Меню

Juniper srx240 настройка nat



ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Разбиение сети на подсети: VLSM

Прокси сервер – что это, виды и зачем нужен?

7 частых проблем с сетью и как их быстро решить

Интересное про QoS | Качество обслуживания

Маршрутизатор. Коммутатор. Хаб. Что это и в чем разница?

И еще про Модель OSI (Open Systems Interconnect)

Проблемы и решения транспортировки данных

Snom 760

Еженедельный дайджест

Базовая настройка коммутатора Juniper

Минимальная настройка свича

Компания Juniper является очень крупным производителем сетевого оборудования в мире — после Cisco and Huawei. После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

  • Настройка сетевого интерфейса
  • Настройка QoS (качество обслуживания)
  • Virtual Chassis (объединение коммутаторов)
  • Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора. Его конфигурация осуществляется с помощью следующих строк кода:

Где: Em0 — физический интерфейс, а Family inet — позволяет выбрать протокол интерфейса. Команда «show» позволит из Configuration Mode проверить результат вашей настройки:

Теперь примените настройки с помощью следующей команды:

С помощью команды ping осуществим проверку конфигурации:

Необходимо задать дуплекс на интерфейсе:

Примечание: L2 — устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию. Конфигурация L3 включает большее число параметров за счет расширенного функционала.

Настройка Virtual Chassis

После правильной настройки интерфейса, следует перейти к объединению коммутаторов, которое позволит облегчить управление устройствами, а также повысить надежность работы сети, за счет взаимозаменяемости устройств. Следует отметить, что коммутаторы Juniper не имеют отдельным порт VCP, поэтому придется настраивать обычный интерфейс в качестве VCP.

Конфигурация VCP вручную:

Включите все коммутаторы, также вам понадобятся их заводская маркировка, которую следует записать. Для примера используем следующие:

Включите коммутатор, который будет выполнять функцию master switch, после чего сделайте сброс настройка с помощью следующей строки кода:

Перезагрузив систему, выполните следующие строки:

Активируем preprovisioned configuration mode:

Вносим серийные номера оборудования:

Проверьте результат, с помощью следующей строки:

Обнулите конфигурацию и включайте остальные коммутаторы:

Раздел virtual-chassis в конфигурации должен быть пустой, а для подстраховки, используйте команду:

Настроим порты VCP для каждого коммутатора. Для данного примера, соедините коммутаторы портами ge-0/0/0 и ge-0/0/1 соответственно. Теперь задайте эти строки кода на каждом из коммутаторов:

Теперь два коммутатора объединились, проверить можно с помощью команды:

Если вы захотите добавить дополнительных участников к virtual-chassis, вам будет необходимо очистить конфигурацию нового коммутатора:

Если есть, их надо удалить с командой:

Внесите серийный номер дополнительного устройства:

Настройка портов VCP в новом коммутаторе, в котором мы соединяем следующими портами — ge-0/0/0 и ge-0/0/1:

Теперь проверьте их наличие:

НастройкаQoS

Технология QoS используется для распределение используемого трафика и ранжирование на классы с различным приоритетом. Технология необходима для увеличения вероятности пропускания трафика между точками в сети.

Сейчас мы рассмотрим деление потока трафика с приоритетом на ip-телефонию и видеоконференцсвязь на коммутаторе и использованием настроек по умолчанию class-of-service (CoS).

Допустим, что ip-телефоны подключены к коммутатору, а для маркировки ip-пакетов от ip-PBX и других ip-телефонов используются следующие показания DSCP:

  • 46 — ef — медиа (RTP)
  • 24 — cs3 — сигнализация (SIP, H323, Unistim)
  • 32 — cs4 — видео с кодеков (RTP)
  • 34 — af41 — видео с телефона, софтового клиента, кодека (RTP)
  • 0 — весь остальной трафик без маркировки.

DSCP — является самостоятельным элементом в архитектуре сети, описывающий механизм классификации, а также Обеспечивающий ускорение и снижение задержек для мультимедийного трафика. Используется пространство поля ToS, являющийся компонентом вспомогательным QoS.

Читайте также:  Watch dogs 2 настройки русского языка

Теперь требуется dscp ef и af отнести к необходимым внутренним классам expedited-forwarding и assured-forwarding. За счет конфигурации classifiers, появляется возможность создания новых классов.

Наименования можно выбрать произвольно, но а процент выделенных буферов — в соответствии с необходимостью. Ключевым приоритетом работы QoS является определение трафика с ограничением пропускающей полосы в зависимости от потребности в ней.

Шедулеры сопоставляются в соответствии с внутренними классами, в результате которого scheduler-map и classifier необходимо применяется ко всем интерфейсам, используя и описывая их в качестве шаблона.

К интерфейсу возможно применять специфические настройки, подразумевающие возможность написания всевозможных scheduler и scheduler-maps для различных интерфейсов.

Конечная конфигурация имеет следующий вид:

Перед использованием данной настройки, проверьте командой commit check. А при наличии следующей ошибки, следует учесть следующее:

В итоге мы не можем указать приоритет «strict-high» только для 5-ой очереди, когда у 7-ой останется приоритет «low«. При этом можно решить проблему следующим образом: настроить для network-control приоритет «strict-high«.

Применив конфигурацию, определенный процент фреймов в очередях будет потеряна. Требуется обнулить счетчики, проверить счетчики дропов через некоторое время, где переменные значения не равны нулю.

При росте счетчиков дропа в конфигурации есть ошибка. Если вы пропустили описание в class-of-service interfaces шаблоном или в явном виде, то трафик в классах со стопроцентной вероятностью дропнется. Правильная работа выглядит следующим образом:

Переход к заводским настройкам

Если вам избавится от вашей конфигурации, которая работает некорректно вы можете сбросить настройки до заводских параметров. Советуем использовать данную функции, предусмотренную производителем оборудования, в случае реальной сложности в поиске ошибки, выполнив конфигурацию заново, вы можете заметно сэкономить свое время. Самый простой способ, это ввод следующей команды:

После ввода команды, система оповестит Вас о том, что в данный момент будет осуществлена активация заводских настроек по умолчанию. А с помощью привычной команды «commit» активируем настройки и перезагружаемся. Мы рассмотрели базовые настройки коммутаторов Juniper, позволяющих создание надежной и гибкой сети для различных нужд.

Было полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник

Примеры конфигурации Junos настройка NAT на Juniper SRX

Здесь описывается настройка трансляции сетевых адресов (NAT) на шлюзе служб Juniper SRX для использовать в общих сетевых сценариях. Предполагается, что Вы уже знакомы с концепциями и терминологией NAT используемый на устройствах Juniper:

Настройка пулов адресов для NAT

В этом разделе показана конфигурация для создания различных типов источников NAT-пулов. Пулы, созданные в этих примерах будут использоваться в правилах NAT последующих примеров конфигурации. Выполняется вся конфигурация под иерархией «источник безопасности» в CLI Junos. По умолчанию все пулы источников IP будут включены. Пулы источников без PAT можно настроить, отключив PAT в пуле IP. Пулы IP не привязаны к интерфейсу. Прокси-сервер ARP должен быть настроен для того, чтобы устройство отвечало на ARP для адресов в пуле IP.

1. Настройка пула источников с диапазоном адресов и перевода порта:

2. Настройка пула источников с отключенным диапазоном адресов и перевода порта:

3. Настройка пула источников с диапазоном адресов с отключением порта с использованием пула переполнения. Пулы переполнения используются в качестве резерва в случае, если пул источников без PAT исчерпывает свободные IP-адреса. Пулы переполнения могут быть пулами источников IP с PAT или интерфейсом:

4. Настройка пула источников с одним адресом и переносом порта:

5. Настройка пулаисточников с диапазоном для IP-адреса и номеров портов:

Настройка NAT с использованием интерфейса IP

В этом примере весь трафик из зоны trust в зону untrust преобразуется в выходной интерфейс, интерфейс ge-0/0/2 IP
адрес.

Настройка NAT с использованием пула IP-адресов

В этом примере весь трафик из зоны trust в зону untrust переводится в исходный пул IP «src-nat-pool-1».

Настройка NAT с использованием нескольких правил

1. Трафик из подсети 10.1.1.0/24 и 10.1.2.0/24 переводится в пул src-nat-pool-1.
2. Трафик из подсети 192.168.1.0/24 переводится в пул src-nat-pool-2.
3. Трафик с хоста 192.168.1.250/24 освобождается NAT.

Читайте также:  Настройки cura для ultimaker


Destination NAT

Перевод нескольких адресов на несколько

1. Трафик до пункта назначения 1.1.1.100 переведен на 192.168.1.100
2. Трафик на пункт назначения 1.1.1.101 на порт 80 переводится на 192.168.1.200, а порт 8000
Реальный IP-адрес и номера портов хостов настраиваются как целевой IP-пул. Прокси-ARP должен быть настроен для того, чтобы устройство отвечало на ARP для адресов в пуле IP.
Должны быть созданы политики безопасности, позволяющие трафик от untrust зоны до зоны trust. Поскольку назначения правил NAT назначения оцененный до политики безопасности, адреса, указанные в политике безопасности, должны быть реальным IP-адресом.


Перевод одного адреса на несколько

1. Трафик до пункта назначения 1.1.1.100 на порту 80 переводится на 192.168.1.100 и порт 80.
2. Трафик до пункта назначения 1.1.1.100 на порту 8000 переведен на 192.168.1.200 и порт 8000.


Двойной NAT

Перевод исходного адреса и адреса назначения

В этом примере передается исходный и целевой IP-адрес пакета. Хост назначения 10.1.1.100 является доступом к источнику 192.168.1.3 с использованием IP-адреса 1.1.1.100. Когда пакет обходит устройство SRX, IP-адреса источника и назначения.


Приведенная выше политика безопасности позволяет обеспечить доступ всех исходящих из зоны trust в зону untrust. В результате сервер имеет доступ к которому осуществляется посредством переведенного или не транслируемого адреса.

Политику безопасности можно изменить, чтобы разрешить доступ к серверу только через переведенный адрес. Ключевое слово “dropuntranslated” выведет весь трафик на целевой адрес 10.1.1.100. Это ограничит доступ к серверу с помощью адресf назначения 1.1.1.100.

Статический NAT

В этом примере хосту 192.168.1.200 присваивается статическое отображение NAT на IP-адрес 1.1.1.200. Любой трафик на адрес назначения 1.1.1.200 будет переведен на 192.168.1.200. Любые новые сеансы, происходящие из хоста 192.168.1.200 будет иметь исходный IP-адрес пакета, переведенного в 1.1.1.200.

Источник

Начальная настройка Juniper SRX

Консоль можно подключить как через COM-порт, так и через mini-USB, используя драйвера:
juniper_windows_7_10_64bit.zip
juniper_windows_xp_7_32bit.zip

  • Если нажать кнопку Reset config и сразу же её отпустить, то будет загружена rescue configuration
  • Если нажать кнопку Reset config и удерживать её в течение 15 секунд, то будет загружена factory-default settings
    После этого система будет перезагружена и можно будет зайти под root и пустым паролем.

Root Password recover

Это может пригодиться в случае если забыли пароль рута.

  1. Подключаемся консолью и ребутаем девайс по питанию
  2. В процессе загрузки, когда появятся «крутилки» жмем несколько раз на пробел
  3. Загружаемся в single-user mode
  4. Когда спросят вводим recovery
  5. Устанавливаем рутовый пароль:
  6. Делаем Exit и система попросится ребутнуться.

Перезагрузка

Если горит ALARM

Причину alarm можно посмотреть через команду:

Часто висит ошибка:
Major Host 0 fxp0 : Ethernet Link Down
Ошибка о том, что management interface в дауне.

Она лечится через:

Обновление ОС

Базовая настройка

set system host-name jun100
set system time-zone GMT-3

Default Gateway

set routing-options static route 0.0.0.0/0 next-hop 46.28.95.129

Заведение пользователя

Заведём пользователя с правами администратора.

После последней команды система запросит пароль.

Запрет на root login

Поскольку теперь у нас уже есть пользователь админ, лучше отключить root, т.к. возможен подбор пароля из-вне.

set system ntp boot-server 0.ru.pool.ntp.org
set system ntp server 79.111.152.13
set system ntp server 213.141.154.170
set system ntp server 37.139.41.250
set system ntp server 185.22.60.71

Проверка:
show ntp associations

show ntp status

show system uptime

show log messages | match ntp

snmp <
description JUN100;
location Moscow;
contact Vladimir;
community public <
authorization read-write;
clients <
192.168.2.49/32;
192.168.0.0/16;
>
>
>
Здесь Public = Comunity.
SNMP должно подхватываться через PRTG, SNMP Traffic.

Рассмотрим случай, когда на интерфейсах VLAN у нас будут висеть адреса:
vlan.100 up down inet 10.0.100.1/24
vlan.200 up up inet 10.0.200.1/24

Тогда настройки DHCP для обоих VLAN будут:

Проверка

user@host# set system services dhcp traceoptions file dhcp.dbg
user@host# set system services dhcp traceoptions flag all

Работа с логами

Кеширующий DNS Server

Здесь vlan.0 и vlan.100 — интерфейсы, с которых он принимает запросы.
gw-jsrx240.HOME.local inet 172.16.1.1 — статическая запись.

Проверка:
show system services dns-proxy statistics
show system services dns-proxy cache
clear system services dns-proxy cache

Обновление Junos Software

  • Проверяем текущую версию Junos Software

Наш файл обновления имеет вид:
junos-srxsme-12.3X48-D60.2-domestic.tgz

Читайте также:  Все содержимое и настройки будут стерты

Сохраним текущую конфигурацию:

Проверяем свободное место на Flash и удаляем лишнее:
Check current Flash size:

Проверяем папку tmp и удаляем всё лишнее:

Установка без копирования по FTP:

Для SRX100b подошла только версия: junos-srxsme-12.1X46-D72.2-domestic.tgz

Во время копирования на экране не видно что что-то происходит, проверить это можно через:
monitor traffic interface vlan.0 | match 254.35

Либо установка с копированием по FTP ( не прошла, не хватало места)

Прошло на SRX345 с SCP:
file copy scp://vs@10.253.10.50/junos-srxsme-15.1X49-D130.6-domestic.tgz /var/tmp/junos-srxsme-15.1X49-D130.6-domestic.tgz
file list /var/tmp/
request system software add no-copy /var/tmp/junos-srxsme-15.1X49-D130.6-domestic.tgz

  • Перезагрузка
  • После перезагрузки проверяем версию:

    Работа с Zones и с Policies

    Каждый интерфейс должен принадлежать зоне.
    В одной зоне может находиться более одного интерфейса и значит более одной подсети.
    По умолчанию трафик между зонами запрещен и может разрешаться между парами зон.
    Если в зоне находятся более одного интерфейса, трафик между ними также необходимо разрешить.

    Проверка Zones

    С точки зрения зон важно какие интерфейсы прикручены к зонам.
    Это нам позволит определить между какими зона ходит наш трафик.

    Проверка Policies

    Вообще следует настроить дефолтную глобальную политику, запрещающую весь трафик и пишущую логи.
    Такая политика срабатывает лишь в случае если ни одно из правил основных политик не сработало.

    Далее мы включаем логи:

    И можем мониторить или просматривать что получилось:
    show log default-log-messages
    monitor start default-log-messages

    После этого можно посмотреть что творится на данной паре зон:
    show security policies from-zone zone-200 to-zone trust
    show security flow session

    Restrict Console access

    самое простое — просто разрешить SSH:

    Но в этом случае любой желающий может подключиться к SSH и подбирать пароль.

    Тогда можно сделать следующее:

    Здесь, в конце добавлено запрещающее правило, иначе всё разрешается.
    Интересно, что в этом случае не срабатывает общее запрещающее правило типа:

    Source NAT

    Публикование сервера 80 порт

    Проверка NAT

    Show

    Дополнительно
    В случае, если NAT не работает для данной подсети, правила трансляции будут пусты:

    В случае, если NAT не работает для данной подсети, flow session покажет сессии без трансляций. Т.е. ответ снаружи ожидается на адрес источника.

    Если NAT нормально работает, ответ от внешних хостов будет адресован на внешний адрес нашего роутера:

    Ограничение доступа по SSH

    Суть подобного ограничения — поставить его на интерфейс lo0.

    Проверка:
    clear firewall log
    show firewall log

    Мы увидим блокированные попытки доступа:

    Сохранение Rescue Configuration

    Поскольку мы получили рабочий и несложный конфиг, его можно сохранить как Rescue Configuration.
    Rescue Configuration — это конфигурация, к которой мы можем вернуться в любое время, это избавляет от необходимости помнить порядковый номер для rollback command.

    Сохранение Rescue Configuration

    Восстановление до Rescue Configuration

    либо нажать кнопку Reset config и сразу же её отпустить, то будет загружена rescue configuration.
    Если изначально у нас все индикаторы были зелёными:

    Сразу после нажатия Status станет оранжевым, и начнется применение Rescue Configuration

    После успешного применения Status опять станет зелёным.

    Сохранение конфигурации

    Проще всего это сделать через WinSCP
    — current and previous 0 to 3 configurations: В папке /config. Тут текущий конфиг будет файл juniper.conf.gz
    — 4 to 49 configurations: В папке /var/db/config

    Данный файл(ы) можно забрать через WinSCP

    Сохранение конфигурации

    Проще всего это сделать через WinSCP
    — current and previous 0 to 3 configurations: В папке /config. Тут текущий конфиг будет файл juniper.conf.gz
    — 4 to 49 configurations: В папке /var/db/config

    Сохранение конфигурации

    Проще всего это сделать через WinSCP
    — current and previous 0 to 3 configurations: В папке /config. Тут текущий конфиг будет файл juniper.conf.gz
    — 4 to 49 configurations: В папке /var/db/config

    Данный файл(ы) можно забрать через WinSCP

    Аварийное восстановление.

    Тестировалось на Juniper SRX 345.
    Предположим мы полностью потеряли конфигурацию, но у нас есть сохранённый фал конфигурации.

    Для аварийного восстановления мы будем использовать ноутбук, куда мы скопируем сохранённый фал конфигурации.
    Установим на ноут SCP Server от Solarwinds:
    http://ciscomaster.ru/content/juniper-i-server-scp

    Помещаем сохранённый фал конфигурации в папку c:\\SFTP_Root

    Подключаем ноутбук к management port fxp0.
    Даём конфиг на fxp0

    На ноут вешаем 192.168.1.2/24

    Запускаем SCP Server.

    Вопросы

    — Для NAT нет трейса
    — Почему то не отрабатывает (не видит трафика) monitor traffic interface vlan.100

    Определяем на каком интерфейсе находится определенный ip

    Источник

  • Adblock
    detector