The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"juniper srx240 не видит шлюз провайдера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 27-Янв-14, 08:05 
SOS!!! Произведя настройку оборудования  и подключение его к сети провайдера (Вымпелком) выявилось, что srx240 не видит шлюз провайдера (не пингуется). Мною были произведены следующие действия. Было произведено подключение srx 240 к простейшему хабу и к нему же подключен персональный компьютер. При проверки связи получил следующие результаты ПК пингует шлюз провайдера и srx 240. Srx 240 пингует ПК но не пингует шлюз провайдера. Разбираясь в проблеме обнаружил, что на интерфейсе к которому подключен провайдер увеличивается счетчик ошибок на канале 2-го уровня. Устранить эту проблему используя рекомендации найденных на сайте Juniper не получилось. Так же была установлена на ПК программа «Wireshark» для анализа пакетов отправляемых провайдеру. Было выявлено, что ARP запросы от srx240 идут в сторону провайдера (со стороны провайдера стоит Cisco) но ответов на запросы не было.  Связавшись с провайдером выяснилось, что на их нем устройстве mac addres srx240 тоже не зарегистрировался. На сайте Juniper при похожей проблеме говорилось о не совместимости VLANs, но анализируя пакеты ARP информации о VLANs в них не нашел. Смотрели конфиг несколько людей, конфиг в норме. Вручную прописывали mac Сisco не помогло.
Я в тупике может кто помочь?  
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от eek (ok), 27-Янв-14, 08:16 
Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.

Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и формулировкой "не работает сеть, маршрутизатор проверен".

Ответить | Правка | Наверх | Cообщить модератору

2. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 27-Янв-14, 08:55 
> Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.
> Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и
> формулировкой "не работает сеть, маршрутизатор проверен".

в том то и дело комп работает все нормально а srx не робит

Ответить | Правка | Наверх | Cообщить модератору

3. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 27-Янв-14, 09:03 
>> Компьютер в этот порт обычным езернетом воткните и посмотрите, заработает или нет.
>> Если обычный компьютер не заведется, вызывается инженера провайдера со своим железом и
>> формулировкой "не работает сеть, маршрутизатор проверен".
> в том то и дело комп работает все нормально а srx не
> робит

выдержка из конфига
version 11.4R9.4;
system {
    root-authentication {
        encrypted-password "$1$f4zOpfu1$59hnw24QKBXAs4boCtjRn/"; ## SECRET-DATA
    }
    name-server {
        208.67.222.222;
        208.67.220.220;
    }
    services {
        ssh;
        telnet;
        xnm-clear-text;
        web-management {
            http {
                interface vlan.0;
            }
            https {
                system-generated-certificate;
                interface vlan.0;
            }
        }
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
             family inet {
                address 1.1.1.2/29;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 1.1.1.1;
    }
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set trust-to-untrust {
                from zone trust;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.0;
            }
        }
        security-zone untrust {
            screen untrust-screen;
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                ge-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
    }
}
vlans {
    vlan-trust {
        vlan-id 3;
        l3-interface vlan.0;
    }
}

Ответить | Правка | Наверх | Cообщить модератору

4. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 27-Янв-14, 09:07 
>[оверквотинг удален]
> }
>         }
>     }
> }
> vlans {
>     vlan-trust {
>         vlan-id 3;
>         l3-interface vlan.0;
>     }
> }

просматривая порт вижу, что L2 channel errors: 99524 и значение постоянно растет побороть не получилось

Ответить | Правка | Наверх | Cообщить модератору

5. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 27-Янв-14, 19:48 
скрость и дуплекс выставьте вручную.
Что за секретные ошибки? Показали бы просто sh interf
Ответить | Правка | Наверх | Cообщить модератору

6. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 28-Янв-14, 08:28 
> скрость и дуплекс выставьте вручную.
> Что за секретные ошибки? Показали бы просто sh interf

Physical interface: ge-0/0/0, Enabled, Physical link is Up
  Interface index: 134, SNMP ifIndex: 508, Generation: 137
  Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 100mbps,
  BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
  Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
  Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x0
  Link flags     : None
  CoS queues     : 8 supported, 8 maximum usable queues
  Hold-times     : Up 0 ms, Down 0 ms
  Current address: 3c:61:04:99:54:40, Hardware address: 3c:61:04:99:54:40
  Last flapped   : 2014-01-23 17:10:57 UTC (22:56:06 ago)
  Statistics last cleared: Never
  Traffic statistics:
   Input  bytes  :               334079                    0 bps
   Output bytes  :               517018                    0 bps
   Input  packets:                 3937                    0 pps
   Output packets:                12056                    0 pps
  Input errors:
    Errors: 18, Drops: 0, Framing errors: 18, Runts: 0, Policed discards: 0,
    L3 incompletes: 0, L2 channel errors: 99524, L2 mismatch timeouts: 0,
    FIFO errors: 0, Resource errors: 0
  Output errors:
    Carrier transitions: 23, Errors: 0, Drops: 0, Collisions: 0,
    Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0,
    Resource errors: 0
  Egress queues: 8 supported, 4 in use
  Queue counters:       Queued packets  Transmitted packets      Dropped packets
    0 best-effort                12055                12055                    0
    1 expedited-fo                   0                    0                    0
    2 assured-forw                   0                    0                    0
    3 network-cont                   0                    0                    0
  Queue number:         Mapped forwarding classes
    0                   best-effort
    1                   expedited-forwarding
    2                   assured-forwarding
    3                   network-control
  Active alarms  : None
  Active defects : None
  MAC statistics:                      Receive         Transmit
    Total octets                       7554324           777258
    Total packets                       103582            12054
    Unicast packets                      14456               79
    Broadcast packets                     3630            11975
    Multicast packets                    85496                0
    CRC/Align errors                        18                0
    FIFO errors                              0                0
    MAC control frames                       0                0
    MAC pause frames                         0                0
    Oversized frames                         0
    Jabber frames                            0
    Fragment frames                          4
    VLAN tagged frames                       0
    Code violations                          0
  Filter statistics:
    Input packet count                       0
    Input packet rejects                     0
    Input DA rejects                         0
    Input SA rejects                         0
    Output packet count                                       0
    Output packet pad count                                   0
    Output packet error count                                 0
    CAM destination filters: 2, CAM source filters: 0
  Autonegotiation information:
    Negotiation status: Complete
    Link partner:
        Link mode: Full-duplex, Flow control: None, Remote fault: OK,
        Link partner Speed: 100 Mbps
    Local resolution:
        Flow control: None, Remote fault: Link OK
  Packet Forwarding Engine configuration:
    Destination slot: 0
  CoS information:
    Direction : Output
    CoS transmit queue               Bandwidth               Buffer Priority   Limit
                              %            bps     %           usec
    0 best-effort            95      950000000    95              0      low    none
    3 network-control         5       50000000     5              0      low    none
  Interface transmit statistics: Disabled

  Logical interface ge-0/0/0.0 (Index 70) (SNMP ifIndex 510) (Generation 161)
    Flags: SNMP-Traps 0x0 Encapsulation: ENET2
    Traffic statistics:
     Input  bytes  :               334079
     Output bytes  :               470192
     Input  packets:                 3937
     Output packets:                11035
    Local statistics:
     Input  bytes  :                76704
     Output bytes  :               469628
     Input  packets:                 1174
     Output packets:                11026
    Transit statistics:
     Input  bytes  :               257375                    0 bps
     Output bytes  :                  564                    0 bps
     Input  packets:                 2763                    0 pps
     Output packets:                    9                    0 pps
    Security: Zone: untrust
    Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp
    ospf ospf3 pgm pim rip ripng router-discovery rsvp sap vrrp dhcp finger ftp
    tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh
    rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl
    lsping ntp sip dhcpv6 r2cp
    Flow Statistics :
    Flow Input statistics :
      Self packets :                     59
      ICMP packets :                     41
      VPN packets :                      0
      Multicast packets :                0
      Bytes permitted by policy :        3084
      Connections established :          8
    Flow Output statistics:
      Multicast packets :                0
      Bytes permitted by policy :        3084
    Flow error statistics (Packets dropped due to):
      Address spoofing:                  0
      Authentication failed:             0
      Incoming NAT errors:               0
      Invalid zone received packet:      0
      Multiple user authentications:     0
      Multiple incoming NAT:             0
      No parent for a gate:              0
      No one interested in self packets: 0
      No minor session:                  0
      No more sessions:                  0
      No NAT gate:                       0
      No route present:                  0
      No SA for incoming SPI:            0
      No tunnel found:                   0
      No session for a gate:             0
      No zone or NULL zone binding       0
      Policy denied:                     1552
      Security association not active:   0
      TCP sequence number out of window: 0
      Syn-attack protection:             0
      User authentication errors:        0
    Protocol inet, MTU: 1500, Generation: 175, Route table: 0
      Flags: Sendbcast-pkt-to-re
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 1.1.1.1/29, Local: 1.1.1.2,
        Broadcast: 1.1.1.4, Generation: 164

Ответить | Правка | Наверх | Cообщить модератору

7. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 28-Янв-14, 12:12 
Оборудование с той стороны хочет работать в полудуплексе, попробуйте.
Ответить | Правка | Наверх | Cообщить модератору

8. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 29-Янв-14, 10:10 
> Оборудование с той стороны хочет работать в полудуплексе, попробуйте.

не помогло

Ответить | Правка | Наверх | Cообщить модератору

9. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 29-Янв-14, 14:15 
А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?
Ответить | Правка | Наверх | Cообщить модератору

10. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 29-Янв-14, 15:58 
> А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?

линк поднят смысл опускать до 10мб?

Ответить | Правка | Наверх | Cообщить модератору

11. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 29-Янв-14, 16:09 
Потому что тестера у вас нет, а ошибки говорят о проблемах с физикой.
Ответить | Правка | Наверх | Cообщить модератору

12. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 03-Фев-14, 12:11 
> А на 10Мб? А десктоп с какими скоростью-дуплексом поднимает линк?

100 мб полный дуплекс

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 03-Фев-14, 15:07 
set interfaces ge-0/0/15 gigether-options no-auto-negotiation
set interfaces ge-0/0/15 speed 100m
set interfaces ge-0/0/15 link-mode full-duple
Ответить | Правка | Наверх | Cообщить модератору

15. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 04-Фев-14, 14:00 
> set interfaces ge-0/0/15 gigether-options no-auto-negotiation
> set interfaces ge-0/0/15 speed 100m
> set interfaces ge-0/0/15 link-mode full-duple

результат тот же - тишина

Ответить | Правка | Наверх | Cообщить модератору

14. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от _KUL (ok), 04-Фев-14, 12:10 
А поставьте ка MTU 1460. И в политиках фаервола на интерфейсе со всех и ко всему стоит пермит на правила?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

16. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 04-Фев-14, 14:34 
> А поставьте ка MTU 1460. И в политиках фаервола на интерфейсе со
> всех и ко всему стоит пермит на правила?

mtu не помог железка светиться во все стороны все протоколы разрешены
ge-0/0/0 {
        speed 100m;
        mtu 1460;
        link-mode full-duplex;
        gigether-options {
            no-auto-negotiation;
        }
        unit 0 {
            family inet {
                address 1.1.1.2/29;

security-zone untrust {
        screen untrust-screen;
        host-inbound-traffic {
            system-services {
                all;
            }
            protocols {
                all;
            }
        }
        interfaces {
            ge-0/0/0.0 {
                host-inbound-traffic {
                    system-services {
                        dhcp;
                        tftp;
                        all;
                    }
                    protocols {
                        all;

Ответить | Правка | Наверх | Cообщить модератору

17. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 04-Фев-14, 14:39 
>> всех и ко всему стоит пермит на правила?

пермит стоит

Ответить | Правка | Наверх | Cообщить модератору

18. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от _KUL (ok), 05-Фев-14, 07:19 
>[оверквотинг удален]
>            
>            
>  all;
>            
>         }
>            
>         protocols {
>            
>            
>  all;

А почему вы используете логику - логические интерфейсы на физических интерфейсах? Не хотите попробовать по аналогии цисок, логика на вланах, вланы на интерфейсах? Давайте для чистоты эксперимента на другом порту попробуете (мало ли, вдруг битый)

Делаю от балды (вы под себя подправите)
vlan 10 будет для провайдера, vlan 11 для населения (вам же провайдер дал мини сеточку в пару ипов? шлюз/адрес?!)

show vlans
lan {
    vlan-id 11;
    l3-interface vlan.11;
}
prov {
    vlan-id 10;
    l3-interface vlan.10;
}

show interfaces vlan.10
description "vlan for prov";
family inet {
    address 192.168.0.2/30;
}

show routing-options
static {
    route 0.0.0.0/0 next-hop 192.168.0.1;
}

show interfaces ge-0/0/1
unit 0 {
    description fromprov;
    family ethernet-switching {
        port-mode access;
        vlan {
            members prov;
        }
    }
}

Ну и 11 влан настроить, и между вланами политиками/фильтрами разрешить маршрутизацию

Ответить | Правка | Наверх | Cообщить модератору

19. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 06-Фев-14, 15:40 
> А почему вы используете логику - логические интерфейсы на физических интерфейсах? Не
> хотите попробовать по аналогии цисок, логика на вланах, вланы на интерфейсах?
> Давайте для чистоты эксперимента на другом порту попробуете (мало ли, вдруг
> битый)
> Делаю от балды (вы под себя подправите)
> vlan 10 будет для провайдера, vlan 11 для населения (вам же провайдер
> дал мини сеточку в пару ипов? шлюз/адрес?!)

ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members prov;

vlans {
    lan {
        vlan-id 11;
        l3-interface vlan.11;
    }
    prov {
        vlan-id 10;
        l3-interface vlan.10;

routing-options {
    static {
        route 0.0.0.0/0 next-hop  1.1.1.1;

vlan {
          unit 10 {
            family inet {
                address 1.1.1.2/29;
не работает ((

ради интереса подключил к своей сети и прописал на маршрутизатор
ge-0/0/1 {
         unit 0 {
            family inet {
                address 192.168.2.56/23;
routing-options {
    static {
        route 0.0.0.0/0 next-hop 192.168.2.254;

и все нормально работает в чем загвоздка?
  

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

20. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 06-Фев-14, 16:11 
ge-0/0/0 {
      unit 0 {
       family ethernet-switching {
       port-mode access;
       vlan {
        members prov;


Native vlan не указан, в members его потом необязательно прописывать.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

21. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от _KUL (ok), 06-Фев-14, 16:15 
> ge-0/0/0 {
>       unit 0 {
>        family ethernet-switching {
>        port-mode access;
>        vlan {
>         members prov;
> Native vlan не указан, в members его потом необязательно прописывать.

Зачем писать нативный влан, если весь порт антагом работает???

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 06-Фев-14, 16:29 
Потому что вендор так посчитал логичным, и написал об этом в документах по настройке.
set ge-0/0/0 unit 0 family ethernet-switching native-vlan-id 10
И будьте счастливы.
Прописать members - всё равно что на циске иметь в конфигурации порта switchport trunk vlan allowed, и при этом switchport mode access.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от _KUL (ok), 07-Фев-14, 05:25 
> Потому что вендор так посчитал логичным, и написал об этом в документах
> по настройке.
> set ge-0/0/0 unit 0 family ethernet-switching native-vlan-id 10
> И будьте счастливы.
> Прописать members - всё равно что на циске иметь в конфигурации порта
> switchport trunk vlan allowed, и при этом switchport mode access.

А по мне так, идеальная логика:
1. Тагом? 2.Антагом? 3 Смешанный?
Если 1 то количество вланов можно более одного указать и перечислить их в спец блоке
Если 2 то влан без метки может быть только один и указать его в спец блоке
Если 3, то порт в режим 1 переводим и выполняем то что разрешено для 1 режима, + указываем нетегированный влан в спец блоке смешанного режима, который не описываем в спец блока перечисления правила 1.

Идеальная логика. ИМХО.
чем ставить смешанный режим для чистого антага ...

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

24. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 18-Фев-14, 15:58 
Решил проблему
подключил к этой сети ПК и запустил веришарк
проанализировав пакеты идущие от провайдера понял, что они шлют пакеты с тегом
прописал его на интерфейсе и все заработало
всем спасибо за помощь
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

25. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 18-Фев-14, 23:24 
tcpdump есть на джунипере в командной строке :)
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от john7496 (ok), 19-Фев-14, 11:00 
> tcpdump есть на джунипере в командной строке :)

гдеже вы были раньше? Можете описать как пользоваться этой командой точнее как просматривать и анализировать захваченный трафик.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

27. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от anonymous (??), 19-Фев-14, 14:35 
Это обычный юниксовый tcpdump.
Манул например здесь:
http://www.freebsd.org/cgi/man.cgi?query=tcpdump&apropos=0&s...
Релиз 9.1 наугад, нужно смотреть на основе какого релиза фряхи собрана используемая версия junos. Но tcpdump редко меняется, там по сути изредка добавляют распознавание протоколов.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

28. "juniper srx240 не видит шлюз провайдера"  +/
Сообщение от jgok (?), 05-Сен-22, 06:46 
> Решил проблему
> подключил к этой сети ПК и запустил веришарк
> проанализировав пакеты идущие от провайдера понял, что они шлют пакеты с тегом
> прописал его на интерфейсе и все заработало
> всем спасибо за помощь

можете показать как вы решили проблему?

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру