1 / 1 / 0
Регистрация: 11.12.2009
Сообщений: 62
|
|
1 | |
Маршрутизация между двумя подсетями08.08.2014, 13:41. Показов 9970. Ответов 25
Здравствуйте мне нужно настроить Juniper SRX100 как маршрутизатор с двумя интерфейсными портами, чтобы была маршрутизация между двумя подсетями, кто может подсказать где это прописать нужно?
Нужно в ge/0/0 прописать одну подсеть а в ge/0/1 другую или нет, что то я вообще не могу понять(
0
|
08.08.2014, 13:41 | |
Ответы с готовыми решениями:
25
NAT между двумя подсетями VPN между двумя роутерами TP-Link TL-ER6020 (маршрутизация в локальную сеть) Подключение между подсетями и сервером Маршрутизация между сетями |
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
08.08.2014, 16:57 | 2 |
KateS
Настроим 2 интерфейса: Код
set interface ge-0/0/0.0 family inet ad 192.168.1.1/24 set intetface ge-0/0/1.0 family inet ad 192.168.2.1/24 Код
set sec zone secu LAN_192.168.1.0 host-in sys any proto all set sec zone secu LAN_192.168.2.0 host-in sys any proto all Код
set sec po from LAN_192.168.1.0 to LAN_192.168.2.0 policy 1 match sou-ad any dest-add any applic any set sec po from LAN_192.168.1.0 to LAN_192.168.2.0 policy 1 then permit set sec po from LAN_192.168.1.0 to LAN_192.168.1.0 policy 1 match sou-ad any dest-add any applic any set sec po from LAN_192.168.1.0 to LAN_192.168.1.0 policy 1 then permit
1
|
1 / 1 / 0
Регистрация: 11.12.2009
Сообщений: 62
|
|
08.08.2014, 17:58 [ТС] | 3 |
Большое спасибо буду пробовать) только у меня еще вопрос в sec zone я прописываю айпишники подсетей которые выше создали или нет? И если нет то может можно почитать где нибудь про зону безопасности что это вообще и что туда прописывать) И вопрос номер два по какому адресу я смогу пинговать сам джунипер тли заходить на веб интерфейс, или для этого нужно создавать третий отдельный интерфейс?
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
08.08.2014, 18:47 | 4 |
KateS,
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
10.08.2014, 19:45 | 5 |
Доброго времени суток.
если речь идёт о указании LAN_192.168.1.0 и LAN_192.168.2.0, то это лишь идентификатор зоны, Вы можете использовать любой текст, к примеру, FIRST_ZONE и SECOND_ZONE. О том, какой зоне какой интерфейс будет принадлежать, необходимо указать в параметре interfaces для этой зоны: Код
set security zones security-zone FIRST_ZONE interfaces fe-0/0/0.0 host-inbound-traffic system-services all protocols all И ещё момент, на сотых SRX-ах все 8 портов 10/100, поэтому там fe-0/0/*, а не ge-0/0/*.
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
10.08.2014, 22:51 | 6 |
outl4w, по поводу привязки интерфейса, согласен забыл упомянуть.
По поводу SRX100, да там fe-порты, ge - нет. Опять же забыл упомянуть. Вы правы, конфиг привел примерный, с целью подумать.
0
|
1 / 1 / 0
Регистрация: 11.12.2009
Сообщений: 62
|
|
12.08.2014, 16:25 [ТС] | 7 |
Большое спасибо за помощь, все удалось))
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
12.08.2014, 17:49 | 8 |
KateS , всегда пожалуйста!
0
|
0 / 0 / 0
Регистрация: 18.09.2014
Сообщений: 12
|
|
18.09.2014, 12:33 | 9 |
Здравствуйте форумчане. по поводу темы вопрос. Сделал как указано, но устройства в соседних подсетях все равно не пингуются. вот что вышло:
policies from-zone lan20 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; from-zone lan20 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; zones security-zone lan20 { interfaces { fe-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone lan25 { interfaces { fe-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; я что-то забыл?
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
18.09.2014, 16:15 | 10 |
user988, покажите полный конфиг устройства (под спойлером).
Не по теме: П.С. Зачем лезть в чужую тему? почему нельзя создать свою?
0
|
0 / 0 / 0
Регистрация: 18.09.2014
Сообщений: 12
|
|
18.09.2014, 17:08 | 11 |
хотел создать, но там написано "не создавайте похожих тем" я и написал сюда.
Еще я добавил security policies from lan25 to lan20(наоборот) , стал видеть порт противоположной подсети, но ПК из разных подсетей всё равно не видят друг друга. Что значит под спойлером? полный конфиг большой. я выложу в ответе или как?
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
18.09.2014, 17:24 | 12 |
user988, спойлер это такой элемент на форуме. Гугл наше все.
0
|
0 / 0 / 0
Регистрация: 18.09.2014
Сообщений: 12
|
|
19.09.2014, 08:09 | 13 |
Кликните здесь для просмотра всего текста
root# show
## Last changed: 2014-09-18 18:56:43 UTC version 11.2R4.3; system { root-authentication { encrypted-password "$1$3Sq7OfkU$Mc3hUr.27Su6o3ZpCReaN0"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } services { ssh; telnet; xnm-clear-text; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } propagate-settings ge-0/0/0.0; } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces { ge-0/0/0 { unit 0; } ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/2 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/3 { unit 0 { family inet { address 192.168.20.1/24; } } } fe-0/0/4 { unit 0 { family inet { address 192.168.25.1/24; } } } fe-0/0/5 { unit 0 { family ethernet-switching { vlan { members vlan-trust2; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { vlan { members vlan-trust3; } } } } fe-0/0/7 { unit 0 { family ethernet-switching { vlan { members vlan-trust4; } } } } vlan { unit 0 { family inet { address 192.168.1.1/24; } } unit 1 { family inet { address 192.168.5.1/24; } } unit 2 { family inet { address 192.168.10.1/24; } } unit 3 { family inet { address 192.168.15.1/24; } } } } protocols { stp; } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone WORKGROUP2 to-zone WORKGROUP1 { policy PEREHOD { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone WORKGROUP1 to-zone WORKGROUP { policy PEREHOD1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone WORKGROUP2 { policy PEREHOD2 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan20 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan20 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } } } security-zone WORKGROUP { interfaces { fe-0/0/7.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.3; } } security-zone WORKGROUP1 { interfaces { fe-0/0/6.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.2; } } security-zone WORKGROUP2 { interfaces { fe-0/0/5.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.1; } } security-zone lan20 { interfaces { fe-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone lan25 { interfaces { fe-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } vlan-trust2 { vlan-id 4; l3-interface vlan.1; } vlan-trust3 { vlan-id 5; l3-interface vlan.2; } vlan-trust4 { vlan-id 6; l3-interface vlan.3; } } извиняйте за мусор на других интерфейсах.
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
19.09.2014, 12:53 | 14 |
Добрый день, user988.
Вам не нужны вот эта и эта политики. Хотелось бы ещё увидеть настройки сети пары клиентских машин из разных подсетей. Подозреваю, что корень зла там
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
19.09.2014, 15:05 | 15 |
user988, а маршруты на 2х концах настроены?
Физика на интерфейсах поднялась? Вывод show route ? Трассировка и пинги с ПК на концах Ну и на последок show sec flow session во время пингов Добавлено через 1 минуту
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
20.09.2014, 15:40 | 16 |
MonaxGT, согласен, не то, чтобы это решение проблемы, просто замечание, что их присутствие не обязательно.
0
|
0 / 0 / 0
Регистрация: 18.09.2014
Сообщений: 12
|
|
22.09.2014, 09:12 | 17 |
K:\>route print
Кликните здесь для просмотра всего текста
=========================================================================== Список интерфейсов 7...1e d0 5a 41 c0 6d ......Виртуальный адаптер Wi-Fi Direct (Майкрософт) 5...2c d0 5a 41 c5 95 ......Устройства Bluetooth (личной сети) 4...f8 0f 41 9b 44 21 ......Realtek PCIe GBE Family Controller 3...2c d0 5a 41 c0 6d ......Беспроводной сетевой адаптер Qualcomm Atheros AR5B WB222 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.2 276 0.0.0.0 0.0.0.0 192.168.1.134 192.168.1.50 25 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.50 281 192.168.1.50 255.255.255.255 On-link 192.168.1.50 281 192.168.1.255 255.255.255.255 On-link 192.168.1.50 281 192.168.20.0 255.255.255.0 On-link 192.168.20.2 276 192.168.20.2 255.255.255.255 On-link 192.168.20.2 276 192.168.20.255 255.255.255.255 On-link 192.168.20.2 276 192.168.25.0 255.255.255.0 192.168.20.1 192.168.20.2 21 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.20.2 276 224.0.0.0 240.0.0.0 On-link 192.168.1.50 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.20.2 276 255.255.255.255 255.255.255.255 On-link 192.168.1.50 281 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.20.1 По умолчанию =========================================================================== IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 1 306 ::1/128 On-link 4 276 fe80::/64 On-link 3 281 fe80::/64 On-link 3 281 fe80::357b:f8f2:bab0:55f7/128 On-link 4 276 fe80::dd5b:bf85:7edf:14c1/128 On-link 1 306 ff00::/8 On-link 4 276 ff00::/8 On-link 3 281 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует K:\> K:\>ping 192.168.25.1 - порт соседней подсети Кликните здесь для просмотра всего текста
Обмен пакетами с 192.168.25.1 по с 32 байтами данных: Ответ от 192.168.25.1: число байт=32 время=8мс TTL=64 Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64 Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64 Ответ от 192.168.25.1: число байт=32 время<1мс TTL=64 Статистика Ping для 192.168.25.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 8 мсек, Среднее = 2 мсек Microsoft Windows [Version 6.3.9600] (c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены. K:\>ping 192.168.25.2 Обмен пакетами с 192.168.25.2 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 192.168.25.2: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь) K:\> Microsoft Windows [Version 6.3.9600] (c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены. K:\>tracert 192.168.25.2 Трассировка маршрута к 192.168.25.2 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.20.1 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * ^C K:\>
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
22.09.2014, 09:16 | 18 |
user988, а 192.168.25.2 знает, как вернуть пакет обратно?
Что с таблицей маршрутизации на нём?
0
|
0 / 0 / 0
Регистрация: 18.09.2014
Сообщений: 12
|
|
22.09.2014, 09:21 | 19 |
show sec flow session во время пингов
Кликните здесь для просмотра всего текста
root> show security flow session Session ID: 813, Policy name: 1/8, Timeout: 2, Valid In: 192.168.20.2/1100 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1100;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 814, Policy name: self-traffic-policy/1, Timeout: 1800, Valid In: 192.168.20.2/50232 --> 192.168.20.1/22;tcp, If: fe-0/0/3.0, Pkts: 149, Bytes: 9964 Out: 192.168.20.1/22 --> 192.168.20.2/50232;tcp, If: .local..0, Pkts: 155, Bytes: 17361 Session ID: 815, Policy name: 1/8, Timeout: 6, Valid In: 192.168.20.2/1101 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1101;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 819, Policy name: 1/8, Timeout: 12, Valid In: 192.168.20.2/1102 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1102;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 820, Policy name: 1/8, Timeout: 16, Valid In: 192.168.20.2/1103 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1103;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 821, Policy name: 1/8, Timeout: 22, Valid In: 192.168.20.2/1104 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1104;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 822, Policy name: 1/8, Timeout: 26, Valid In: 192.168.20.2/1105 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1105;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 823, Policy name: 1/8, Timeout: 32, Valid In: 192.168.20.2/1106 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1106;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 824, Policy name: 1/8, Timeout: 36, Valid In: 192.168.20.2/1107 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1107;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 825, Policy name: 1/8, Timeout: 42, Valid In: 192.168.20.2/1108 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1108;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 826, Policy name: 1/8, Timeout: 46, Valid In: 192.168.20.2/1109 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1109;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 827, Policy name: 1/8, Timeout: 52, Valid In: 192.168.20.2/1110 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1110;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 828, Policy name: 1/8, Timeout: 56, Valid In: 192.168.20.2/1111 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1111;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Total sessions: 13 такое чувство что какой-то мелочи не хватает. Добавлено через 4 минуты outl4w, там проделано всё тоже route add 192.168.25.0 mask 255.255.255.0 192.168.20.1 на одном route add 192.168.20.0 mask 255.255.255.0 192.168.25.1 на другом
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
22.09.2014, 09:36 | 20 |
user988, по сессиям видно что машина из той сети молчит, такие же пинги с той машины можно? скорей всего там трабла, возможно где-то описка
0
|
22.09.2014, 09:36 | |
22.09.2014, 09:36 | |
Помогаю со студенческими работами здесь
20
VPN между двумя роутерами Сеть между двумя компьютерами Сеть между двумя компами Интернет между двумя железками Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |