Настройка Juniper ex2200

Настройка Juniper ex2200

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!

Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru

Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39


Коммутатор Juniper EX2200 отлично подходит для операторских сетей и обслуживания центров обработки данных. Поддерживает различные современные технологии, позволяющие легко и комфортно построить сеть с необходимой инфраструктурой.
К таким технологиям можно отнести, к примеру, dot1q VLAN, port-security, Q-in-Q (двойное тегирование трафика), некоторые протоколы динамической маршрутизации.

Также преимуществом Juniper EX2200 является возможность объединения до шести коммутаторов в единое устройство. Это гарантирует централизованное управление большим количеством портов, а также высокую отказоустойчивость всей сети в целом. 

ex2200-48-left-high.jpg
 
Далее будет приведена настройка основных элементов, к примеру:

- Настройка QoS (качество обслуживания);
- Virtual Chassis (объединение коммутаторов);
- Настройка сетевого интерфейса;
- Сброс на заводские настройки.

Все приведенные выше этапы помогут в создании крупной сети с большим количеством устройств при условии передачи различного трафика.

Настройка сетевого интерфейса

Первым делом необходимо начать с базы. Сетевой интерфейс - это та самая точка, которая отвечает за передачу данных между пользователем и сетью. И конечно же, это самое основное, что должен выполнять коммутатор.

Итак, этапы настройки:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#

Далее приведем настройку L2 и L3 интерфейсов:

1. L3

[edit interfaces]
root# set em0 unit 0 family inet address 100.0.0.1/30

Em0 - Это физический интерфейс. Family inet - выбор протокола для настройки. 

Можно сразу из Configuration Mode проверить результат настройки, набрав команду "show":

[edit interfaces]
root# show
em0 {
    unit 0 {
        family inet {
            address 100.0.0.1/30;
        }
    }
}
[edit interfaces]

Очень важно применить настройки при помощи команды:

root# commit
commit complete

Для проверки настроек запустим пинг.

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms

Пинг проходит, интерфейс на уровне L3 настроен.

2. L2

root> configure
Entering configuration mode

[edit]
root# edit interfaces em0
[edit interfaces em0]
Необходимо задать дуплекс на интерфейсе:
[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#

Различия между вторым и третьим уровнем в следующем. L2 - это устройства, которые работают на канальном уровне. Коммутатор на данном уровне занимается кадрами (или "фреймами"). L3 коммутаторы уже работают с IP-адресами и могут отвечать за маршрутизацию. Для L3 намного больше различных параметров для настроек, поскольку и его функционал намного шире. 

89_09.jpg

Настройка Virtual Chassis

Итак, когда сами интерфейсы настроены, можно приступить к объединению коммутаторов. Это действительно приводит к облегченному управлению большим количеством устройств. В случае отказа одного из них, система продолжает работать.
 
К сожалению, Juniper EX2200 не имеют выделенных портов VCP (Virtual Chassis Ports), поэтому берутся обычные интерфейсы и настраиваются как VCP.

g020006-175.gif

Есть два способа настройки VC:

• Preprovisioned configuration - вручную определяется member ID и его роль путем привязки к серийному номеру
• Nonprovisioned configuration - вначале выбирается master (тот, кого включили первым). Все остальные роли назначаются мастером в соответствии с master election algorithm

Рассмотрим только первый способ.

Включаются все коммутаторы. Для дальнейшей работы пригодятся их серийные номера, поэтому их необходимо записать. В данном примере:

CT0216330172
CV0216450257

Теперь включаем только тот коммутатор, который будет в роли master switch. Делаем сброс настроек и оставляем их необходимый минимум при помощи команды:

request system zeroize

Команды после перезагрузки системы:

ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management

Теперь включаем preprovisioned configuration mode

set virtual-chassis preprovisioned

Заполняем всех участников стека (при помощи записанных ранее серийных номеров):

set virtual-chassis member 0 serial-number CT0216330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine

Для двух участников рекомендуется:

set virtual-chassis no-split-detection

Результат можно проверить командой:

root@sw-master> show virtual-chassis status 

Наконец,  включаем остальные коммутаторы. Как и ранее, рекомендуется сперва обнулить их конфигурацию через:

request system zeroize

Обязательно необходимо проверить, что их конфигурации пустые в разделе virtual-chassis. Как вариант, можно подстраховаться командой:

delete virtual-chassis

Далее, на каждом коммутаторе настраиваются порты VCP.

В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.

Команды будут следующими, их необходимо задать на обоих коммутаторах:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1

После выполнения команд должно быть следующее:

root> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
vcp-255/0/0             up    up
vcp-255/0/0.32768       up    up
vcp-255/0/1             up    up
vcp-255/0/1.32768       up    up
ge-0/0/2                up    down
ge-0/0/2.0              up    down eth-switch

Как только мы выполним эти команды на обоих концах, второй коммутатор присоединится к первому.

Проверка:

show virtual-chassis status
show virtual-chassis vc-port

Также рассмотрим вариант добавления дополнительного участника к virtual-chassis.

Без физического подключения необходимо удалить все конфигурации добавляемого коммутатора, а также проверить, не являются ли его порты VCP

show interfaces terse | match vcp

Если есть, их надо удалить с командой:

request virtual-chassis vc-port delete pic-slot 0 port 0

Как и ранее, убедиться, что конфигурации пустые.

Определяем серийный номер и вносим его в конфигурацию нашего стека:

set virtual-chassis member 2 serial-number CT0217190258 role line-card

Теперь настраиваем порты нового коммутатора VCP.

В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1

Проверяем, что появились порты VCP.

show interfaces terse | match vcp

Подключаем физически все три коммутатора.

Как видно из настроек, само создание "виртуального шасси", впрочем, как и добавление нового участника - достаточно простое. Настройки немного непривычны, но по факту, все они сводятся к работе с портами и правильному их выбору.

Настройка QoS

QoS - технология, которая позволяет разделить трафик на различные классы и применить к ним свой приоритет. Это удобно в случае, когда необходимо увеличить вероятность прохождения трафика между двумя точками сети.
 
В примере для настройки рассматривается распределение трафика по приоритетам ip-телефонии и видеоконференцсвязи на коммутаторе при помощи изменения настроек по умолчанию class-of-service (CoS).

Итак, к коммутатору, например, подключены ip-телефоны. Для маркировки ip-пакетов от ip-PBX и других ip-телефонов используются следующие значения dscp:


• 46 - ef – медиа (rtp)
• 24 - cs3 – сигнализация (sip,h323,unistim)
• 32 - cs4 – видео с кодеков(rtp)
• 34 - af41 – видео с телефона, софтового клиента, кодека (rtp)
• 0 – весь остальной трафик без маркировки.

DSCP - это определенный элемент в архитектуре сети, который описывает механизм классификации. Обеспечивает ускорение и снижение задержек для мультимедийного трафика. DSCP использует пространство поля ToS, который является частью QoS. Грубо говоря, DSCP - это лишь помощник QoS.

Снова вернемся к настройкам.

Необходимо dscp ef и af поставить в соответствие с внутренними классами expedited-forwarding и assured-forwarding. Для этого настраивается так называемый classifiers. Можно также создать и новые классы.

ex2200> show configuration class-of-service classifiers 
dscp custom-dscp {
    forwarding-class network-control {
        loss-priority low code-points [ cs6 cs7 ];
    }
    forwarding-class expedited-forwarding {
        loss-priority low code-points ef;
    }
    forwarding-class assured-forwarding {
        loss-priority low code-points [ cs3 cs4 af41 ];
    }
}
Для каждого класса необходимо настроить шедулеры:
ex2200> show configuration class-of-service schedulers  
sc-ef {
    buffer-size percent 10;
    priority strict-high;
}
sc-af {
    shaping-rate 20m;
    buffer-size percent 10;
}
sc-nc {
    buffer-size percent 5;
    priority strict-high;
}
sc-be {
    shaping-rate percent 80;
    buffer-size {
        remainder;
    }
}

Названия выбираются произвольно, а процент выделенных буферов - по потребностям. Соответственно, в этом и заключается основная задача QoS - распределить для определенных типов трафика (по протоколу) свои приоритеты. Здесь происходит ограничение полосы пропускания в зависимости от приоритета в очереди. 

Далее шедулеры необходимо поставить в соответствие с внутренними классами. В итоге, scheduler-map и classifier необходимо применить ко всем интерфейсам, описав их как шаблон.

На интерфейсы можно применить одинаковые или индивидуальные настройки, т.е. можно написать разные scheduler и scheduler-maps для разных интерфейсов.

Итоговая конфигурация выглядит следующим образом: 

ex2200> show configuration class-of-service 
classifiers {
    dscp custom-dscp {
        forwarding-class network-control {
            loss-priority low code-points [ cs6 cs7 ];
        }
        forwarding-class expedited-forwarding {
            loss-priority low code-points ef;
        }
        forwarding-class assured-forwarding {
            loss-priority low code-points [ cs3 cs4 af41 ];
        }
    }
}
host-outbound-traffic {
    forwarding-class network-control;
}
interfaces {
    ge-* {
        scheduler-map custom-maps;
        unit 0 {
            classifiers {
                dscp custom-dscp;
            }
        }
    }
    ae* {
        scheduler-map custom-maps;
        unit 0 {
            classifiers {
                dscp custom-dscp;
            }
        }
    }                                   
}
scheduler-maps {
    custom-maps {
        forwarding-class network-control scheduler sc-nc;
        forwarding-class expedited-forwarding scheduler sc-ef;
        forwarding-class assured-forwarding scheduler sc-af;
        forwarding-class best-effort scheduler sc-be;
    }
}
schedulers {
    sc-ef {
        buffer-size percent 10;
        priority strict-high;
    }
    sc-af {
        shaping-rate 20m;
        buffer-size percent 10;
    }
    sc-nc {
        buffer-size percent 5;
        priority strict-high;
    }
    sc-be {
        shaping-rate percent 80;
        buffer-size {
            remainder;
        }
    }
}
Перед применением конфигурации необходимо ее проверить командой commit check. Может возникнуть следующая ошибка:

[edit class-of-service interfaces]
  'ge-*'
    One or more "strict-high" priority queues have lower queue-numbers than priority "low" queues in custom-maps for ge-*. Ifd ge-* supports strict-high priority only on higher numbered queues.
error: configuration check-out failed

Это означает, что нельзя указать приоритет "strict-high" только для 5-ой очереди, когда у 7-ой останется приоритет "low". 

И тут два варианта решения проблемы: переписать классы и изменить очередь у network-control, либо настроить для network-control приоритет "strict-high". Для данного примера был выбран второй вариант.

После применения конфигурации часть фреймов будет в очередях потеряна, поэтому надо почистить счетчики, и спустя короткое время проверить счетчики дропов, где значение отлично от нуля.

clear interfaces statistics all
show interfaces queue | match dropped | except " 0$"

Если счетчики дропов нарастают, то имеется ошибка в конфигурации. Например, если какой-то интерфейс не описан в class-of-service interfaces шаблоном или в явном виде, то трафик в классах дропнется. Ниже приведен пример нормальной работы без потерь. 

ex2200> show interfaces queue ge-0/0/22    
Physical interface: ge-0/0/22, Enabled, Physical link is Up
  Interface index: 151, SNMP ifIndex: 531
Forwarding classes: 16 supported, 4 in use
Egress queues: 8 supported, 4 in use
Queue: 0, Forwarding classes: best-effort
  Queued:
  Transmitted:
    Packets              :                320486
    Bytes                :             145189648
    Tail-dropped packets :                     0
    RL-dropped packets   :                     0
    RL-dropped bytes     :                     0
Queue: 1, Forwarding classes: assured-forwarding
  Queued:
  Transmitted:
    Packets              :                   317
    Bytes                :                169479
    Tail-dropped packets :                     0
    RL-dropped packets   :                     0
    RL-dropped bytes     :                     0
Queue: 5, Forwarding classes: expedited-forwarding
  Queued:
  Transmitted:
    Packets              :                   624
    Bytes                :                138260
    Tail-dropped packets :                     0
    RL-dropped packets   :                     0
    RL-dropped bytes     :                     0
Queue: 7, Forwarding classes: network-control
  Queued:
  Transmitted:                          
    Packets              :                   674
    Bytes                :                243314
    Tail-dropped packets :                     0
    RL-dropped packets   :                     0
    RL-dropped bytes     :                     0

Сброс на заводские настройки

Итак, основные этапы настройки приведены. В случае, если необходимо от них избавиться сразу, или действительно долго искать ошибку, то можно откатить на заводские настройки оборудования в целом и начать все заново.

Конечно, к такой операции не хотелось бы прибегать, но все же. И, кстати, есть несколько вариантов сброса на заводские настройки. Здесь предлагается самый простой и привычный вариант - через консоль. К тому же, для этого потребуется всего лишь одна команда (в режиме конфигурации):

load factory defaults

Система предупредит, что произойдет активация заводских настроек. С помощью привычной команды "commit" активируем настройки и перезагружаемся.

И напоследок

В данной статье были приведены самые полезные настройки для коммутатора Juniper EX2200, которые позволят создать надежную и гибкую сеть для различных нужд. Все настройки могут быть индивидуальными, но если понять, по какому принципу они строятся - всё получится.

Возврат к списку