タグ付けされた質問 「juniper-junos」

最初に、このタイプの動作はどこにも見当たらないため、この質問を追加して自分で答えます。うまくいけば、誰かの役に立つと思います。 問題： 自動帯域幅を使用して、LSPの帯域幅サブスクリプションを処理します。LSPは同等のコストであり、各宛先の利用可能なネクストホップとして転送/ルーティングテーブルに適切に表示されます。 ただし、単一の宛先の場合、4つの等コストLSPは均等に（または均等に近くても）ロードバランシングを行いません。JUNOSは、ロードバランシングを有効にするポリシーの「per-packet」というステートメントにもかかわらず、フローごとのロードバランシングアルゴリズムを使用することを理解しています。しかし、これはLSPの各サブスクリプション間の主な違いを説明していません（このサブスクリプションの不均衡は1日に複数回発生し、1回限りの発生ではありません）。 jhead@R1> show route protocol rsvp 1.1.1.1 detail 1.1.1.1/32 (2 entries, 1 announced) State: <FlashAll> *RSVP Preference: 7/1 Next hop: 192.168.1.1 via xe-0/0/0.0 weight 0x1 balance 35%, selected Label-switched-path LSP1 Next hop: 192.168.1.2 via xe-1/0/0.0 weight 0x1 balance 35% Label-switched-path LSP2 Next hop: 192.168.1.3 via xe-0/0/1.0 weight …

7 juniper-junos  mpls  juniper-mx  ecmp  rsvp 

今日一緒に仕事をしているジュニパーボックスで、きちんとした小さな動作を見つけました。 Cisco ASRからMXに移行しましたが、認証が設定されているすべてのインターネットエクスチェンジピアが起動しませんでした。MX480で、ローカル認証が設定されていても設定されていないことを示すログメッセージを受け取りました。（以下のラボ構成を参照） group R01-DSN-PEERS { type external; authentication-algorithm md5; authentication-key-chain STUPID; neighbor 192.168.100.1 { peer-as 6996; } } key-chain STUPID { key 0 { secret "$9$uEns1crM8xbY45Qt0O1cS"; ## SECRET-DATA start-time "2015-1-1.01:01:00 +0000"; } } 反対側、私は次のように見えることがわかりました： router bgp 6996 neighbor 192.168.100.0 password _secret_stuff_ 注：はい、反対側のネイバーは適切に構成されています。これは単にあなたにアイデアを与えるためです-以前にインストールされたASRはピアが確立されていました。 キーチェーンなしで、ネイバーに直接認証を設定することで、それを機能させることになりました。以下を参照してください： group R01-DSN-PEERS { type external; neighbor …

7 cisco  bgp  juniper-junos  authentication  bgp-ipv6 

これは本当に奇妙な問題です。 テストネットワーク環境で、古いCiscoルーターを置き換えるゲートウェイとしてJuniper SRX 220Hをインストールしようとしています。簡略化されたトポロジを以下に示します。 ISP ----- ONT ----- SRX ----- Other devices (Routers, switches, client computers...) ISPからSRXへのリンクは、802.1Qトランクリンクで、2つのVLANが含まれています（インターネットアクセス用のVLAN 35、DHCPによって割り当てられたIPアドレス、20分のリース。ここでは使用されないIPTV用のVLAN 34）。 SRXは最初にISPからIPアドレスを取得できます。12〜17分後（最初のDHCPリースの更新後、2回目の更新前）、SRXはインターネットアクセスを失いました（ゲートウェイにpingできません）。システムログまたはシステムステータスには、特別なものや通知はありません。「インターフェースの表示」は、すべてが正常に機能すると述べました。しかし、ge-0 / 0/0ではトラフィックはまったくありません。ケーブルを取り外したり、SRXを再起動したりすると、さらに12〜17分間機能し、すべてのトラフィックが再び停止します。 このSRXをインストールする前に、同じ構成の古いCiscoルーターは問題なく動作します。 手がかりはありますか？ SRXの部分的な構成を以下に示します。 interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members vlan-internet; } } } } ge-0/0/1 { unit 0 { …

7 cisco  juniper-junos  srx 

私のBGPトランジットの顧客の1人が、DDoS攻撃に苦しんでいるときにネットワーク内のトラフィックをブラックホール化しやすくするための解決策を求めてきました。通常、BGPブラックホール化はターゲットをブラックホール化することによって行われますが、攻撃のターゲットがオフラインにならないように、ソースアドレスに基づくブラックホールの解決策を探しています。 ターゲットアドレスに基づいてブラックホールソリューションを構築することはそれほど難しいことではありません。別のBGPセッションを介して、より具体的なルートとしてターゲットをアナウンスするか、特定のコミュニティでタグ付けしてから、ルーティングポリシーを使用して、いくつかの破棄インターフェースへのネクストホップ。 攻撃のソース（顧客のIP空間内にない）がブラックホール化されているブラックホールソリューションを構築することは、少し難しいようです。宛先のフィルタリングと同じソリューションを使用する場合、私の問題は、特定のソースからこの特定の顧客へのトラフィックのみを破棄したいということです。そのため、ルーティングテーブルに破棄ルートを挿入することは、他の顧客に影響を与えるため、もはや受け入れられません。上手。したがって、この特定の顧客にのみ適用されるフィルターを作成する方法が必要です。 私が考えていた最初の解決策は、BGPFlowspecを使用することでした。残念ながら、彼の装置はそれをサポートしていないので、これはこの特定の顧客にはうまくいきません。 したがって、私が探しているのは、ルーティングプロパティに基づいて動的ファイアウォールフィルターを作成する方法です。おそらく、専用のBGPブラックホールセッションを介して特定のルートを受信するときに、お客様または当社が設定したコミュニティです。次に、このフィルターを顧客のインターフェースに適用して、不要なトラフィックをブロックできます。残念ながら、この方法でファイアウォールフィルター（またはプレフィックスリスト）を作成する簡単な方法は見つかりませんでした。 私はhttp://thomas.mangin.com/posts/bgp-firewall.htmlを見つけましたが、これはSCU / DCUを誤用して、多かれ少なかれ私が探しているものを達成しますが、それは少しハックのように聞こえます。 私が考えることができる他のソリューションの1つは、ルート上に静的フィルターを作成し、このフィルターで使用されるプレフィックスリストを変更できるようにするインターフェイスを構築することです。ただし、お客様がブラックホールを追加するたびにルーターの構成変更をプッシュすることは、私が本当に望んでいることではありません。BGPを使用するソリューションが推奨されます。 私たちの側では、ルーティングはジュニパーで行われます。ソリューションとしては、さまざまなプラットフォームで使用できるものを用意したいので、基本的には、個別のセッションを介してBGPを使用するか、特定のコミュニティを介してルートにタグを付けるだけです。これにより、他のお客様にも使用できます。 （SCU / DCU以外の）これに対する素晴らしい解決策がある場合、私は本当に興味があります。

7 routing  bgp  firewall  juniper-junos 

スタックで動作する2つのJuniper EX 3300スイッチがあります。Junos 12.3R3.4を実行しています。スイッチには4つのSFP / SFP +ポートがあります。FPC 1、PIC 1、Xcvr 0では、「SFP-FC8G-SW」の説明が表示されます。ただし、トランシーバーはジュニパーのブランドの10GE SFP + SRです（下の画像を参照）。 インターフェイスはアップ/ダウンです。クライアント側では、物理メディアは接続されていることを示していますが、リンクレイヤー接続がないようです。インターフェースを通過するトラフィックはありません。 「show chassis hardware」の出力は次のとおりです root@juniper> show chassis hardware Hardware inventory: Item Version Part number Serial number Description Chassis GA021XXXXXXX Virtual Chassis Routing Engine 0 REV 10 750-034247 GA021XXXXXXX EX3300 48-Port Routing Engine 1 REV 10 750-034247 GA021XXXXXXX …

7 juniper  juniper-junos  juniper-ex  sfp 

BGPのインポートリストとエクスポートリストの両方に新しいポリシーを追加していました。次に、bgpセッションのリセットを観察しました。誰か私にこれを説明できますか？ 私が行った唯一の変更は、新しいポリシーを付加して、ネイバーからアドバタイズされたすべてを拒否し、ネイバーに何もアドバタイズしないことでした。 例：古い設定： set protocols bgp group ext import policy-A set protocols bgp group ext export policy-B 新しい設定： set protocols bgp group ext import nothing policy-A set protocols bgp group ext export nothing policy-B

7 bgp  juniper  juniper-junos 

このリファレンスは、サービスクラスが論理システムでサポートされていることを述べていますが、別のリファレンスは同意しません。これはバージョン間の相違かもしれませんが、12.3の論理システムにはサービスクラススタンザがないことに気付きました。グローバルCoS構成は論理システムに適用されますか。次は想像どおりに機能しますか？ set logical-systems prod interfaces ge-1/1/1 unit 0 set class-of-service interfaces ge-1/1/1 unit 0 rewrite-rules dscp default

7 juniper  juniper-junos