Форум регионального информационного ресурса

[Grey]

Настройка маршрутизатора Juniper SRX100

Доступ к устройству и первоначальная настройка.

Присоединиться к консоли можно через консольный порт. Он находинся на лицевой панели слева (подписан "Console"). На первый взгляд это обычный RJ-45, но это не так. На самом деле этот разъем не имеет ничего общего с ethernet-портом. Этот разъем предназначен только для управления и ни для чего больше. В комплекте с Джунипером всегда идет переходник для подключения консольного порта к COM-порту компьютера. Так нам и нужно сделать.
Далее скачиваем клиент Putty и запускаем его. Появляется окошко, в котором нам надо поставить Serial и порт. Номер порта можно посмотреть в «Диспетчере устройств» Windows после того, как подключите роутер к компьютеру. В нашем примере это СОМ1.
Нажав «Open», мы подключимся к Джуниперу. Кстати, если мы сначала включим его, а потом (подождав пока произойдет загрузка ОС) подключимся к нему через консольный порт, то мы не увидим никакого приглашения, а просто черный экран. Это нормально. Нужно просто ввести логин и пароль и мы попадем в систему.
Когда мы в первый раз настраиваем Джунипер, то нужно войти под пользователем root с пустым паролем. В дальнейшем система обязательно потребует указать ей рутовый пароль.
После ввода логина-пароля выходит приглашение командной строки вида root@srx%.
В Junos OS есть три режима работы:
1. Юниксовый шел shell, имеет приглашение вида “root@srx%”. Поскольку Junos OS основана на FreeBSD, то первое куда мы попадаем после логина – это юниксовый шел. Для перехода в операционный режим вводим cli и нажимаем Enter.
2. Операционный режим, имеет приглашение “root@srx>”. Это по большому счету режим дебага и мониторинга. В нем можно просматривать важные параметры роутера, также в этом режиме происходит, например, обновление ПО и такие операции как перезагрузка-выключение. Если мы введем edit или configure, то попадаем в самый важный режим работы.
3. Конфигурационный режим, имеет приглашение “root@srx#”. В этом режиме осуществляется конфигурирование роутера, т.е. редактирование и применение конфига. Также, отсюда для удобства можно запускать команды операционного режима с помощью команды run. Например, нельзя запускать пинг из конфигурационного режима, но можно с помощью команды run: run ping 1.2.3.4.

Приступим к начальной настройке Джунипера из командной строки. Наши задачи:
1. Настроить аутентификацию через radius server и по поролю и другие параметры системы;
2. Настроить порты коммутатора;
3. Настроить VRRP;
4. Настроить маршрутизацию;
5. Настроить зоны и политики безопасности;


Исходные данные (для примера):
1. MPLS network - 172.16.16.0/29, на порту ЛПУ 172.16.16.1, на порту провайдера 172.16.16.6
2. LPU network - 192.168.1.0/24 GW - 192.168.1.1
3. TERMINALS network - 10.10.10.0/24
4. Сеть 10.0.0.0/8 маршрутизируется в сети MPLS.

1. Настройка системы.

Входим в режим конфигурирования:

Код: выделить все

    root@srx% cli
    root@srx> edit

Задаем пароль пользователю root:

Код: выделить все

   root@srx# set system root-authentication plain-text-password

После нажатия Enter система попросит вас два раза ввести новый пароль для рута.
Задаем имя устройства:

Код: выделить все

     set system host-name Имя_роутера

Включаем доступ к устройству по ssh:

Код: выделить все

     set system services ssh

Задаем порядока авторизации. Сначала radius, потом по паролю:

Код: выделить все

   set system authentication-order radius
   set system authentication-order password

Ну и доступ к radius-server`у:

Код: выделить все

   set system radius-server 1.1.2.2 secret "$9$9radiuspasswordhash"

Описываем группы пользователей radius-server`а. У нас будет super-user и read-only:

Код: выделить все

   set system login user readonly-users uid 2001
   set system login user readonly-users class read-only
   set system login user super-users uid 2002
   set system login user super-users class super-user

2. Настройка интерфейсов.

Нам нужно настроить 3 интерфейса: в сеть MPLS, в защищенный сегмент сети и в существующую (незащищенную) сеть.
Интерфейс в сеть MPLS. Задаем IP адрес, маску и описание. Надо отметить, что джунипер не понимает маску подсети в ее классической октетной записи, а только в виде префикса.

Код: выделить все

   set interfaces fe-0/0/0 description "To MPLS net (zone mpls)"
   set interfaces fe-0/0/0 unit 0 family inet address 172.16.16.4/29

Аналогичным образом настраиваем fe-0/0/1 и fe-0/0/2:

Код: выделить все

   set interfaces fe-0/0/1 description "To LAN with internet access (zone inet)"
   set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24

   set interfaces fe-0/0/2 description "To VipNet Coordinator (zone terminals)"
   set interfaces fe-0/0/2 unit 0 family inet address 10.210.10.1/28


Подсеть 10.210.10.0/28 нужна для связи с сетью VipNet.

3. Настройка VRRP.

Протокол VRRP используется для повышения доступности маршрутизаторов.
Необходимо для каждого интерфейса настроить vrrp группу, виртуальный адрес, приоритет и интервал отправки сообщений. Номера групп на разных интерфейсах не должны совпадать.

Код: выделить все

   edit interfaces fe-0/0/0 unit 0 family inet address 172.16.16.4/29
   set vrrp-group 3 virtual-address 172.16.16.1
   set vrrp-group 3 virtual-address 172.16.16.3
   set vrrp-group 3 priority 200
   set vrrp-group 3 fast-interval 100
   top

Роутер с приоритетом 200 будет выполнять роль мастера. Соответственно на втором (backup) роутере необходимо задать более низкий приоритет, например 100.

Аналогичным образом настраиваем vrrp на fe-0/0/1 и fe-0/0/2:

Код: выделить все

   edit interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24
   set vrrp-group 4 virtual-address 192.168.1.254
   set vrrp-group 4 priority 200
   set vrrp-group 4 fast-interval 100
   set vrrp-group 4 accept-data
   top
   edit interfaces fe-0/0/2 unit 0 family inet address 10.210.10.1/28
   set vrrp-group 5 virtual-address 10.210.10.3
   set vrrp-group 5 priority 200
   set vrrp-group 5 fast-interval 100
   set vrrp-group 5 accept-data
   set vrrp-group 5 track interface fe-0/0/0.0 priority-cost 150
   top

4. Маршруты.

Теперь нужно "прописать" несколько статических маршрутов.
Маршрут по-умолчанию:

Код: выделить все

   set routing-options static route 0/0 next-hop 192.168.1.1

Маршрут в защищенный сегмент сети через Firewall:

Код: выделить все

   set routing-options static route 10.10.10.0/24 next-hop 10.210.10.4

Маршруты в сеть MPLS и к сетевым сервисам:

Код: выделить все

   set routing-options static route 172.16.0.0/16 next-hop 172.16.16.6
   set routing-options static route 10.0.0.0/8 next-hop 172.16.16.6

5. Зоны и политики.

Поскольку фильтрация трафика будет происходить на межсетевом экране (Firewall), с политиками можно не мудрить:

Код: выделить все

   set security policies default-policy permit-all

Создаем зоны безопасности, определяем разрешенный трафик и интерфейсы. У нас получается 3 зоны (mpls, inet и terminals):

Код: выделить все

   set security zones security-zone mpls host-inbound-traffic system-services all
   set security zones security-zone mpls host-inbound-traffic protocols all
   set security zones security-zone mpls interfaces fe-0/0/0.0
   set security zones security-zone inet host-inbound-traffic system-services all
   set security zones security-zone inet host-inbound-traffic protocols all
   set security zones security-zone inet interfaces fe-0/0/1.0
   set security zones security-zone terminals host-inbound-traffic system-services all
   set security zones security-zone terminals host-inbound-traffic protocols all
   set security zones security-zone terminals interfaces fe-0/0/2.0

Теперь нужно настроить статический nat трафика из зон mpls и inet на firewall. Nat`ить будем виртуальные адреса:

Код: выделить все

   set security nat static rule-set mpls-out from zone mpls
   set security nat static rule-set mpls-out rule mpls-out-rule match destination-address 172.16.16.3/32
   set security nat static rule-set mpls-out rule mpls-out-rule then static-nat prefix 10.210.10.4/32
   set security nat static rule-set inet-out from zone inet
   set security nat static rule-set inet-out rule inet-out-rule match destination-address 192.168.1.254/32
   set security nat static rule-set inet-out rule inet-out-rule then static-nat prefix 10.210.10.4/32


Остается проверить конфигурацию:

Код: выделить все

   commit check

И применить конфиг:

Код: выделить все

   commit

Написано не без помощи хабра

[gb2]

Когда у нас настраивали Juniper`ы, то настроили vrrp только на двух интерфейсах. Может быть поэтому терялись пакеты. Надо будет попробовать настроить на 3х.

[gb2]

edit interfaces fe-0/0/0 unit 0 family inet address 172.16.16.4/29
set vrrp-group 3 virtual-address 172.16.16.1
set vrrp-group 3 virtual-address 172.16.16.3
set vrrp-group 3 priority 200
set vrrp-group 3 fast-interval 100
top

Почему два виртуальных ip адреса?

[Grey]

edit interfaces fe-0/0/0 unit 0 family inet address 172.16.16.4/29
set vrrp-group 3 virtual-address 172.16.16.1
set vrrp-group 3 virtual-address 172.16.16.3
set vrrp-group 3 priority 200
set vrrp-group 3 fast-interval 100
top

Почему два виртуальных ip адреса?

172.16.16.1 - на этот адрес у провайдера прописан маршрут в сеть ЛПУ 10.10.10.0/24 (используется при отсутствии координатора).
172.16.16.3 - служит для связи центрального координатора с координатором ЛПУ.

[Grey]

Когда у нас настраивали Juniper`ы, то настроили vrrp только на двух интерфейсах. Может быть поэтому терялись пакеты.

Посмотрел Ваш конфиг, сейчас VRRP не задействован.
Вообще, я замечал что иногда проблему потери пакетов в сеть MPLS можно вылечить отключением VRRP. К сожалению, другого решения пока предложить не могу. Да и причины такого поведения до конца не ясны, продолжаю разбираться. Как только появится решение - обязательно создам соответствующую тему.

Надо будет попробовать настроить на 3х.

Отпишитесь о результатах, если не затруднит.

[gb2]

Посмотрел Ваш конфиг, сейчас VRRP не задействован.

Отключено именно из-за периодической потери пакетов.

[rka57]

Здравствуйте!

edit interfaces fe-0/0/0 unit 0 family inet address 172.16.6.116/29
set vrrp-group 3 virtual-address 172.16.6.113
set vrrp-group 3 virtual-address 172.16.6.115
set vrrp-group 3 priority 200
set vrrp-group 3 fast-interval 100
top
из своей сети 10.35.1.0 пингую сервер МИАЦ(172,16,1,2)
росинтеграция видит мой SRX(172.16.6.116), но не видит виртуальные адреса, в частности 172.16.6.113
и якобы по этому не могут нас подключить к защищенной сети МИАЦ
Провайдер - Ростелеком
куда копать?

[Grey]

из своей сети 10.35.1.0 пингую сервер МИАЦ(172,16,1,2)

и якобы по этому не могут нас подключить к защищенной сети МИАЦ

Т.Е. Сейчас вы работаете без координатора?

Покажите конфиг секций interfaces, routing-options и security.

[rka57]

Здравствуйте!

--- JUNOS 11.2R4.3 built 2011-11-24 08:11:51 UTC
root@SRX100-6229-1% cli
root@SRX100-6229-1> show configuration | display set
set version 11.2R4.3
set system host-name SRX100-6229-1
set system authentication-order radius
set system authentication-order password
set system root-authentication encrypted-password "$1$PhUgG1CA$B/ozE2IwnP2FZS1S/YMDm."
set system radius-server 10.0.10.5 secret "$9$9.DQt0IylMNdsEcds24DjCtuORhXxdVs47-"
set system login user miac uid 2000
set system login user miac class super-user
set system login user miac authentication encrypted-password "$1$1XgDpd96$v/N5PYFUgF4F6jnKbwdzA0"
set system login user readonly-users uid 2001
set system login user readonly-users class read-only
set system login user super-users uid 2002
set system login user super-users class super-user
set system services ssh
set system syslog user * any emergency
set system syslog host 10.0.10.1 any any
set system syslog host 10.0.10.4 any any
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set system max-configurations-on-flash 5
set system max-configuration-rollbacks 5
set system ntp server 10.0.10.1
set interfaces fe-0/0/0 description "To RosTelecom MPLS net (zone mpls)"
set interfaces fe-0/0/0 unit 0 family inet address 172.16.6.116/29 vrrp-group 3 virtual-address 172.16.6.113
set interfaces fe-0/0/0 unit 0 family inet address 172.16.6.116/29 vrrp-group 3 virtual-address 172.16.6.115
set interfaces fe-0/0/0 unit 0 family inet address 172.16.6.116/29 vrrp-group 3 priority 200
set interfaces fe-0/0/0 unit 0 family inet address 172.16.6.116/29 vrrp-group 3 fast-interval 100
set interfaces fe-0/0/1 description "To LAN with internet access (zone inet)"
set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24 vrrp-group 4 virtual-address 192.168.1.254
set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24 vrrp-group 4 priority 200
set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24 vrrp-group 4 fast-interval 100
set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.252/24 vrrp-group 4 accept-data
set interfaces fe-0/0/2 description "To VipNet Coordinator (zone terminals)"
set interfaces fe-0/0/2 unit 0 family inet address 10.235.1.1/28 vrrp-group 5 virtual-address 10.235.1.3
set interfaces fe-0/0/2 unit 0 family inet address 10.235.1.1/28 vrrp-group 5 priority 200
set interfaces fe-0/0/2 unit 0 family inet address 10.235.1.1/28 vrrp-group 5 fast-interval 100
set interfaces fe-0/0/2 unit 0 family inet address 10.235.1.1/28 vrrp-group 5 accept-data
set interfaces fe-0/0/2 unit 0 family inet address 10.235.1.1/28 vrrp-group 5 track interface fe-0/0/0.0 priority-cost 150
set interfaces fe-0/0/3 description "Simulation VipNet eth1"
set interfaces fe-0/0/3 unit 0 family inet address 10.35.1.1/24
set snmp location Servernaya
set snmp contact ------
set snmp community miac_krd authorization read-write
set snmp community miac_krd client-list-name pl-mgmt_hosts
set snmp trap-group global_traps version v2
set snmp trap-group global_traps targets 10.0.10.1
set snmp trap-group global_traps targets 10.0.10.4
set routing-options static route 172.16.0.0/16 next-hop 172.16.6.118
set routing-options static route 10.0.0.0/8 next-hop 172.16.6.118
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.2
set protocols lldp interface all
set policy-options prefix-list pl-mgmt_hosts 10.0.10.0/24
set security nat static rule-set mpls-out from zone mpls
set security nat static rule-set mpls-out rule mpls-out-rule match destination-address 172.16.6.115/32
set security nat static rule-set mpls-out rule mpls-out-rule then static-nat prefix 10.235.1.4/32
set security nat static rule-set inet-out from zone inet
set security nat static rule-set inet-out rule inet-out-rule match destination-address 192.168.1.254/32
set security nat static rule-set inet-out rule inet-out-rule then static-nat prefix 10.235.1.4/32
set security policies default-policy permit-all
set security zones security-zone mpls host-inbound-traffic system-services all
set security zones security-zone mpls host-inbound-traffic protocols all
set security zones security-zone mpls interfaces fe-0/0/0.0
set security zones security-zone inet host-inbound-traffic system-services all
set security zones security-zone inet host-inbound-traffic protocols all
set security zones security-zone inet interfaces fe-0/0/1.0
set security zones security-zone terminals host-inbound-traffic system-services all
set security zones security-zone terminals host-inbound-traffic protocols all
set security zones security-zone terminals interfaces fe-0/0/2.0
set security zones security-zone terminals interfaces fe-0/0/3.0

и еще
"172.16.16.1 - на этот адрес у провайдера прописан маршрут в сеть ЛПУ 10.10.10.0/24 (используется при отсутствии координатора)"
цитата с форума настройка Juniper SRX-100

Как я понимаю нужно решать с провайдером (Ростелеком), этот вопрос??
Он должен прописать, или я не правильно понял цитату?

[rka57]

Координатора нет

[rka57]

Здравствуйте Дмитрий!
Крнфиг я вам выслал.
Рабочий для схемы без координатора?

[Grey]

Добрый день!
Не было возможности ответить.

Конфиг заточен для работы без координатора, но вполне достаточный для "выхода на связь" с координатором.

Я бы еще проверил вот что:
1. Как подключен в сеть координатор (интерфейс с адресом 10.235.1.4)?
2. Пингуется ли 10.235.1.4 с SRX'а?
3. Для чистоты эксперимента попробуйте выключить 2й SRX.