Jump to content
Калькуляторы

SRX240H и совет. Лучшая реализация подключения Настройка идет тяжело, нужен совет

Доброго времени суток уважаемые форумчане.

Недавно перешел работать в МО РК и наводить порядок в той катастрофе что у них творилась.

Привел серверную стойку в божеский вид, занялся сетью и взял juniper srx240h.

-

До меня был натворен бред из маршрутизавторов, кучи свитчей вланов и прочего, после трех месяцев разбирательств и небольшой реконструкции

получил в итоге следующую картину по входу:

-

incoming cord -----------------------------------------> port ge-0/0/0 [ isp1 ]

-

IP: 178.19.242.225

IP: 178.19.242.226

NM: 255.255.255.248

GW: 178.19.242.230

+++++++++++++++++++++++++

incoming cord ----------------------------------------------> port ge-0/0/1 [ isp1 ]

-

IP: 178.19.246.153

IP: 178.19.246.154

IP: 178.19.246.155

IP: 178.19.246.156

NM: 255.255.255.248

GW: 178.19.246.158

======================================================

incoming cord ----------------------------------------------> port ge-0/0/2 [ isp2 ]

-

IP: 217.77.50.129

IP: 217.77.50.130

IP: 217.77.50.131

NM: 255.255.255.248

GW: 217.77.50.135

---------------------------------------------------------

-

До сего момента с входящими пулами статики не работал ( максимум 1-2 адреса разводил )

Циски pix506e \ 2811 перенастроил на раздачу юзерам нета с исп2 а исп 1 завел на джунипер

Почитал мануалы http://www.juniper.n.../3500153-en.pdf и http://kb.juniper.ne...AT_Examples.pdf

-

Создал следующий конфиг в течении ночного периода времени ( конфиг - аля циско http://pastebin.com/f7PY9XBv ) ( конфиг по-джуниперски http://pastebin.com/6d3XQ0rP )

Пока наконфигурировал с целью получения интернета в сети серверов ( 11 подсеть lAN )

 

Вот тут можно посмотреть примерно что хочется ( http://pastebin.com/qi0QMfRJ )

Со стороны простоты можно было бы воткнуть все 3 провода в свитч и уже с него настроить 9 портов джунипера каждый на свой адрес белый ( пров дает в таком виде, без возможностей бгп или вланов )

Однако очень жалко тратить на такие вещи лишних 6 портов. Я почитал мануалы и поспрашивал у американских товарищей - посоветовали заводить пулами по портам. Конфиг создалл, но терзают сомнения в верности.

Америкосы молчат, спросить неукого, вариантов конфига было перепробовано штук 40, сейчас добился того что трасерт из виндового клиента видит конечную точку, но что до интернета - не может отобразить страницу.

Берут сомнения в статик роуте, но с этим буду разбираться, так как нужно пока на сервак дать интернет а потом уже D-NAT заниматься.

Еще прокси арп мучает.

-

Может у профессионалов есть какие-нибудь другие советы по настройке или варианты получше для создания более надежного и гибкого конфига ?

1.jpg

20130324_004728.jpg

20130324_004749.jpg

new net ENt.jpg

Share this post


Link to post
Share on other sites

Ну что ж, после того как удалось выспаться и свежей головой взглянуть на проделанную работу, удалось заметить ошибки.

 

После исправления оных получился рабочий конфиг, готовый к усложнению

 

http://pastebin.com/6d3XQ0rP

 

-

 

Осталось разобраться - как ввести второго ISP в эту схему. VR использовать или иначе как то ?

 

 

Share this post


Link to post
Share on other sites

Использовать BGP (наилучший вариант),вприципе эта железка может даже переварить FV, на крайний случай отфильтровать все кроме дефолта и сделать что-то вроде

}

policy-statement per-flow-load-balancing {

term balance {

then {

load-balance per-packet;

}

}

}

http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/routing/index.html?topic-46941.html

Или использовать PBR. С ним немного больше проблем.

Вот ссылка на форум.

http://forums.juniper.net/t5/SRX-Services-Gateway/filter-based-forwarding-question/m-p/27786

Share this post


Link to post
Share on other sites

NikBSDOpen Для использования варианта с бгп - мне обязательно нужно будет запросить номер автономной системы у провайдера ?Или можно указать что то свое ?

 

 

Почему нельзя использовать VR ? неуместно или невозможно ?

 

 

1й провайдер адекватный но долгий - а второй провайдер хоть и с хорошим каналом, но на всю голову больной. даже для Министерства образования не делает все просто так. -Еще провайдеры не дружат между собой и сеть каждого закрыта от врага.

 

 

идея с резервным каналом в нет в случае падения основного тоже меня беспокоит. Как водрузить эту конструкцию на всю эту конфигурацию ?

 

 

 

еще вопросик. Можно ли используя порт как фамили интернет-свитч присоединить его к вилану в который будет входить группа влан интерфейсов, которым назначены статические адреса из пула и потом строить маршрутизацию и управление трафиком при помощи них ? Или такое решение не возможно или несет в себе кучу проблем?

Share this post


Link to post
Share on other sites

Для использования варианта с бгп - мне обязательно нужно будет запросить номер автономной системы у провайдера ?Или можно указать что то свое ?

Нужно получить свою AS и свой блок PI адресов.

 

Почему нельзя использовать VR ? неуместно или невозможно ?

 

Ну конечно можно, 240H поддерживает 64 Виртуальный маршрутизатора. Весь вопрос в целесообразности (кому как удобней).

 

идея с резервным каналом в нет в случае падения основного тоже меня беспокоит. Как водрузить эту конструкцию на всю эту конфигурацию ?

 

Если нет BGP, можно использовать PBR, но тут возникает вопрос, каким образом это все реализовывать. Либо по сетям, либо по портам. Может оказаться так, что половина сервисов будет недоступно, при падении одного из аплинков.

 

С другой стороны, что Вам мешает использовать MIP (A mapped IP) на интерфейсах с /32 сеткой и натить каждый vlan на этот IP?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this