Настройка Juniper ex4200

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS): Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX); Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI). 2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств: VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint; Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam; WAF: Barracuda WAF; DLP: IPS, SearchInform DLP, Cisco ISE (профилирование). 3. Контроль доступности данных: Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager); Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx); Реализация любых других решений: AlienVault (SIEM). Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца! Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Сейчас перед Вами коммутатор операторского класса Juniper EX4200.

 Почему Вы выбрали именно его для устройства сети - нам неизвестно. Но вот причины, по которым мы могли бы выбрать его сами:

- Способность поддерживать до 48 портов;
- Возможность установки дополнительных портов;
- Поддержка расширенного VLAN;
- Способность обеспечивать высокий уровень безопасности;
- Работа с технологией, которая позволяет объединять до шести коммутаторов данной серии и управлять ими как единым целым;
- Гибкость и доступность;
- Работа с крупными офисами, операторами связи и т.п.

Действительно, в сравнении с другими сериями Juniper именно EX4200 обладает по-настоящему широким функционалом, который позволит построить масштабную сеть с привычным интерфейсом.



В данной статье будет представлена настройка двух VLAN. 

Настройка VLAN

Вообще, VLAN - это виртуальная локальная сеть поверх уже существующей физической. Коммутатор просто объединяет несколько указанных пользователем портов в одну группу, и потом все правила применяет конкретно к данной группе, а не к каждому устройству в отдельности.
 
Маршрутизаторы, кстати, тоже используют VLAN, но с небольшой оговоркой - на роутерах настраиваются sub-интерфейсы, которые уже привязаны к VLAN на коммутаторе. Получается эдакая "иерархия". Но это лишь ввиду того, что маршрутизатор больше отвечает за взаимодействие с сетью, и ему просто некогда решать проблемы с устройствами, а коммутатор - наоборот. Физически он связан с ними, и отвечает за них головой :)



Итак, есть еще небольшая оговорка: первоначальная настройка Juniper EX4200 не приводится. Она сама по себе достаточно проста и чем-то похожа на настройку оборудования Cisco. В данной статье будут только VLAN.

Пора приступать к настройке. Создаем и настраиваем VLAN 10 и VLAN 20.

Здесь предлагается настраивать VLAN путем настройки непомеченной (access) сети VLAN под самой VLAN, и помеченной (транковой) сети VLAN под интерфейсом.

Например, чтобы выполнить следующее:

- create VLANs 10 and 20
- set ge-0/0/0 & ge-0/0/1 as untagged VLAN 10
- set ge-0/0/2 & ge-0/0/3 as untagged VLAN 20
- set ge-0/0/47 as tagged (trunked) with VLANs 10 and 20

нужно сделать следующее:

set interfaces ge-0/0/0 unit 0 family ethernet-switching
set interfaces ge-0/0/1 unit 0 family ethernet-switching
set interfaces ge-0/0/2 unit 0 family ethernet-switching
set interfaces ge-0/0/3 unit 0 family ethernet-switching
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members [ VLAN10 VLAN20 ]
set vlans VLAN10 vlan-id 10
set vlans VLAN20 vlan-id 20
set vlans VLAN10 interface ge-0/0/0.0
set vlans VLAN10 interface ge-0/0/1.0
set vlans VLAN20 interface ge-0/0/2.0
set vlans VLAN20 interface ge-0/0/3.0

Гораздо проще (и чище), настроить непомеченные VLAN под самой VLAN.

Также, чтобы создать RVI (эквивалент SVI в IOS), нужно:

set interfaces vlan unit 10 family inet 10.10.10.0/24
set interfaces vlan unit 20 family inet 20.20.20.0/24
set vlans VLAN10 l3-interface vlan.10
set vlans VLAN20 l3-interface vlan.20
Конфигурации EX4200 ge-0/0/0;
root@ex4200a> show configuration interfaces ge-0/0/2 
unit 0 {
        family ethernet-switching {
                 port-mode trunk;
                 vlan {
                        members all;
                  }
                 native-vlan-id default;
          }
}

Примечание: настройка EX4200, VLAN-ID по умолчанию установлен на 3.

В приведенных выше настройках происходит то, о чем говорили ранее. Создается VLAN, дается ему имя и на него вешаются порты коммутатора. На созданный VLAN накладывают определенные правила. Согласитесь, это проще, чем работать с каждым устройством в сети? Особенно, если Ваша модель поддерживает до 48 портов...

Как видите, настройка действительно оказалось довольно простой. Все дополнительные функции, которые есть в Juniper EX4200, настраиваются в таком же ключе. Да, есть отличия от привычного вида конфигурации, но тут - каждому свое.