JunOS и проверка конфига

Статическая и динамическая, протоколы

JunOS и проверка конфига

Сообщение adminko » 21 дек 2012, 04:24

http://zalil.ru/34097010 - сам конфиг.

У всех трех провайдеров мы про анонсированы, есть в полях import, export, members.

Вопросы:
1. Инет на порту 1 работает без проблем, но так как договор истекает 01.01.2013 и нам надо уйти с него, вот если отключить 1 порт, то на 3 порту инет вообще не работает(сессия BGP поднимается), почему?
2. Если отключить 1 и 3 порт, то на 15 инет работает как то частично, не все сайты открывает(трассировка маршрута до сайта умирает после 2 шлюза провайдера), почему?
3. Может в конфиге есть грубые ошибки?

p.s. Сам не сильно знаком с JunOS, я больше знаю в Cisco(данный девайс умер после 7 лет работы(((), начальство по совету Москвы приобрела SRX240 на JunOS.
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

Re: JunOS и проверка конфига

Сообщение root » 21 дек 2012, 09:39

Не имело смыла вытирать из конфига свои адреса и при этом оставлять свой номер AS :) по которому совсем не сложно выяснить IP-подсеть. А так же ты забыл с lo0 IP почистить :)

Ну у вас там и понакручено... в офлайн режиме можно дать тока общие советы, т.к. разбираться с твоим конфигом это не на один час.

adminko писал(а): то на 3 порту инет вообще не работает(сессия BGP поднимается), почему

ответ на данный вопрос можно прочитать в логах.
IPшник соседа пингуется ? Как роутер видит маршрут до IP соседа ?

Не понятно зачем на ge-0/0/1 и ge-0/0/3 включен OSPF. Вы с провом помимо BGP ещё и по OSPF`у маршруты гоняете ?
Для каких целей поднят proxy-arp ?

adminko писал(а):то на 15 инет работает как то частично, не все сайты открывает

С какого IP-адреса то ? SRC какой ? У тя там и реальники и серые сети.
Вообщем смотри в сторону NAT`а и настроек security зон и полисей к ним.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: JunOS и проверка конфига

Сообщение adminko » 21 дек 2012, 10:33

ответ на данный вопрос можно прочитать в логах.
IPшник соседа пингуется ? Как роутер видит маршрут до IP соседа ?


IP соседа пингуется нормально, маршрут прямой до него(не через кого то).

Не понятно зачем на ge-0/0/1 и ge-0/0/3 включен OSPF. Вы с провом помимо BGP ещё и по OSPF`у маршруты гоняете ?


Скорее всего его поднимали для динамической маршрутизации на случай если один канал падает второй поднимается автоматом и все работает дальше. А так для чего он используется на практике?

Для каких целей поднят proxy-arp ?

Тут сложно сказать, но чтоб при обращении на один из адресов внешних другого сегмента сети он перекидывал на внутренний сегмент сети(могу ошибаться).

С какого IP-адреса то ? SRC какой ? У тя там и реальники и серые сети.

В смысле с какого? если внутренний то любой, инет не работает нормально, если внешний то он наш 1 на конце или провайдерский 195.239.164.225. SRC а это что? ага это точно.

Вообщем смотри в сторону NAT`а и настроек security зон и полисей к ним.

МММ уже как две недели кручу их, нам надо чтоб они все на три провайдера прыгали, на одиночный настроить мы можем, но когда начинаем объединять то беда...
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

Re: JunOS и проверка конфига

Сообщение adminko » 24 дек 2012, 06:29

И еще вопрос, а если в режиме онлайн ты поможешь, по стоимости сколько выйдет?
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

Re: JunOS и проверка конфига

Сообщение root » 24 дек 2012, 09:51

adminko писал(а):А так для чего он используется на практике?

OSPF используется для динамического распространения маршрутов.

adminko писал(а):на случай если один канал падает второй поднимается автоматом и все работает дальше

OSPF не BGP, потому если ты пользуешь свои адреса, то кто-то должен их анонсировать по BGP в инет. OSPF в этом случае не поможет.
Как максимум получится, если BGP ложится, что ты сможешь ходить в подсети своего прова и он к тебе и усё. Доступа в Инет не будет.

adminko писал(а):В смысле с какого?

В прямом смысле. IP-какой ?

adminko писал(а):если внутренний то любой

При траблшуте чего либо не должны использоваться слова подобные "любой". Есть конкретный IP, на котором наблюдается проблема и чтобы дальше начинать копать нужно точно знать какой он.

adminko писал(а):SRC а это что?

SRC - сокращение от SOURCE - SOURCE - это адрес источника, как DST - сокращение от DESTINATION - это адрес назначения

adminko писал(а):если в режиме онлайн ты поможешь, по стоимости сколько выйдет?

Это зависит не только от меня:
    - наличие исходной информации и схема сети
    - наличие доступа на оборудование
    - наличие доступа на хост, с которого можно производить тестирование или "специально обученный" человек, который будет выполнять все что его просят (пинг, трасса и т.п.)
    - от времени через которое получится понять в чем проблема
В рабочее время с 10:00 по 18:00 (МСК) час работ оценивается в 2000 руб./час. На твою задачу уйдет не менее 2-х часов точно, и повторюсь что это "ОТ" зависит от изначально предоставленной информации, т.к. в противном случае нужно будет сначала потратить время на выяснения и составление схемы, а только потом непосредственно на разбор с проблемой.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: JunOS и проверка конфига

Сообщение adminko » 24 дек 2012, 10:09

В прямом смысле. IP-какой ?


195.239.164.225

SRC 91.221.68.1

Есть конкретный IP, на котором наблюдается проблема и чтобы дальше начинать копать нужно точно знать какой он.

наш с через которого мы входим в инет 91.221.68.10, внутри с сети любой адрес частично выходит в инет начиная от 192.168.156.1 до 192.168.156.254.

По поводу помощи, на стадии обсуждения.
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

Re: JunOS и проверка конфига

Сообщение root » 27 дек 2012, 09:58

adminko писал(а):195.239.164.225

это IP-адрес BGP соседа и он точно не может выступать в кач-ве SRC адреса

adminko писал(а):SRC 91.221.68.1

этот адрес висит на loopback`е SRX`а и это тоже не то

я спрашивал об IP-адресе внутри твоей сети, у которого начинаются проблемы с доступом в инет

adminko писал(а):наш с через которого мы входим в инет 91.221.68.10

как с него выглядит трасса до проблемного ресурса при возникновении проблемы ?

adminko писал(а): внутри с сети любой адрес частично выходит в инет начиная от 192.168.156.1 до 192.168.156.254.

У этих адресов шлюзом выступает 192.168.156.250 ?

Так же необходимо изменить маску у адреса 91.221.68.1 висящего на loopback, с /24 на /32, т.к. для /24 у тя существует static route.
В полиси TO-IRCN нуна во from добавить protocol static.
В настройках BGP везде убрать опцию local-address, пусть девайс сам его выбирает.

adminko писал(а):то на 3 порту инет вообще не работает(сессия BGP поднимается)

по конфигу порт ge-0/0/3 выключен, включи его, т.к. если не поднимается, то значит 93.94.176.13 не directly connected
запость вывод команды:
Код: Выделить всё
show route terse 93.94.176.13


так же покажи:
Код: Выделить всё
show bgp summ

Код: Выделить всё
show route terse protocol ospf
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: JunOS и проверка конфига

Сообщение adminko » 30 янв 2013, 05:19

Провайдера сейчас IRCN нет, включен параллельно всему другой шлюз и инет от другого провайдера как временный. Ссори что так долго был в отпуске по рождению ребенка.

я спрашивал об IP-адресе внутри твоей сети, у которого начинаются проблемы с доступом в инет


У любого адреса с моей подсетки начинают быть проблемы с инетом.

как с него выглядит трасса до проблемного ресурса при возникновении проблемы ?


Код: Выделить всё
admin@SRX> traceroute rutracker.org
traceroute to rutracker.org (195.82.146.114), 30 hops max, 40 byte packets
 1  195.239.81.49 (195.239.81.49)  5.768 ms  7.338 ms  2.073 ms
 2  pe-l.irkutsk.gldn.net (194.186.61.65)  1.783 ms  7.414 ms  1.773 ms
 3  xe-9-3-0-xcr1.skt.cw.net (166.63.220.85)  132.744 ms xe-11-2-0-xcr1.skt.cw.net (166.63.220.125)  126.641 ms  132.239 ms
 4  xe-0-3-1-xcr2.amd.cw.net (195.2.9.217)  149.361 ms  149.279 ms xe-0-2-1-xcr2.amd.cw.net (195.2.9.233)  156.834 ms
     MPLS Label=739368 CoS=0 TTL=1 S=1
 5  ae4-xcr1.amt.cw.net (195.2.25.222)  148.915 ms ae2-xcr2.amd.cw.net (195.2.28.174)  149.775 ms ae4-xcr1.amt.cw.net (195.2.25.222)  146.999 ms
     MPLS Label=733320 CoS=0 TTL=1 S=1
 6  te1-4.ccr01.ams05.atlas.cogentco.com (130.117.14.161)  151.573 ms te3-8.ccr01.ams05.atlas.cogentco.com (130.117.15.197)  154.086 ms te1-4.ccr01.ams05.atlas.cogentco.com (130.117.14.161)  151.333 ms
 7  te0-5-0-1.ccr22.ams03.atlas.cogentco.com (154.54.72.50)  150.246 ms te0-5-0-1.mpd21.ams03.atlas.cogentco.com (154.54.72.46)  150.105 ms te0-5-0-1.ccr21.ams03.atlas.cogentco.com (154.54.72.42)  151.614 ms
 8  te0-0-0-1.mpd22.fra03.atlas.cogentco.com (130.117.0.134)  154.634 ms te0-3-0-1.ccr22.fra03.atlas.cogentco.com (154.54.39.194)  157.471 ms te0-5-0-2.mpd21.fra03.atlas.cogentco.com (130.117.48.138)  150.932 ms
 9  te0-5-0-1.ccr21.fra03.atlas.cogentco.com (154.54.39.178)  148.976 ms te0-2-0-1.ccr22.fra03.atlas.cogentco.com (130.117.3.90)  151.322 ms 154.54.76.62 (154.54.76.62)  161.184 ms
10  154.54.76.54 (154.54.76.54)  150.203 ms te2-1.mag01.fra06.atlas.cogentco.com (154.54.58.6)  147.727 ms te0-5-0-1.ccr21.fra06.atlas.cogentco.com (154.54.61.158)  153.751 ms
11  te2-1.mag01.fra06.atlas.cogentco.com (154.54.58.6)  147.007 ms 149.11.21.10 (149.11.21.10)  147.584 ms  147.582 ms
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
*********
30  * * *

В итоге не дошел до ресурса(это как пример ресур rutracker.org был)

У этих адресов шлюзом выступает 192.168.156.250 ?


Да он шлюзом является у всех.

show route terse 93.94.176.13

Сделать пока не могу, Провайдер кидает до нас оптику и он выключен физически(

Код: Выделить всё
admin@SRX> show bgp summary
Groups: 1 Peers: 1 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0               180         90          0         90         90          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
195.239.164.225        3216      45583      50624       0       2     2w1d19h 90/90/90/0           0/0/0/0



Код: Выделить всё
admin@SRX> show route terse protocol ospf

inet.0: 116 destinations, 117 routes (116 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

A Destination        P Prf   Metric 1   Metric 2  Next hop        AS path
* 100.2.2.2/32       O  10          1            >10.0.0.10
* 224.0.0.5/32       O  10          1             MultiRecv


Так же необходимо изменить маску у адреса 91.221.68.1 висящего на loopback, с /24 на /32, т.к. для /24 у тя существует static route.

А зачем? у нас же выкуплен весь сегмент.

В полиси TO-IRCN нуна во from добавить protocol static.
В настройках BGP везде убрать опцию local-address, пусть девайс сам его выбирает.

сделаем...

Еще есть вопрос, мы тут cisco 1900 брали, там настраивали BGP Beeline, там тоже частично работает инет, может ли быть коряво настроено у провайдера что нибудь?
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

Re: JunOS и проверка конфига

Сообщение root » 30 янв 2013, 08:43

adminko писал(а):У любого адреса с моей подсетки начинают быть проблемы с инетом.

Какого именно рода проблемы ? Не открываются все сайты ? Не открывается часть сайтов ? Отсутствует пинг куда либо ? И т.п.

Трейсить rutracker.org плохая идея, т.к. там ICMP закрыт как класс, а так же при выполнении команды ты не указал SRC адрес и соответственно в кач-ве SRC адреса роутер взял IP того ифейса куда смотрит маршрут, а это будет IP-адрес из подсети между тобой и твоим провом, а не IP из твоего блока. Так же в приведенной тобой трассе она падает далеко за пределами твоей AS.

adminko писал(а):Да он шлюзом является у всех.

Значит повесь IP-адрес в который ты натишь эту подсеть как /32 на lo0 и когда разюираешся с пингами и трассами выставляй его в кач-ве SRC-адреса.

adminko писал(а):Сделать пока не могу, Провайдер кидает до нас оптику и он выключен физически(

Ну тогда и разбираться с возникшей проблемой не поднятия BGP сесии ты не можешь пока. Сессия должна подниматься если все нормально настроено и пир является directly connected.

adminko писал(а):А зачем? у нас же выкуплен весь сегмент.

А что тут причем ?
Есть подсеть, у нее есть маска подсети и есть процесс маршрутизации. У тебя получается что твоя подсеть /24 находится за ифейсом lo0 и так же есть статик маршрут этой же подсети с такой же маской.
Поэтому это не верно, что-то одно лишнее. Либо маска на lo0 либо статик маршрут.
Другое дело что у тя работает благадаря тому что есть понятие административная дистанция и direct маршрут имеет приоритет над static маршрутом.

adminko писал(а):Еще есть вопрос, мы тут cisco 1900 брали, там настраивали BGP Beeline, там тоже частично работает инет, может ли быть коряво настроено у провайдера что нибудь?

Прости, но по фотографии не лечим. Нужно траблшутить проблему, чтобы сказать у кого что не так настроено.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: JunOS и проверка конфига

Сообщение adminko » 31 янв 2013, 07:36

Какого именно рода проблемы ? Не открываются все сайты ? Не открывается часть сайтов ? Отсутствует пинг куда либо ? И т.п.

не работает часть адресов, собственно rutracker.org, irk.ru, nalog.ru это как пример, долго висит висит при загрузке страницы и потом выдает ошибку таймаута ожидания ответа.

Ну тогда и разбираться с возникшей проблемой не поднятия BGP сесии ты не можешь пока. Сессия должна подниматься если все нормально настроено и пир является directly connected.

да сессия поднимается BGP(порт включен), но инет теперь работает так же как и на Beeline частично.

Значит повесь IP-адрес в который ты натишь эту подсеть как /32 на lo0 и когда разюираешся с пингами и трассами выставляй его в кач-ве SRC-адреса.

ммм не совсем понял, т.е. нужно на lo повесить адрес 91.221.68.1/32?

Прости, но по фотографии не лечим. Нужно траблшутить проблему, чтобы сказать у кого что не так настроено.

это пока откинем на будущее.
adminko
новичок
 
Сообщения: 14
Зарегистрирован: 23 июл 2012, 04:20

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron