demoss Опубликовано 24 марта, 2013 · Жалоба Доброго времени суток уважаемые форумчане. Недавно перешел работать в МО РК и наводить порядок в той катастрофе что у них творилась. Привел серверную стойку в божеский вид, занялся сетью и взял juniper srx240h. - До меня был натворен бред из маршрутизавторов, кучи свитчей вланов и прочего, после трех месяцев разбирательств и небольшой реконструкции получил в итоге следующую картину по входу: - incoming cord -----------------------------------------> port ge-0/0/0 [ isp1 ] - IP: 178.19.242.225 IP: 178.19.242.226 NM: 255.255.255.248 GW: 178.19.242.230 +++++++++++++++++++++++++ incoming cord ----------------------------------------------> port ge-0/0/1 [ isp1 ] - IP: 178.19.246.153 IP: 178.19.246.154 IP: 178.19.246.155 IP: 178.19.246.156 NM: 255.255.255.248 GW: 178.19.246.158 ====================================================== incoming cord ----------------------------------------------> port ge-0/0/2 [ isp2 ] - IP: 217.77.50.129 IP: 217.77.50.130 IP: 217.77.50.131 NM: 255.255.255.248 GW: 217.77.50.135 --------------------------------------------------------- - До сего момента с входящими пулами статики не работал ( максимум 1-2 адреса разводил ) Циски pix506e \ 2811 перенастроил на раздачу юзерам нета с исп2 а исп 1 завел на джунипер Почитал мануалы http://www.juniper.n.../3500153-en.pdf и http://kb.juniper.ne...AT_Examples.pdf - Создал следующий конфиг в течении ночного периода времени ( конфиг - аля циско http://pastebin.com/f7PY9XBv ) ( конфиг по-джуниперски http://pastebin.com/6d3XQ0rP ) Пока наконфигурировал с целью получения интернета в сети серверов ( 11 подсеть lAN ) Вот тут можно посмотреть примерно что хочется ( http://pastebin.com/qi0QMfRJ ) Со стороны простоты можно было бы воткнуть все 3 провода в свитч и уже с него настроить 9 портов джунипера каждый на свой адрес белый ( пров дает в таком виде, без возможностей бгп или вланов ) Однако очень жалко тратить на такие вещи лишних 6 портов. Я почитал мануалы и поспрашивал у американских товарищей - посоветовали заводить пулами по портам. Конфиг создалл, но терзают сомнения в верности. Америкосы молчат, спросить неукого, вариантов конфига было перепробовано штук 40, сейчас добился того что трасерт из виндового клиента видит конечную точку, но что до интернета - не может отобразить страницу. Берут сомнения в статик роуте, но с этим буду разбираться, так как нужно пока на сервак дать интернет а потом уже D-NAT заниматься. Еще прокси арп мучает. - Может у профессионалов есть какие-нибудь другие советы по настройке или варианты получше для создания более надежного и гибкого конфига ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
demoss Опубликовано 27 марта, 2013 · Жалоба Ну что ж, после того как удалось выспаться и свежей головой взглянуть на проделанную работу, удалось заметить ошибки. После исправления оных получился рабочий конфиг, готовый к усложнению http://pastebin.com/6d3XQ0rP - Осталось разобраться - как ввести второго ISP в эту схему. VR использовать или иначе как то ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 27 марта, 2013 · Жалоба Использовать BGP (наилучший вариант),вприципе эта железка может даже переварить FV, на крайний случай отфильтровать все кроме дефолта и сделать что-то вроде } policy-statement per-flow-load-balancing { term balance { then { load-balance per-packet; } } } http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/routing/index.html?topic-46941.html Или использовать PBR. С ним немного больше проблем. Вот ссылка на форум. http://forums.juniper.net/t5/SRX-Services-Gateway/filter-based-forwarding-question/m-p/27786 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
demoss Опубликовано 27 марта, 2013 · Жалоба NikBSDOpen Для использования варианта с бгп - мне обязательно нужно будет запросить номер автономной системы у провайдера ?Или можно указать что то свое ? Почему нельзя использовать VR ? неуместно или невозможно ? 1й провайдер адекватный но долгий - а второй провайдер хоть и с хорошим каналом, но на всю голову больной. даже для Министерства образования не делает все просто так. -Еще провайдеры не дружат между собой и сеть каждого закрыта от врага. идея с резервным каналом в нет в случае падения основного тоже меня беспокоит. Как водрузить эту конструкцию на всю эту конфигурацию ? еще вопросик. Можно ли используя порт как фамили интернет-свитч присоединить его к вилану в который будет входить группа влан интерфейсов, которым назначены статические адреса из пула и потом строить маршрутизацию и управление трафиком при помощи них ? Или такое решение не возможно или несет в себе кучу проблем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 28 марта, 2013 · Жалоба Для использования варианта с бгп - мне обязательно нужно будет запросить номер автономной системы у провайдера ?Или можно указать что то свое ? Нужно получить свою AS и свой блок PI адресов. Почему нельзя использовать VR ? неуместно или невозможно ? Ну конечно можно, 240H поддерживает 64 Виртуальный маршрутизатора. Весь вопрос в целесообразности (кому как удобней). идея с резервным каналом в нет в случае падения основного тоже меня беспокоит. Как водрузить эту конструкцию на всю эту конфигурацию ? Если нет BGP, можно использовать PBR, но тут возникает вопрос, каким образом это все реализовывать. Либо по сетям, либо по портам. Может оказаться так, что половина сервисов будет недоступно, при падении одного из аплинков. С другой стороны, что Вам мешает использовать MIP (A mapped IP) на интерфейсах с /32 сеткой и натить каждый vlan на этот IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...