Рубрика «juniper» - 6

Я уже писал, что наши Заказчики, порой подкидывают действительно интересные вопросы. Например — почему ваш RADIUS работает с нашей CISCO, но не работает с нашим JUNIPER-ом? При столь незатейливой постановке, подобный вопрос, как правило, выливается в рабочий день очень суматошного (продакт не ждет) выяснения обстоятельств.
Читать полностью »

в 13:13, , рубрики: Cisco, juniper, linux, tacacs+, метки: , , ,

Я думаю, про tacacs+ его настройку, политики, ACL и прочее сказано, а уж тем более написано более чем достаточно. Но, что меня всегда напрягало в tacas+ — постоянно чего-то не хватает. Некая недоработанность что ли...Читать полностью »

По долгу службы мне часто приходится сталкиваться с DDOS на сервера, но некоторое время назад столкнулся с другой атакой, к которой был не готов. Атака производилась на роутер Juniper MX80 поддерживающий BGP сессии и выполняющий анонс подсетей дата-центра. Целью атакующих был веб-ресурс расположенный на одном из наших серверов, но в результате атаки, без связи с внешним миром остался весь дата-центр. Подробности атаки, а также тесты и методы борьбы с такими атаками под катом. Читать полностью »

Начальник позвал в переговорку, сказал захватить с собой ноутбук. Вроде бы ничего — и там, и на рабочем месте у нас офисная беспроводная сеть. Приходим — а загрузка поставленного на скачивание большого файла оборвалась, SSH-сессии закрылись, заботливо набранная веб-форма при отправке почему-то сбросилась. Знакомо?
Сегодня мы поговорим о бесшовном роуминге устройств в беспроводных сетях Wi-Fi.
Бесшовный роуминг Wi Fi
Читать полностью »

У меня на столе появился комплект беспроводного (Wi-Fi) оборудования корпоративного класса производства Juniper Networks. Данное решение позволяет организовывать централизованно управляемые сети глобального масштаба на базе специализированного ПО, широкой линейки контроллеров и точек доступа. Изначально разработанное компанией Trapeze (приобретенной Juniper в 2010 году) оборудование и софт продолжают активно развиваться; скоро выйдут 9я версия ПО, и виртуальный контроллер. С ростом популярности беспроводных технологий, наличием Wi-Fi модуля в каждом мобильном устройстве, тенденции к BYOD потребность в «нормальном» техническом решении возникает у все большего числа средних и крупных предприятий. Если вы стоите перед выбором поставщика оборудования, либо такую систему вам уже купили, мой пост (первый из трех по теме) поможет вам сориентироваться, понять что к чему, быстро внедрить железо в эксплуатацию. Читать полностью »

     В этой статье я расскажу, как настроить действительно безопасный SSH-доступ к устройствам Juniper серии SRX, т.е. сделать взлом нашего маршрутизатора гиблым априори занятием. Я опишу две вещи:

  • Как сделать вход по SSH возможным только по ssh-ключу.
  • Как ограничить список IP-адресов, которые смогут пользоваться ssh-доступом к Джуниперу.

     В свое время я честно убил целый день, чтобы дорубиться, как реализовать такие простые вещи в Джуниперах. Надеюсь, моя статья поможет вам сэкономить время.Читать полностью »

Недавно понадобилось создание шейпера на пограничном маршрутизаторе в качестве которого используется Juniper MX80. Хорошего полного мануала так и не удалось найти, потому и решил поделиться с community. Настройка оказалась довольно проста. Итак…

1. Создаем данные шейпера. Например, 10мбит/с.

firewall
policer rate-test {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 50k;
}
then discard;
}

burst-size рассчитывается таким образом: bandwidth-limit x 0.005 seconds x 1 byte / 8 bits

2. Создаем правила файервола для применения данного policy. Отдельное правила для входящего и исходящего трафика.

firewall
family inet
filter rate-test-in {
term shape {
from {
source-address {
х.х.х.х/32;
}
}
then policer rate-test;
}
term normal {
then accept;
}
}

firewall
family inet
filter rate-test-out {
term shape {
from {
destination-address {
х.х.х.х/32;
}
}
then policer rate-test;
}
term normal {
then accept;
}
}
}

3. Применяем правило на интерфейсе или конкретном юните

interface ge-1/1/9.0
family inet {
filter {
input rate-test-in;
output rate-test-out;
}

Вот и все. Разнообразные тесты показали довольно хороший и точный результат.

Читать полностью »

Сегодня в 09:47 UTC CloudFlare фактически «уронил» Интернет. Падение задело все сервисы CloudFlare, в том числе DNS и сервисы проксирования. Все, кто пытался открыть любой использующий сервисы CloudFlare сайт во время падения, получали ошибку DNS. Ping и traceroute до хостов CloudFlare также выдавали ошибку «No Route to Host».

image
Читать полностью »

В сети любого большого content/eyeball провайдера возникает необходимость управления трафиком. И чем больше сеть, тем острее эта необходимость ощущается. В этой статье я попытаюсь описать основной принцип управления трафиком в сети компании, непосредственное отношение к которой я имею. Сразу оговорюсь, что в этой статье упоминается множество торговых марок, терминов и «жаргона». Здесь не будет ни примеров конфигурации роутеров, ни описания этих самых терминов.

Мы привыкли считать, что транспортная MPLS-сеть необходима, в основном, для applications, которых существует множество: L3VPN, L2VPN/VPLS, и т.д. О Traffic Enigineer'инге в сетях MPLS вспоминают или от «хорошей» жизни, или, скорее, теоретически.

Также принято считать, что backup capacity — это роскошь и, как правило, кариеры/транспортники биллят за backup-порт также, как за обычный. Назревает резонный вопрос: зачем покупать капасити, которые будет просто простаивать и, возможно, несколько раз в месяц на короткое время использоваться? Но, с другой стороны, говорить о том, что «backup'ы для трусов» тоже нельзя, backup'ная емкость должна быть. Как же быть? Об этом и пойдет речь в статье.

Читать полностью »

Field Tech Day — ежегодное мероприятие, где собираются вендоры и небольшое количество уважаемых блоггеров, и просиходит обмен информацией новинках. Отличительная черта мероприятия: подкованность аудитории (многие слушатели-блоггеры — собственно, инженеры, работающие в отрасли и знающие предмет разговора очень даже) и небольшое количество маркетинга (презентиции читаются инженерами вендором, на «чистых» маркетинг отводится минут 10 вступления). Плюс, часто всё это сопровождается практикой и т.д. В общем, весьма полезная штука для тех, кто хочет быть «в курсе».
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js