Настройка Juniper ex2200
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые
Техническая
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):
2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:
3. Контроль доступности данных:
Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца! Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39 |
Коммутатор Juniper EX2200 отлично подходит для операторских сетей и обслуживания центров обработки данных. Поддерживает различные современные технологии, позволяющие легко и комфортно построить сеть с необходимой инфраструктурой.
К таким технологиям можно отнести, к примеру, dot1q VLAN, port-security, Q-in-Q (двойное тегирование трафика), некоторые протоколы динамической маршрутизации.
Также преимуществом Juniper EX2200 является возможность объединения до шести коммутаторов в единое устройство. Это гарантирует централизованное управление большим количеством портов, а также высокую отказоустойчивость всей сети в целом.
Далее будет приведена настройка основных элементов, к примеру:
- Настройка QoS (качество обслуживания);
- Virtual Chassis (объединение коммутаторов);
- Настройка сетевого интерфейса;
- Сброс на заводские настройки.
Все приведенные выше этапы помогут в создании крупной сети с большим количеством устройств при условии передачи различного трафика.
Настройка сетевого интерфейса
Первым делом необходимо начать с базы. Сетевой интерфейс - это та самая точка, которая отвечает за передачу данных между пользователем и сетью. И конечно же, это самое основное, что должен выполнять коммутатор.Итак, этапы настройки:
root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#
Далее приведем настройку L2 и L3 интерфейсов:
1. L3
[edit interfaces]
root# set em0 unit 0 family inet address 100.0.0.1/30
Em0 - Это физический интерфейс. Family inet - выбор протокола для настройки.
Можно сразу из Configuration Mode проверить результат настройки, набрав команду "show":
[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]
Очень важно применить настройки при помощи команды:
root# commit
commit complete
Для проверки настроек запустим пинг.
root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms
Пинг проходит, интерфейс на уровне L3 настроен.
2. L2
root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]
Необходимо задать дуплекс на интерфейсе:
[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#
Различия между вторым и третьим уровнем в следующем. L2 - это устройства, которые работают на канальном уровне. Коммутатор на данном уровне занимается кадрами (или "фреймами"). L3 коммутаторы уже работают с IP-адресами и могут отвечать за маршрутизацию. Для L3 намного больше различных параметров для настроек, поскольку и его функционал намного шире.
Настройка Virtual Chassis
Итак, когда сами интерфейсы настроены, можно приступить к объединению коммутаторов. Это действительно приводит к облегченному управлению большим количеством устройств. В случае отказа одного из них, система продолжает работать.К сожалению, Juniper EX2200 не имеют выделенных портов VCP (Virtual Chassis Ports), поэтому берутся обычные интерфейсы и настраиваются как VCP.
Есть два способа настройки VC:
• Preprovisioned configuration - вручную определяется member ID и его роль путем привязки к серийному номеру
• Nonprovisioned configuration - вначале выбирается master (тот, кого включили первым). Все остальные роли назначаются мастером в соответствии с master election algorithm
Рассмотрим только первый способ.
Включаются все коммутаторы. Для дальнейшей работы пригодятся их серийные номера, поэтому их необходимо записать. В данном примере:
CT0216330172
CV0216450257
Теперь включаем только тот коммутатор, который будет в роли master switch. Делаем сброс настроек и оставляем их необходимый минимум при помощи команды:
request system zeroize
Команды после перезагрузки системы:
ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management
Теперь включаем preprovisioned configuration mode
set virtual-chassis preprovisioned
Заполняем всех участников стека (при помощи записанных ранее серийных номеров):
set virtual-chassis member 0 serial-number CT0216330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine
Для двух участников рекомендуется:
set virtual-chassis no-split-detection
Результат можно проверить командой:
root@sw-master> show virtual-chassis status
Наконец, включаем остальные коммутаторы. Как и ранее, рекомендуется сперва обнулить их конфигурацию через:
request system zeroize
Обязательно необходимо проверить, что их конфигурации пустые в разделе virtual-chassis. Как вариант, можно подстраховаться командой:
delete virtual-chassis
Далее, на каждом коммутаторе настраиваются порты VCP.
В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.
Команды будут следующими, их необходимо задать на обоих коммутаторах:
request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
После выполнения команд должно быть следующее:
root> show interfaces terse
Interface Admin Link Proto Local Remote
vcp-255/0/0 up up
vcp-255/0/0.32768 up up
vcp-255/0/1 up up
vcp-255/0/1.32768 up up
ge-0/0/2 up down
ge-0/0/2.0 up down eth-switch
Как только мы выполним эти команды на обоих концах, второй коммутатор присоединится к первому.
Проверка:
show virtual-chassis status
show virtual-chassis vc-port
Также рассмотрим вариант добавления дополнительного участника к virtual-chassis.
Без физического подключения необходимо удалить все конфигурации добавляемого коммутатора, а также проверить, не являются ли его порты VCP
show interfaces terse | match vcp
Если есть, их надо удалить с командой:
request virtual-chassis vc-port delete pic-slot 0 port 0
Как и ранее, убедиться, что конфигурации пустые.
Определяем серийный номер и вносим его в конфигурацию нашего стека:
set virtual-chassis member 2 serial-number CT0217190258 role line-card
Теперь настраиваем порты нового коммутатора VCP.
В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.
request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
Проверяем, что появились порты VCP.
show interfaces terse | match vcp
Подключаем физически все три коммутатора.
Как видно из настроек, само создание "виртуального шасси", впрочем, как и добавление нового участника - достаточно простое. Настройки немного непривычны, но по факту, все они сводятся к работе с портами и правильному их выбору.
Настройка QoS
QoS - технология, которая позволяет разделить трафик на различные классы и применить к ним свой приоритет. Это удобно в случае, когда необходимо увеличить вероятность прохождения трафика между двумя точками сети.В примере для настройки рассматривается распределение трафика по приоритетам ip-телефонии и видеоконференцсвязи на коммутаторе при помощи изменения настроек по умолчанию class-of-service (CoS).
Итак, к коммутатору, например, подключены ip-телефоны. Для маркировки ip-пакетов от ip-PBX и других ip-телефонов используются следующие значения dscp:
• 46 - ef – медиа (rtp)
• 24 - cs3 – сигнализация (sip,h323,unistim)
• 32 - cs4 – видео с кодеков(rtp)
• 34 - af41 – видео с телефона, софтового клиента, кодека (rtp)
• 0 – весь остальной трафик без маркировки.
DSCP - это определенный элемент в архитектуре сети, который описывает механизм классификации. Обеспечивает ускорение и снижение задержек для мультимедийного трафика. DSCP использует пространство поля ToS, который является частью QoS. Грубо говоря, DSCP - это лишь помощник QoS.
Снова вернемся к настройкам.
Необходимо dscp ef и af поставить в соответствие с внутренними классами expedited-forwarding и assured-forwarding. Для этого настраивается так называемый classifiers. Можно также создать и новые классы.
ex2200> show configuration class-of-service classifiers
dscp custom-dscp {
forwarding-class network-control {
loss-priority low code-points [ cs6 cs7 ];
}
forwarding-class expedited-forwarding {
loss-priority low code-points ef;
}
forwarding-class assured-forwarding {
loss-priority low code-points [ cs3 cs4 af41 ];
}
}
Для каждого класса необходимо настроить шедулеры:
ex2200> show configuration class-of-service schedulers
sc-ef {
buffer-size percent 10;
priority strict-high;
}
sc-af {
shaping-rate 20m;
buffer-size percent 10;
}
sc-nc {
buffer-size percent 5;
priority strict-high;
}
sc-be {
shaping-rate percent 80;
buffer-size {
remainder;
}
}
Названия выбираются произвольно, а процент выделенных буферов - по потребностям. Соответственно, в этом и заключается основная задача QoS - распределить для определенных типов трафика (по протоколу) свои приоритеты. Здесь происходит ограничение полосы пропускания в зависимости от приоритета в очереди.
Далее шедулеры необходимо поставить в соответствие с внутренними классами. В итоге, scheduler-map и classifier необходимо применить ко всем интерфейсам, описав их как шаблон.
На интерфейсы можно применить одинаковые или индивидуальные настройки, т.е. можно написать разные scheduler и scheduler-maps для разных интерфейсов.
Итоговая конфигурация выглядит следующим образом:
ex2200> show configuration class-of-service
classifiers {
dscp custom-dscp {
forwarding-class network-control {
loss-priority low code-points [ cs6 cs7 ];
}
forwarding-class expedited-forwarding {
loss-priority low code-points ef;
}
forwarding-class assured-forwarding {
loss-priority low code-points [ cs3 cs4 af41 ];
}
}
}
host-outbound-traffic {
forwarding-class network-control;
}
interfaces {
ge-* {
scheduler-map custom-maps;
unit 0 {
classifiers {
dscp custom-dscp;
}
}
}
ae* {
scheduler-map custom-maps;
unit 0 {
classifiers {
dscp custom-dscp;
}
}
}
}
scheduler-maps {
custom-maps {
forwarding-class network-control scheduler sc-nc;
forwarding-class expedited-forwarding scheduler sc-ef;
forwarding-class assured-forwarding scheduler sc-af;
forwarding-class best-effort scheduler sc-be;
}
}
schedulers {
sc-ef {
buffer-size percent 10;
priority strict-high;
}
sc-af {
shaping-rate 20m;
buffer-size percent 10;
}
sc-nc {
buffer-size percent 5;
priority strict-high;
}
sc-be {
shaping-rate percent 80;
buffer-size {
remainder;
}
}
}
Перед применением конфигурации необходимо ее проверить командой commit check. Может возникнуть следующая ошибка:
[edit class-of-service interfaces]
'ge-*'
One or more "strict-high" priority queues have lower queue-numbers than priority "low" queues in custom-maps for ge-*. Ifd ge-* supports strict-high priority only on higher numbered queues.
error: configuration check-out failed
Это означает, что нельзя указать приоритет "strict-high" только для 5-ой очереди, когда у 7-ой останется приоритет "low".
И тут два варианта решения проблемы: переписать классы и изменить очередь у network-control, либо настроить для network-control приоритет "strict-high". Для данного примера был выбран второй вариант.
После применения конфигурации часть фреймов будет в очередях потеряна, поэтому надо почистить счетчики, и спустя короткое время проверить счетчики дропов, где значение отлично от нуля.
clear interfaces statistics all
show interfaces queue | match dropped | except " 0$"
Если счетчики дропов нарастают, то имеется ошибка в конфигурации. Например, если какой-то интерфейс не описан в class-of-service interfaces шаблоном или в явном виде, то трафик в классах дропнется. Ниже приведен пример нормальной работы без потерь.
ex2200> show interfaces queue ge-0/0/22
Physical interface: ge-0/0/22, Enabled, Physical link is Up
Interface index: 151, SNMP ifIndex: 531
Forwarding classes: 16 supported, 4 in use
Egress queues: 8 supported, 4 in use
Queue: 0, Forwarding classes: best-effort
Queued:
Transmitted:
Packets : 320486
Bytes : 145189648
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 1, Forwarding classes: assured-forwarding
Queued:
Transmitted:
Packets : 317
Bytes : 169479
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 5, Forwarding classes: expedited-forwarding
Queued:
Transmitted:
Packets : 624
Bytes : 138260
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 7, Forwarding classes: network-control
Queued:
Transmitted:
Packets : 674
Bytes : 243314
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Сброс на заводские настройки
Итак, основные этапы настройки приведены. В случае, если необходимо от них избавиться сразу, или действительно долго искать ошибку, то можно откатить на заводские настройки оборудования в целом и начать все заново.Конечно, к такой операции не хотелось бы прибегать, но все же. И, кстати, есть несколько вариантов сброса на заводские настройки. Здесь предлагается самый простой и привычный вариант - через консоль. К тому же, для этого потребуется всего лишь одна команда (в режиме конфигурации):
load factory defaults
Система предупредит, что произойдет активация заводских настроек. С помощью привычной команды "commit" активируем настройки и перезагружаемся.