V
Size: a a a
2020 November 18
AK
подскажите куда копать, не приходит ответ ASK , при обращении к сервису в кубере
копайте в сторону фаерволов
ЕС
здесь нет телепатов , никто не знает что у вас там на сети сконфигурено . Попробуйте подключить комп напрямую к srx , выделите отдельную подсеть для этого , и добейтесь чтобы у вас заработал там ssh. После этого будет понятно куда двигаться дальше
Вот почему
show system licenseничего не выдает...
AK
Вот почему
show system licenseничего не выдает...
потому что не установлено никаких лицензий , это же очевидно
ЕС
потому что не установлено никаких лицензий , это же очевидно
Их разве не должно быть изначально?
AK
Их разве не должно быть изначально?
идите на сайт вендора и прочитайте про лицензии и что должно быть а чего быть не должно, чтобы не задавать таких вопросов
v(
Yaroslav
шо там еще
Сапёра забыл.
Y
Сапёра забыл.
я в нее хорош кстати на кастомной карте макс размера 220 открывал
c
User didn't pass the validation and was banned.
ND
Гуру juniper'ов
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
# show interfaces xe-0/0/0
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vl-OPERATOR-1-UPLINK;
}
filter {
input-list [ FW_UPLINK_NEIGHBORS FW_UPLINK_NEIGHBOR_OPERATOR_1 FW_UPLINK_PREFIX FW_DISCARD ];
}
}
}
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
SP
Гуру juniper'ов
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
# show interfaces xe-0/0/0
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vl-OPERATOR-1-UPLINK;
}
filter {
input-list [ FW_UPLINK_NEIGHBORS FW_UPLINK_NEIGHBOR_OPERATOR_1 FW_UPLINK_PREFIX FW_DISCARD ];
}
}
}
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Ну обычно на unit повесить
set interfaces xe-0/0/0 unit 10 family inet filter output ALL-L3-ACCESS-FILTER
set interfaces xe-0/0/0 unit 10 family inet filter output ALL-L3-ACCESS-FILTER
SP
Гуру juniper'ов
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
# show interfaces xe-0/0/0
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vl-OPERATOR-1-UPLINK;
}
filter {
input-list [ FW_UPLINK_NEIGHBORS FW_UPLINK_NEIGHBOR_OPERATOR_1 FW_UPLINK_PREFIX FW_DISCARD ];
}
}
}
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Только на EX4600 особо с фильтрами не разгуляешься, там tcam специфический и его мало
ND
Ну обычно на unit повесить
set interfaces xe-0/0/0 unit 10 family inet filter output ALL-L3-ACCESS-FILTER
set interfaces xe-0/0/0 unit 10 family inet filter output ALL-L3-ACCESS-FILTER
это же L3 интерфейс.
у меня просто L2, а на него нельзя ничего кроме unit 0
у меня просто L2, а на него нельзя ничего кроме unit 0
PK
Гуру juniper'ов
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
Подскажите, я странного хочу, или всё easy?
Есть Juniper EX4600
в 10g порт приходит физика от провайдера. Внутри транк. В нем два влана 10 и 20 например.
По влану 10 оператор отгружает ip-transit
По влану 20 оператор дает L2VPN до другого офиса условно.
Я привык защиту периметра делать на самой границе (т.е. на физическом стыке с операторами), т.е. на физическом порту.
Условно такой конфиг в части фильтра:
# show interfaces xe-0/0/0
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vl-OPERATOR-1-UPLINK;
}
filter {
input-list [ FW_UPLINK_NEIGHBORS FW_UPLINK_NEIGHBOR_OPERATOR_1 FW_UPLINK_PREFIX FW_DISCARD ];
}
}
}
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
Есть возможность вешать фильтр на vlan, но в этом случае на порту, к которому подключен бордер будет применятся этот же пограничный фильтр, что недопустимо.
Думаю есть какое-то изящное решение этой задачи, но с ходу что-то нагуглить не могу 🙁
ну если только в фильтрах мачить влан. другого варианта я не вижу
PK
В случае, если на порту trunk, то как навешать фильтры отдельно "на каждый влан внутри транка"?
никак. фильтр вешается на family.
никак. фильтр вешается на family.
SP
это же L3 интерфейс.
у меня просто L2, а на него нельзя ничего кроме unit 0
у меня просто L2, а на него нельзя ничего кроме unit 0
Тогда страдать, никак
ND
про матчить vlan была мысль. пока только не проверил, можно ли будет там дерево в фильтре сделать, что в каждом терме vlan-id не проверять.
ЕС
здесь нет телепатов , никто не знает что у вас там на сети сконфигурено . Попробуйте подключить комп напрямую к srx , выделите отдельную подсеть для этого , и добейтесь чтобы у вас заработал там ssh. После этого будет понятно куда двигаться дальше
А как голировать попытки доступа по ssh?