タグ付けされた質問 「juniper」

私は、顧客から受け取ったルートにRTBHフィルターを実装する最もエレガントな方法を見つけようとしています。 フィルターは： 接頭辞リストから顧客自身の接頭辞のみを受け入れる / 32プレフィックスのみを受け入れる ブラックホールコミュニティのプレフィックスのみ ネクストホップをRTBHネクストホップに設定する（192.0.2.1） はじめに、ジュニパーの「ルーティングポリシー条件の一致条件の構成」ドキュメントを確認しました。 まず、次のように、a prefix-list-filterを組み合わせて、顧客のプレフィックスリストからのルートのみを一致させ、a route-filterを受け入れてプレフィックスを/ 32に制限することを検討しました。 from { as-path customer; community blackhole; prefix-list-filter customer-prefixes orlonger; route-filter 0.0.0.0/0 prefix-length-range /32-/32; } しかし、それから私はこの文書でこの情報につまずきました： ルートフィルター、プレフィックスリスト、および送信元アドレスフィルターのいくつかの組み合わせを含むポリシーを構成する場合、それらは論理OR演算または最長ルート一致検索に従って評価されます。 私がこれを理解している（そしてそれが少し不明確であると思う）場合、を使用するとprefix-list-filter、route-filterおよび/またはsource-address-filter同じ用語で、それらすべての最長一致ORで評価されるため、このアプローチは使用できなくなります。 私が思いついたのはこれが次のフィルターです。このhostroutes-only用語は、/ 32より短いすべてのプレフィックスを次のポリシーに転送します。その後prefixes、/ 32が顧客の範囲内にある場合、用語は一致し、彼のas-pathに一致し、ブラックホールコミュニティが設定されます。 term hostroutes-only { from { route-filter 0.0.0.0/0 prefix-length-range /0-/31; } then next policy; } term prefixes { from …

9 routing  bgp  juniper 

Juniper EXシリーズスイッチのアクセスポートでIPv6 RAアドバタイズをブロックするにはどうすればよいですか？シスコがスパニングツリーのbpdu-guardと同様にオプションとしてra-guardを提供していることを知っていますが、Junosで同じことを行う方法がわかりません。

9 juniper  ipv6  security  juniper-junos 

EX-2200に設定が含まれているラボがあり、これをさらに4つのEX-2200に複製したい...これを行う簡単な方法はおそらくあると思いますが、ジュニパーでそれを見つけることができませんでしたKBまたはグーグル（の最小量）。ここの誰か知ってる？

8 juniper  juniper-ex 

次の設定があります。 2つのMXルーターが同じL2サイトに接続します。ループ保護/冗長性は、VPLSマルチホーミングを介して行われます。もう一方の端には2つのスイッチがあります（EX4200など）。 青いリンクに障害が発生した場合、2つのスイッチと残りのL2インフラストラクチャは、トラフィックが黄色のリンクを通過する必要があることを認識する必要があります（その結果、右側のEXスイッチを通過します）。 問題は、黄色のリンクを介してVPLSから到着するトラフィックがある場合にのみ、黄色のMACテーブルがいっぱいになることです。特定のMACアドレスからトラフィックを受信しない場合、そのアドレスのトラフィックは青いリンクを介して送信され、そのリンクが現在切断されていることは誰にもわかりません（リンクが物理的に故障した場合の左側のEXスイッチを除く）。 この問題を解決する良い解決策が見つかりません。 いくつかのアプローチ： 青/黄色のリンクをポートファーストにしないことで、影響を多少軽減して、インターフェイスがダウン/アップしたときにスパニングツリーがトポロジ変更を送信できるようにすることができます。インターフェースが物理的にダウンしない場合、あなたは運が悪いです。一方、ポートが再びアップすると、スパニングツリーソリューションが問題を引き起こします。VPLSはサイトをオンラインにしますが、ポートはトラフィックを転送する前にSTP学習段階を通過する必要があります。 2つのスイッチをスタックできます。残りのL2インフラストラクチャは常に同じスイッチ（スタック）に送信するため、これにより問題が解決します。それでも、スタックは、アクティブなVPLSインスタンスで他のアップリンクインターフェイスに切り替えるタイミングを知る必要があります。 計画的なメンテナンスを行う場合（およびスタックがある場合）、プライマリリンクを手動で非アクティブにして、セカンダリリンクに切り替えることができます。次に、ルーター上の非アクティブなリンクのサイト設定を下げて、現在アクティブなサイトが新しいプライマリになるようにします。元に戻すときも同じです。理想的ではなく、予期しない停止に対しては機能しません。 これを解決する方法についてのご意見をお待ちしています。（EVPN / TRILLの待機はカウントされません。;））

8 juniper  mpls  vpls 

L2接続には、ジュニパーMXでVPLSとL2VPNを使用しています。シグナリングはBGPを介して行われ、ラベル配布はLDPを介して行われます。 ここで、1つのL2VPNがIGPに従わずにネットワークを介して特定のパスを使用するようにします。 現在LDPのみを使用しているため、LVPとともにRSVPを導入する必要があります。その際、注意点はありますか？ ジュニパーボックスでこれがどのように行われるかについての実用的な例を探しています。

8 juniper  mpls  juniper-mx  ldp  l2vpn 

RIPE会議では、4または6で始まるMACアドレスが複数のリンクでロードバランシングを行う際にMPLSルーターがイーサネットパケットをIPv4 / 6パケットとして誤って解釈するため、パフォーマンスが低下する可能性があるという話がありました。 プレゼンテーションはこちら 回避策の1つは、パケットの誤解を防ぐために追加のフィールドを挿入することです。コントロールワードがうまく機能します。これで、コントロールワードがジュニパーのl2vpn接続でデフォルトで有効になっていることがわかりましたが、VPLSに関する情報が見つかりません。 ジュニパーでVPLSをデフォルトで使用するときにコントロールワードが送信されるかどうか、またはそれらを有効にできるかどうか誰かが知っていますか？

8 juniper  mpls  juniper-mx  vpls 

ジュニパーEXでinetとinet6ファミリーの両方のレート制限を実行する方法を理解しようとしています。理想的には、IPタイプが確認される前にパケットレートリミッターを適用したいです。基本的に、トラフィックがV6、V4、またはMPLSであるかどうかは気にしません。インターフェイスに着信するすべてのパケットをレート制限したいと思います。 なお、各ファミリのアドレスは直接インターフェイスに適用されます。実際にこれを機能させる方法がわかりません。 私が見つけた回避策は、インターフェイスをレイヤー2に変換し、それをVLANに貼り付け、RVIを作成し、それにすべてのアドレス指定を適用することです。次に、インターフェイスを「ファミリーイーサネットスイッチング」にし、そこでポリサーを適用します。それは、私にとって、かなり簡単なものを取得するための多くの回避策のようです。 12.3R2.5を実行するEX4550

8 juniper  policing  juniper-ex 

SRXルートlsysと特定のlsysに個別の管理者を構成する方法はありますか？ user1でログインするとルートlsysにログインし、user2でログインするとlsysの1つにログインする2人のユーザーを作成しようとしています。 ご協力いただきありがとうございます。

7 juniper  juniper-srx 

スタックで動作する2つのJuniper EX 3300スイッチがあります。Junos 12.3R3.4を実行しています。スイッチには4つのSFP / SFP +ポートがあります。FPC 1、PIC 1、Xcvr 0では、「SFP-FC8G-SW」の説明が表示されます。ただし、トランシーバーはジュニパーのブランドの10GE SFP + SRです（下の画像を参照）。 インターフェイスはアップ/ダウンです。クライアント側では、物理メディアは接続されていることを示していますが、リンクレイヤー接続がないようです。インターフェースを通過するトラフィックはありません。 「show chassis hardware」の出力は次のとおりです root@juniper> show chassis hardware Hardware inventory: Item Version Part number Serial number Description Chassis GA021XXXXXXX Virtual Chassis Routing Engine 0 REV 10 750-034247 GA021XXXXXXX EX3300 48-Port Routing Engine 1 REV 10 750-034247 GA021XXXXXXX …

7 juniper  juniper-junos  juniper-ex  sfp 

アクティブ/パッシブで実行されている2つのASA 5540とインターネットプロバイダーのジュニパールーターの間にOSPFを設定しました。route-mapを介してACLのコンテンツに基づいてルートをアドバタイズしたいと思います。 router ospf 1 router-id X.X.X.A network X.X.X.B 255.255.255.248 area 0 area 0 authentication message-digest log-adj-changes redistribute static metric 10 subnets route-map annonce_ospf_isp route-map annonce_ospf_isp permit 1 match ip address redistribute_isp access-list redistribute_isp standard permit Y.Y.Y.C 255.255.255.252 / 30をアドバタイズしても問題ありません。ospfデータベースに表示され、ルートが他のルーターに挿入されます。 ただし、/ 32をアドバタイズしても何も起こりません。データベースにないため、アドバタイズされません。 access-list redistribute_neo standard permit host Y.Y.Y.D 何が問題ですか？

7 cisco  cisco-asa  ospf  juniper  troubleshooting 

BGPのインポートリストとエクスポートリストの両方に新しいポリシーを追加していました。次に、bgpセッションのリセットを観察しました。誰か私にこれを説明できますか？ 私が行った唯一の変更は、新しいポリシーを付加して、ネイバーからアドバタイズされたすべてを拒否し、ネイバーに何もアドバタイズしないことでした。 例：古い設定： set protocols bgp group ext import policy-A set protocols bgp group ext export policy-B 新しい設定： set protocols bgp group ext import nothing policy-A set protocols bgp group ext export nothing policy-B

7 bgp  juniper  juniper-junos 

JSECの本を読んでいると、次のスライドで、トンネルを確立するために発生する6つのIKEフェーズ1メッセージがあることがわかりました。 kmdログとtraceoptionsデータを調べていますが、これらのログに示されているIKEメッセージに関連する情報が何もありません。多分私はそれを間違って見ていますか？私のSRXがこれらのメッセージの1つに電話を切っている場合、どこでそれを判断できますか？

7 vpn  juniper  juniper-srx  ike 

このリファレンスは、サービスクラスが論理システムでサポートされていることを述べていますが、別のリファレンスは同意しません。これはバージョン間の相違かもしれませんが、12.3の論理システムにはサービスクラススタンザがないことに気付きました。グローバルCoS構成は論理システムに適用されますか。次は想像どおりに機能しますか？ set logical-systems prod interfaces ge-1/1/1 unit 0 set class-of-service interfaces ge-1/1/1 unit 0 rewrite-rules dscp default

7 juniper  juniper-junos 

分析を行ったところ、インターネットからのトラフィックには無数のDSCP値が含まれていることがわかりました。このトラフィックは、内部ネットワーク上の音声およびビデオリソースをめぐって競合します。 CiscoおよびJuniperルーターですべての着信DSCPがゼロに書き換えられる信頼境界を確立するにはどうすればよいですか？

7 cisco  juniper  qos  dscp 

Juniper EXスイッチは、ポートを自動的にスパニングツリーの「エッジ」（ポートの背後にあるデバイスは1つだけである必要があります）または「非エッジ」（別のスイッチ）ポートとして分類します。構成することにより、ポートに対してこのモードを強制できます。 set protocols <stp-protocol> interface <interface> edge 通常、エッジポートは、BPDUを受信すると非エッジポートに移行します。セキュリティ機能として、bpdu-block-on-edgeBPDUを受信するエッジポートをシャットダウンすることもできます。 別のスイッチがルートブリッジとして引き継ぐ必要がない限り、これは問題ありません。その場合、（新しいルートブリッジがアクティブ化されたときに）突然BPDUの受信を開始するポートがあり、結果としてこれらのポートがシャットダウンされます。 私の質問は、ポートを「非エッジ」ポートとして明示的に構成する方法はありますか？ 現在の回避策はbpdu-block-on-edge、STPが新しいルートブリッジを中心に収束している間、機能を無効にすることです。

7 juniper  spanning-tree  juniper-ex