форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Juniper 2320 и интернет"	+/–
Сообщение от vigogne (ok) on 25-Янв-12, 21:13
Коллеги, подскажите плиз, совсем меня одолело это творение буржуйской мысли под названием Juniper! Есть объект, где ютятся несколько родственных, в общем-то офисов, но тем не менее, есть необходимость их разделить, но дать доступ к Интернет, подключенный через ADSL и сетке управления, которая подключена через двухмегабитный L3VPN канал. Ядром выбран (не нами) Juniper J2320, на доступе Cisco Catalyst 2960. Пока все сидят в одном VLAN 30, получают адреса от DHCP каталиста, который отдает default-route на ADSL-модем, а через option 249 и 251 отдает маршруты на сеть управления. Когда пришла пора всех разделить (виланы созданы давно), переписываю адрес у ADSL-модема, втыкаю его в fe-0/0/2, переписываю маршруты. С джуника все прекрасно пингуется (и интернет и управа). С компов пингуется только управа, интернет глохнет намертво.  Default-policy выставил пока permit all. Вот конфиг интерфейсов, виланов и роутинга: interfaces {     description UPRAVA;     ge-0/0/0 {         unit 0 {             family inet {                 address 172.16.1.6/30;             }         }     }     ge-0/0/1 {         vlan-tagging;         unit 10 {             description obj_MR1;             vlan-id 10;             family inet {                 address 10.45.130.1/28;             }         }         unit 11 {             description obj_1;             vlan-id 11;             family inet {                 address 10.45.131.1/28;             }         }         unit 12 {             description obj_2;             vlan-id 12;             family inet {                 address 10.45.132.1/28;             }         }         unit 13 {             description obj_3;             vlan-id 13;             family inet {                 address 10.45.133.1/28;             }         }         unit 20 {             description VOICE_MR1;             vlan-id 20;             family inet {                 address 10.45.130.17/28;             }         }         unit 21 {             description VOICE_1;             vlan-id 21;             family inet {                 address 10.45.131.17/28;             }         }         unit 22 {             description VOICE_2;             vlan-id 22;             family inet {                 address 10.45.132.17/28;             }         }         unit 23 {             description VOICE_3;             vlan-id 23;             family inet {                 address 10.45.133.17/28;             }         }         unit 30 {             description LAN_MR1;             vlan-id 30;             family inet {                 address 10.45.130.33/27;             }         }         unit 31 {             description LAN_1;             vlan-id 31;             family inet {                 address 10.45.131.33/27;             }         }         unit 32 {             description LAN_2;             vlan-id 32;             family inet {                 address 10.45.132.33/27;             }         }         unit 33 {             description LAN_3;             vlan-id 33;             family inet {                 address 10.45.133.33/27;             }         }         unit 129 {             description obj_29;             vlan-id 129;             family inet {                 address 10.45.159.1/28;             }         }         unit 229 {             description VOICE_29;             vlan-id 229;             family inet {                 address 10.45.159.17/28;             }         }         unit 329 {             description LAN_29;             vlan-id 329;             family inet {                 address 10.45.159.33/27;             }         }     }     ge-0/0/2 {         description Internet;         }         unit 0 {             description Internet;             family inet {                 address 192.168.255.253/30;             }         }     } } routing-options {     static {         route 10.0.0.0/8 next-hop 172.16.1.5;         route 172.16.1.0/24 next-hop 172.16.1.5;         route 0.0.0.0/0 next-hop 192.168.255.254;     } } Сделал зону:         security-zone INET {             address-book {                 address INET 0.0.0.0/0;             }             host-inbound-traffic {                 system-services {                     all;                 }                 protocols {                     all;                 }             }             interfaces {                 ge-0/0/2.0;             }         } и пока для проверки одну полиси:         from-zone OFFICE-1 to-zone INET {             policy OFFICE-1toINET {                 match {                     source-address 10.45.130.32/27;                     destination-address any;                     application any;                 }                 then {                     permit;                 }             }         } чтобы не мешал DHCP выставляю адрес компа вручную например 10.45.130.35/27 и шлюз 10.45.130.33, втыкаюсь в порт с VLAN 30 и пингую все диапазоны: управа пингуется нормально, а инет глохнет. Трейс показывает, что глохнет после джуника. Весь конфиг перешерстил на десять рядов, скорее всего дело в политиках, но вроде же все разрешил. Выручайте!!!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Juniper 2320 и интернет"	+/–
Сообщение от fantom (ok) on 26-Янв-12, 10:45
>[оверквотинг удален] >             > } >         } > чтобы не мешал DHCP выставляю адрес компа вручную например 10.45.130.35/27 и шлюз > 10.45.130.33, втыкаюсь в порт с VLAN 30 и пингую все диапазоны: > управа пингуется нормально, а инет глохнет. Трейс показывает, что глохнет после > джуника. > Весь конфиг перешерстил на десять рядов, скорее всего дело в политиках, но > вроде же все разрешил. > Выручайте!!! А причем итут джуник-то???? 1. МОДЕМ который роутер знает о ваших сетях за джуником или нет? 2. умеет ли мопед сей натить НЕ подключенные к нему сети??? подавляющее большинство НЕ умеет:) (по крайней мере не умело еще пару лет назад) т.е. если у мопеда на LAN-е 192.168.0.1/24 , а к нему приходит пакет с src 10.0.0.12 то он его в НАТ не зарулит :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Juniper 2320 и интернет"	+/–
	Сообщение от vigogne (ok) on 26-Янв-12, 11:52
	>>[оверквотинг удален] > А причем итут джуник-то???? > 1. МОДЕМ который роутер знает о ваших сетях за джуником или нет? > 2. умеет ли мопед сей натить НЕ подключенные к нему сети??? подавляющее > большинство НЕ умеет:) (по крайней мере не умело еще пару лет > назад) > т.е. если у мопеда на LAN-е 192.168.0.1/24 , а к нему приходит > пакет с src 10.0.0.12 то он его в НАТ не зарулит > :) Мопедороутеру само собой, сразу же выставил статический маршрут 10.0.0.0/8 на LAN-интерфейс. Но таки да, это самый дешевый D-Link, подаренный провом при подключении, поэтому может и не поддерживать. Как-то я об этом не подумал. Тогда выход может быть такой: модем ставлю бриджем, а PPPoE поднимаю на джунике. Завтра попробую, как раз туда поеду. К сожалению, прошлый мой опыт поднятия PPPoE-сессии на железе Juniper был крайне негативным. Но это было с другим провайдером и на другой железке (SRX100), так что буду надеяться на лучшее.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Juniper 2320 и интернет"	+/–
	Сообщение от fantom (ok) on 26-Янв-12, 12:28
	>[оверквотинг удален] >> пакет с src 10.0.0.12 то он его в НАТ не зарулит >> :) > Мопедороутеру само собой, сразу же выставил статический маршрут 10.0.0.0/8 на LAN-интерфейс. > Но таки да, это самый дешевый D-Link, подаренный провом при подключении, > поэтому может и не поддерживать. Как-то я об этом не подумал. > Тогда выход может быть такой: модем ставлю бриджем, а PPPoE поднимаю на > джунике. Завтра попробую, как раз туда поеду. К сожалению, прошлый мой > опыт поднятия PPPoE-сессии на железе Juniper был крайне негативным. Но это > было с другим провайдером и на другой железке (SRX100), так что > буду надеяться на лучшее. И попробуйте без секурити зон, как "чистый" роутер - без политик и прочих наворотов.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Juniper 2320 и интернет"	+/–
	Сообщение от vigogne (ok) on 26-Янв-12, 12:31
	>>[оверквотинг удален] > И попробуйте без секурити зон, как "чистый" роутер - без политик и > прочих наворотов. А ведь можно еще сделать NAT на порту джуника, подключенном к модемороутеру. Вот только не знаю, как реализовать...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Juniper 2320 и интернет"	+/–
	Сообщение от fantom (ok) on 26-Янв-12, 12:43
	>>>[оверквотинг удален] >> И попробуйте без секурити зон, как "чистый" роутер - без политик и >> прочих наворотов. > А ведь можно еще сделать NAT на порту джуника, подключенном к модемороутеру. > Вот только не знаю, как реализовать... http://www.juniper.net/techpubs/software/junos-security/juno... Не поможет?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Juniper 2320 и интернет"	+/–
	Сообщение от vigogne (ok) on 31-Янв-12, 19:12
	> http://www.juniper.net/techpubs/software/junos-security/juno... > Не поможет? Помогло! Только это и помогло, PPPoE так и не поднялась, хотя перепробовал все найденные способы и виды аутентификации. Спасибо большое за помощь!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Juniper 2320 и интернет"	+/–
	Сообщение от fantom (ok) on 01-Фев-12, 12:21
	>> http://www.juniper.net/techpubs/software/junos-security/juno... >> Не поможет? > Помогло! Только это и помогло, PPPoE так и не поднялась, хотя перепробовал > все найденные способы и виды аутентификации. > Спасибо большое за помощь! Т.е. таки мопедо-роутер не умеет натить НЕ директли коннектед сети?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Juniper 2320 и интернет"	+/–
	Сообщение от vigogne (ok) on 01-Фев-12, 12:24
	>>> http://www.juniper.net/techpubs/software/junos-security/juno... >>> Не поможет? >> Помогло! Только это и помогло, PPPoE так и не поднялась, хотя перепробовал >> все найденные способы и виды аутентификации. >> Спасибо большое за помощь! > Т.е. таки мопедо-роутер не умеет натить НЕ директли коннектед сети? Получается так, ибо как только поднял NAT, сразу побежали пакеты и с клиентов, а ДО того, бежали только с самого джуника.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	8. "Juniper 2320 и интернет"	+/–
	Сообщение от fantom (ok) on 01-Фев-12, 12:22
	>> http://www.juniper.net/techpubs/software/junos-security/juno... >> Не поможет? > Помогло! Только это и помогло, PPPoE так и не поднялась, хотя перепробовал > все найденные способы и виды аутентификации. > Спасибо большое за помощь! А на мопедо-роутере точно pppoe не блокируется "наружу"?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Juniper 2320 и интернет"	+/–
	Сообщение от vigogne (ok) on 01-Фев-12, 12:28
	>>> http://www.juniper.net/techpubs/software/junos-security/juno... >>> Не поможет? >> Помогло! Только это и помогло, PPPoE так и не поднялась, хотя перепробовал >> все найденные способы и виды аутентификации. >> Спасибо большое за помощь! > А на мопедо-роутере точно pppoe не блокируется "наружу"? Нет, ибо сессия на какой-то момент поднимается, видно PPPoE сервер, потом падает, видимо по аутентификации. Толи у джуника какая-то своя реализация chap, толи я что-то недопонимаю...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема