SOS!!! Произведя настройку оборудования и подключение его к сети провайдера (Вымпелком) выявилось, что srx240 не видит шлюз провайдера (не пингуется). Мною были произведены следующие действия. Было произведено подключение srx 240 к простейшему хабу и к нему же подключен персональный компьютер. При проверки связи получил следующие результаты ПК пингует шлюз провайдера и srx 240. Srx 240 пингует ПК но не пингует шлюз провайдера. Разбираясь в проблеме обнаружил, что на интерфейсе к которому подключен провайдер увеличивается счетчик ошибок на канале 2-го уровня. Устранить эту проблему используя рекомендации найденных на сайте Juniper не получилось. Так же была установлена на ПК программа «Wireshark» для анализа пакетов отправляемых провайдеру. Было выявлено, что ARP запросы от srx240 идут в сторону провайдера (со стороны провайдера стоит Cisco) но ответов на запросы не было. Связавшись с провайдером выяснилось, что на их нем устройстве mac addres srx240 тоже не зарегистрировался. На сайте Juniper при похожей проблеме говорилось о не совместимости VLANs, но анализируя пакеты ARP информации о VLANs в них не нашел. Смотрели конфиг несколько людей, конфиг в норме. Вручную прописывали mac Сisco не помогло.
Я в тупике может кто помочь?
Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и формулировкой "не работает сеть, маршрутизатор проверен".
> Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.
> Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и
> формулировкой "не работает сеть, маршрутизатор проверен".в том то и дело комп работает все нормально а srx не робит
>> Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.
>> Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и
>> формулировкой "не работает сеть, маршрутизатор проверен".
> в том то и дело комп работает все нормально а srx не
> робитвыдержка из конфига
version 11.4R9.4;
system {
root-authentication {
encrypted-password "$1$f4zOpfu1$59hnw24QKBXAs4boCtjRn/"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 1.1.1.2/29;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.1;
}
}
security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
all;
}
protocols {
all;
}
}
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
>[оверквотинг удален]
> }
> }
> }
> }
> vlans {
> vlan-trust {
> vlan-id 3;
> l3-interface vlan.0;
> }
> }просматривая порт вижу, что L2 channel errors: 99524 и значение постоянно растет побороть не получилось
скрость и дуплекс выставьте вручную.
Что за секретные ошибки? Показали бы просто sh interf
> скрость и дуплекс выставьте вручную.
> Что за секретные ошибки? Показали бы просто sh interfPhysical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 134, SNMP ifIndex: 508, Generation: 137
Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 100mbps,
BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
Remote fault: Online
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x0
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 3c:61:04:99:54:40, Hardware address: 3c:61:04:99:54:40
Last flapped : 2014-01-23 17:10:57 UTC (22:56:06 ago)
Statistics last cleared: Never
Traffic statistics:
Input bytes : 334079 0 bps
Output bytes : 517018 0 bps
Input packets: 3937 0 pps
Output packets: 12056 0 pps
Input errors:
Errors: 18, Drops: 0, Framing errors: 18, Runts: 0, Policed discards: 0,
L3 incompletes: 0, L2 channel errors: 99524, L2 mismatch timeouts: 0,
FIFO errors: 0, Resource errors: 0
Output errors:
Carrier transitions: 23, Errors: 0, Drops: 0, Collisions: 0,
Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0,
Resource errors: 0
Egress queues: 8 supported, 4 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 12055 12055 0
1 expedited-fo 0 0 0
2 assured-forw 0 0 0
3 network-cont 0 0 0
Queue number: Mapped forwarding classes
0 best-effort
1 expedited-forwarding
2 assured-forwarding
3 network-control
Active alarms : None
Active defects : None
MAC statistics: Receive Transmit
Total octets 7554324 777258
Total packets 103582 12054
Unicast packets 14456 79
Broadcast packets 3630 11975
Multicast packets 85496 0
CRC/Align errors 18 0
FIFO errors 0 0
MAC control frames 0 0
MAC pause frames 0 0
Oversized frames 0
Jabber frames 0
Fragment frames 4
VLAN tagged frames 0
Code violations 0
Filter statistics:
Input packet count 0
Input packet rejects 0
Input DA rejects 0
Input SA rejects 0
Output packet count 0
Output packet pad count 0
Output packet error count 0
CAM destination filters: 2, CAM source filters: 0
Autonegotiation information:
Negotiation status: Complete
Link partner:
Link mode: Full-duplex, Flow control: None, Remote fault: OK,
Link partner Speed: 100 Mbps
Local resolution:
Flow control: None, Remote fault: Link OK
Packet Forwarding Engine configuration:
Destination slot: 0
CoS information:
Direction : Output
CoS transmit queue Bandwidth Buffer Priority Limit
% bps % usec
0 best-effort 95 950000000 95 0 low none
3 network-control 5 50000000 5 0 low none
Interface transmit statistics: DisabledLogical interface ge-0/0/0.0 (Index 70) (SNMP ifIndex 510) (Generation 161)
Flags: SNMP-Traps 0x0 Encapsulation: ENET2
Traffic statistics:
Input bytes : 334079
Output bytes : 470192
Input packets: 3937
Output packets: 11035
Local statistics:
Input bytes : 76704
Output bytes : 469628
Input packets: 1174
Output packets: 11026
Transit statistics:
Input bytes : 257375 0 bps
Output bytes : 564 0 bps
Input packets: 2763 0 pps
Output packets: 9 0 pps
Security: Zone: untrust
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp
ospf ospf3 pgm pim rip ripng router-discovery rsvp sap vrrp dhcp finger ftp
tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh
rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl
lsping ntp sip dhcpv6 r2cp
Flow Statistics :
Flow Input statistics :
Self packets : 59
ICMP packets : 41
VPN packets : 0
Multicast packets : 0
Bytes permitted by policy : 3084
Connections established : 8
Flow Output statistics:
Multicast packets : 0
Bytes permitted by policy : 3084
Flow error statistics (Packets dropped due to):
Address spoofing: 0
Authentication failed: 0
Incoming NAT errors: 0
Invalid zone received packet: 0
Multiple user authentications: 0
Multiple incoming NAT: 0
No parent for a gate: 0
No one interested in self packets: 0
No minor session: 0
No more sessions: 0
No NAT gate: 0
No route present: 0
No SA for incoming SPI: 0
No tunnel found: 0
No session for a gate: 0
No zone or NULL zone binding 0
Policy denied: 1552
Security association not active: 0
TCP sequence number out of window: 0
Syn-attack protection: 0
User authentication errors: 0
Protocol inet, MTU: 1500, Generation: 175, Route table: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 1.1.1.1/29, Local: 1.1.1.2,
Broadcast: 1.1.1.4, Generation: 164
Оборудование с той стороны хочет работать в полудуплексе, попробуйте.
> Оборудование с той стороны хочет работать в полудуплексе, попробуйте.не помогло
А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?
> А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?линк поднят смысл опускать до 10мб?
Потому что тестера у вас нет, а ошибки говорят о проблемах с физикой.
> А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?100 мб полный дуплекс
set interfaces ge-0/0/15 gigether-options no-auto-negotiation
set interfaces ge-0/0/15 speed 100m
set interfaces ge-0/0/15 link-mode full-duple
> set interfaces ge-0/0/15 gigether-options no-auto-negotiation
> set interfaces ge-0/0/15 speed 100m
> set interfaces ge-0/0/15 link-mode full-dupleрезультат тот же - тишина
А поставьте ка MTU 1460. И в политиках фаервола на интерфейсе со всех и ко всему стоит пермит на правила?
> А поставьте ка MTU 1460. И в политиках фаервола на интерфейсе со
> всех и ко всему стоит пермит на правила?mtu не помог железка светиться во все стороны все протоколы разрешены
ge-0/0/0 {
speed 100m;
mtu 1460;
link-mode full-duplex;
gigether-options {
no-auto-negotiation;
}
unit 0 {
family inet {
address 1.1.1.2/29;security-zone untrust {
screen untrust-screen;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
all;
}
protocols {
all;
>> всех и ко всему стоит пермит на правила?пермит стоит
>[оверквотинг удален]
>
>
> all;
>
> }
>
> protocols {
>
>
> all;А почему вы используете логику - логические интерфейсы на физических интерфейсах? Не хотите попробовать по аналогии цисок, логика на вланах, вланы на интерфейсах? Давайте для чистоты эксперимента на другом порту попробуете (мало ли, вдруг битый)
Делаю от балды (вы под себя подправите)
vlan 10 будет для провайдера, vlan 11 для населения (вам же провайдер дал мини сеточку в пару ипов? шлюз/адрес?!)show vlans
lan {
vlan-id 11;
l3-interface vlan.11;
}
prov {
vlan-id 10;
l3-interface vlan.10;
}show interfaces vlan.10
description "vlan for prov";
family inet {
address 192.168.0.2/30;
}show routing-options
static {
route 0.0.0.0/0 next-hop 192.168.0.1;
}show interfaces ge-0/0/1
unit 0 {
description fromprov;
family ethernet-switching {
port-mode access;
vlan {
members prov;
}
}
}Ну и 11 влан настроить, и между вланами политиками/фильтрами разрешить маршрутизацию
> А почему вы используете логику - логические интерфейсы на физических интерфейсах? Не
> хотите попробовать по аналогии цисок, логика на вланах, вланы на интерфейсах?
> Давайте для чистоты эксперимента на другом порту попробуете (мало ли, вдруг
> битый)
> Делаю от балды (вы под себя подправите)
> vlan 10 будет для провайдера, vlan 11 для населения (вам же провайдер
> дал мини сеточку в пару ипов? шлюз/адрес?!)ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members prov;vlans {
lan {
vlan-id 11;
l3-interface vlan.11;
}
prov {
vlan-id 10;
l3-interface vlan.10;routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.1;vlan {
unit 10 {
family inet {
address 1.1.1.2/29;
не работает ((ради интереса подключил к своей сети и прописал на маршрутизатор
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.2.56/23;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.2.254;и все нормально работает в чем загвоздка?
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members prov;
Native vlan не указан, в members его потом необязательно прописывать.
> ge-0/0/0 {
> unit 0 {
> family ethernet-switching {
> port-mode access;
> vlan {
> members prov;
> Native vlan не указан, в members его потом необязательно прописывать.Зачем писать нативный влан, если весь порт антагом работает???
Потому что вендор так посчитал логичным, и написал об этом в документах по настройке.
set ge-0/0/0 unit 0 family ethernet-switching native-vlan-id 10
И будьте счастливы.
Прописать members - всё равно что на циске иметь в конфигурации порта switchport trunk vlan allowed, и при этом switchport mode access.
> Потому что вендор так посчитал логичным, и написал об этом в документах
> по настройке.
> set ge-0/0/0 unit 0 family ethernet-switching native-vlan-id 10
> И будьте счастливы.
> Прописать members - всё равно что на циске иметь в конфигурации порта
> switchport trunk vlan allowed, и при этом switchport mode access.А по мне так, идеальная логика:
1. Тагом? 2.Антагом? 3 Смешанный?
Если 1 то количество вланов можно более одного указать и перечислить их в спец блоке
Если 2 то влан без метки может быть только один и указать его в спец блоке
Если 3, то порт в режим 1 переводим и выполняем то что разрешено для 1 режима, + указываем нетегированный влан в спец блоке смешанного режима, который не описываем в спец блока перечисления правила 1.Идеальная логика. ИМХО.
чем ставить смешанный режим для чистого антага ...
Решил проблему
подключил к этой сети ПК и запустил веришарк
проанализировав пакеты идущие от провайдера понял, что они шлют пакеты с тегом
прописал его на интерфейсе и все заработало
всем спасибо за помощь
tcpdump есть на джунипере в командной строке :)
> tcpdump есть на джунипере в командной строке :)гдеже вы были раньше? Можете описать как пользоваться этой командой точнее как просматривать и анализировать захваченный трафик.
Это обычный юниксовый tcpdump.
Манул например здесь:
http://www.freebsd.org/cgi/man.cgi?query=tcpdump&apropos=0&s...
Релиз 9.1 наугад, нужно смотреть на основе какого релиза фряхи собрана используемая версия junos. Но tcpdump редко меняется, там по сути изредка добавляют распознавание протоколов.
> Решил проблему
> подключил к этой сети ПК и запустил веришарк
> проанализировав пакеты идущие от провайдера понял, что они шлют пакеты с тегом
> прописал его на интерфейсе и все заработало
> всем спасибо за помощьможете показать как вы решили проблему?