джуны в сети повываливались с такой руганью:

Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3: BGP ERROR: Insufficient data for the packet
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-4: bgp_read_v4_update:12184: NOTIFICATION sent to 10.0.0.1 (Internal AS 64515): code 3 (Update Message Error) subcode 1 (invalid attribute list)
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3: Received malformed update from 10.0.0.1 (Internal AS 64515)
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3:   Family inet-unicast, prefix 186.177.130.0/24
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3:   Malformed Attribute AS_PATH(2) flag 0x40 length 3298.
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-4-RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 10.0.0.1 (Internal AS 64515) changed state from Established to Idle (event RecvUpdate) (instance master)

Некоторая часть клиентских сессий тоже, хотя не уверен, что у клиентов именно джуны.

Кто-то еще столкнулся? Как такое возможно предотвратить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

регулярками ограничивать длину аспас

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

регулярками ограничивать длину аспас

Есть подозрение, что не поможет, т.к.:

 

BGP ERROR: Insufficient data for the packet

 

P.S.: У себя такой проблемы не наблюдал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня прилетел из мира такой вот апдейт:

BGP routing table entry for 186.177.130.0/24
Paths: (1 available, best #1, table Default-IP-Routing-Table)
 ... 262197 262197 262197 262197 262197 262197 262197 262197 

     Last update: Tue Jun 20 09:15:55 2017

Квагги на бордерах молча прожевали и передали дальше, но вот судя по количеству отвалившихся сессий, то ли квагги апдейт сломали, то ли джуны не могут такое проглотить, все джуны в сети повываливались с такой руганью:

Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3: BGP ERROR: Insufficient data for the packet
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-4: bgp_read_v4_update:12184: NOTIFICATION sent to 10.0.0.1 (Internal AS 64515): code 3 (Update Message Error) subcode 1 (invalid attribute list)
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3: Received malformed update from 10.0.0.1 (Internal AS 64515)
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3:   Family inet-unicast, prefix 186.177.130.0/24
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-3:   Malformed Attribute AS_PATH(2) flag 0x40 length 3298.
Jun 20 09:26:34  rr2 rpd[4367]: %DAEMON-4-RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 10.0.0.1 (Internal AS 64515) changed state from Established to Idle (event RecvUpdate) (instance master)

Некоторая часть клиентских сессий тоже, хотя не уверен, что у клиентов именно джуны.

Кто-то еще столкнулся? Как такое возможно предотвратить?

 

софт какой ? у нас таких проблем небыло

От какого оператора прилетел апдейт ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

софт какой ? у нас таких проблем небыло

От какого оператора прилетел апдейт ?

16.1R4.7 пострадал на разных платформах (olive, mx80), железки с 14.1 и 13 не зацепило, видимо дело конкретно в 16 версии.

До нас долетело по такой цепочке: "28917 174 12956 262206 262206 262197 262197 262197 262197 262197 262197 262197 ...", на bgplay это веселье запислось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно, на 16.1r4-s2 тоже нсть, но там все было нормально

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А скрытый раздел по джуну еще есть? Сегодня написал на juniper@nag.ru вопрос, как туда попасть - и тишина в ответ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

martin74

жди, отвечают не сразу. Раздел есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вообще отвечают? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, а кто-нибудь делал SPAN на MX?

Возникла проблема - на зеркале вижу только ingress трафик.

Настраиваю так:

show forwarding-options analyzer
MIRROR-UPLINK {
   input {
       ingress {
           interface ae1.15;
           interface xe-2/0/0.16;
       }
       egress {
           interface ae1.15;
           interface xe-2/0/0.16;
       }
   }
   output {
       interface xe-2/0/1.0;
   }
}

 

show interfaces xe-2/0/1

description MIRROR;
disable;
mtu 9192;
encapsulation ethernet-bridge;
unit 0;

 

 

show bridge-domains
MIRROR {
   interface xe-2/0/1.0;
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги приветствую.
А кто-нибудь использует MS-MIC для ната?

Пытаюсь настроить, но что-то не получается.

Сейчас конфигурация выглядит так:

show chassis fpc 1
 

pic 0 {
    inline-services {
        bandwidth 10g;
    }
    adaptive-services {
        service-package layer-3;
    }
}


 
show interfaces ms-1/0/0

 

unit 10 {
    family inet;
    service-domain inside;
}
unit 20 {
    family inet;
    service-domain outside;
}


show services nat
 

pool NAT {
    address 1.1.1.0/24;
    port {
        automatic {
            random-allocation;
        }
        secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300;
    }
    address-allocation round-robin;
}
rule NAT-1 {
    match-direction input;
    term t1 {
        from {
            source-address {
                10.228.8.0/22;
            }
        }
        then {
            translated {
                source-pool NAT;
                translation-type {
                    napt-44;
                }
                address-pooling paired;
            }
        }
    }
}


show firewall family inet filter NAT
 

 

interface-specific;
term 10 {
    from {
        source-address {
            10.228.8.0/22;
        }
        destination-address {
            10.228.0.0/16;
        }
    }
    then accept;
}
term 100 {
    from {
        source-address {
            10.228.8.0/22;
        }
    }
    then {
        routing-instance NAT;
    }
}
term 200 {
    then accept;
}
show dynamic-profiles NAT
interfaces {
    "$junos-interface-ifd-name" {
        unit "$junos-underlying-interface-unit" {
            family inet {
                filter {
                    input NAT precedence 100;
                }
            }
        }
    }
}


show routing-instances NAT
 

instance-type virtual-router;
interface ms-1/0/0.10;
routing-options {
    static {
        route 0.0.0.0/0 next-hop ms-1/0/0.10;
        route 10.228.8.0/24 next-table inet.0;
    }
}


Абонент с профилем NAT:


run show subscribers
 

Interface           IP Address/VLAN ID                      User Name                      LS:RI
demux0.3221225496    1000                                                             default:default
demux0.3221225496   10.228.10.254                           ge-0/0/1:1000&000403E80018&010B7465737473776974636832       default:default
Service Session ID: 12
Service Session Name: NAT
Service Session Version: 1
State: Active
Family: inet
IPv4 Input Filter Name: NAT-demux0.3221225478-in
Service Activation time: 2017-11-01 17:53:05 EET


Со всеми этими настройками нат не случается. Точнее так . Нат происходит. На бордере при пинге 8.8.8.8 есть пакет исходящий из пула 1.1.1.0/24 на 8.8.8.8. От 8.8.8.8 есть ответ, а до клиента он не доходит.

Проблема решена. Ошибся в маске в routing-instance.

 

 
Изменено пользователем purecopper

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 10.08.2017 в 16:59, purecopper сказал:

Коллеги, а кто-нибудь делал SPAN на MX?

Возникла проблема - на зеркале вижу только ingress трафик.

Настраиваю так:

 


show forwarding-options analyzer
MIRROR-UPLINK {
   input {
       ingress {
           interface ae1.15;
           interface xe-2/0/0.16;
       }
       egress {
           interface ae1.15;
           interface xe-2/0/0.16;
       }
   }
   output {
       interface xe-2/0/1.0;
   }
}
 

 

 

 


show interfaces xe-2/0/1

description MIRROR;
disable;
mtu 9192;
encapsulation ethernet-bridge;
unit 0;
 

 

 

 

 


show bridge-domains
MIRROR {
   interface xe-2/0/1.0;
}
 

Удалось завести зеркало? Я тут тоже спрашивал и еще недавно на хабре описывали подробно https://habrahabr.ru/post/336978/ 

 

Но я больше не пробовал, зеркалю на EX

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

hsvt 

Приветствую.

Сделал fake ip + static arp. Всё работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сразу хочу оговориться. С Джуниперами дел не имел. Но приглянулась мне железка - QFX5100-48S

Задача:

Подбираю коммутатор для узлов агрегации/ядра.

В ближайших планах отказ от QinQ и классического etherneta (RSTP/MSTP) и переход IP.

С последующим внедрением MPLS или VXLAN.

 

В документации на коммутатор куча всего описано.

Этот прекрасный коммутатор без QFX-JSL-EDGE-ADV1 (QFX Series advanced feature license for Border Gateway Protocol (BGP), Intermediate System-to-Intermediate System (IS-IS), Multi-protocol Label Switching (MPLS), and Virtual Extensible Local Area Network (VXLAN), and Open vSwitch Database (OVSDB)) не умеет многого. Расскажите, кто сталкивался, как эти лицензии работают и к чему привязываются?

Срок действия?

Как активировать? Как оно привязываться к железу? Можно ли поменять железку?

 

Ну и попутно как у них с обновлениями софта если брать с вторичного рынка? Мутно или нет?

Ну и если есть по теме задачи рекомендации по железу, буду рад услышать ваше мнение....

Я еще посматриваю в сторону HPE 5920AF-24XG Switch (JG296A) - написано красиво и цена ощутимо дешевле.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, mmajorov сказал:

Сразу хочу оговориться. С Джуниперами дел не имел. Но приглянулась мне железка - QFX5100-48S

Задача:

Подбираю коммутатор для узлов агрегации/ядра.

В ближайших планах отказ от QinQ и классического etherneta (RSTP/MSTP) и переход IP.

С последующим внедрением MPLS или VXLAN.

 

В документации на коммутатор куча всего описано.

Этот прекрасный коммутатор без QFX-JSL-EDGE-ADV1 (QFX Series advanced feature license for Border Gateway Protocol (BGP), Intermediate System-to-Intermediate System (IS-IS), Multi-protocol Label Switching (MPLS), and Virtual Extensible Local Area Network (VXLAN), and Open vSwitch Database (OVSDB)) не умеет многого. Расскажите, кто сталкивался, как эти лицензии работают и к чему привязываются?

Срок действия?

Как активировать? Как оно привязываться к железу? Можно ли поменять железку?

 

Ну и попутно как у них с обновлениями софта если брать с вторичного рынка? Мутно или нет?

Ну и если есть по теме задачи рекомендации по железу, буду рад услышать ваше мнение....

Я еще посматриваю в сторону HPE 5920AF-24XG Switch (JG296A) - написано красиво и цена ощутимо дешевле.....

У 5100 лицензии RTU: ругается, но едет.

С VXLAN и MPLS все неоднозначно. То завезут фич, то сломают базовый функционал. Надо брать на тест пару-тройку железок, вкатывать предполагаемый конфиг, крутить да тестить нужные фичи. VPLS в любом проявлении нет и не будет. EVPN/VXLAN со своими камнями (типа того, что на одном порту не может быть "обычных" вланов и vxlan).

Если найдете человека с доступом к разделу скачивания на сайте или найдете нужную версию на торрентах - проблем с обновлением не будет.

С QinQ тоже не все так просто, как и с *STP: то сломают, то починят, то что-то новое завезут, то наткнетесь на странности логики(типа того, что qinq access может быть только на не-номерном vlan, хотя вроде бы в последних релизах на эту тему что-то крутили).

В целом по логике оно больше напоминает очень странный роутер. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

QFX5100 построен на чипсете Trident2, на нем же построены Nexus 3132, Force10 S6000 и тому подобные свитчи. Trident 2 в свою очередь - усовершенствованный Trident+ на котором построены QFX3500, Nexus 3064, Force10 S4810. Чудес от железа ждать не стоит, буферы сравнительно с маршрутизаторами очень маленькие, количество маршрутов ограничено, свитчи больше подходят для коммутации/маршрутизации трафика на больших скоростях чем для высокотехнологичных фич. Хотя JunOS по многим фичам обгоняет Nexus и тем более Force10 (насколько знаю на Нексусах 3000 серий поддержка MPLS очень базовая), многие ограничение типа количества MPLS меток вытекают из ограничений чипсета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если сравнивать EX4600 и QFX5100?

Они довольно похожи.... Правда ценник EX4600 повыше точно....

 

Может это не в эту тему, но есть еще HPE 5920AF-24XG Switch (JG296A).....

Изменено пользователем mmajorov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, mmajorov сказал:

А если сравнивать EX4600 и QFX5100?

 

железо одинаковое , софт немного отличается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти