Я уже писал, что наши Заказчики, порой подкидывают действительно интересные вопросы. Например — почему ваш RADIUS работает с нашей CISCO, но не работает с нашим JUNIPER-ом? При столь незатейливой постановке, подобный вопрос, как правило, выливается в рабочий день очень суматошного (продакт не ждет) выяснения обстоятельств.
Читать полностью »
Рубрика «juniper» - 6
Windows, Juniper и суета вокруг RADIUS-а
2013-11-05 в 12:34, admin, рубрики: juniper, radius, Телекомы, метки: juniper, radiusДругой tacacs+
2013-09-23 в 13:13, admin, рубрики: Cisco, juniper, linux, tacacs+, метки: Cisco, juniper, linux, tacacs+Я думаю, про tacacs+ его настройку, политики, ACL и прочее сказано, а уж тем более написано более чем достаточно. Но, что меня всегда напрягало в tacas+ — постоянно чего-то не хватает. Некая недоработанность что ли...Читать полностью »
История одной DDOS атаки на роутер и методы защиты Juniper routing engine
2013-07-16 в 12:40, admin, рубрики: ddos, juniper, Сетевые технологии, метки: ddos, juniperПо долгу службы мне часто приходится сталкиваться с DDOS на сервера, но некоторое время назад столкнулся с другой атакой, к которой был не готов. Атака производилась на роутер Juniper MX80 поддерживающий BGP сессии и выполняющий анонс подсетей дата-центра. Целью атакующих был веб-ресурс расположенный на одном из наших серверов, но в результате атаки, без связи с внешним миром остался весь дата-центр. Подробности атаки, а также тесты и методы борьбы с такими атаками под катом. Читать полностью »
Бесшовный роуминг Wi-Fi
2013-07-01 в 12:09, admin, рубрики: juniper, wi-fi, Анализ и проектирование систем, беспроводные сети, Беспроводные технологии, роуминг, Сетевые технологии, метки: juniper, wi-fi, беспроводные сети, роуминг Начальник позвал в переговорку, сказал захватить с собой ноутбук. Вроде бы ничего — и там, и на рабочем месте у нас офисная беспроводная сеть. Приходим — а загрузка поставленного на скачивание большого файла оборвалась, SSH-сессии закрылись, заботливо набранная веб-форма при отправке почему-то сбросилась. Знакомо?
Сегодня мы поговорим о бесшовном роуминге устройств в беспроводных сетях Wi-Fi.
Читать полностью »
Беспроводные системы Juniper — первое знакомство
2013-06-05 в 6:22, admin, рубрики: juniper, wi-fi, wlan, беспроводные сети, Беспроводные технологии, Сетевые технологии, метки: juniper, wi-fi, wlan, беспроводные сети, беспроводные технологииУ меня на столе появился комплект беспроводного (Wi-Fi) оборудования корпоративного класса производства Juniper Networks. Данное решение позволяет организовывать централизованно управляемые сети глобального масштаба на базе специализированного ПО, широкой линейки контроллеров и точек доступа. Изначально разработанное компанией Trapeze (приобретенной Juniper в 2010 году) оборудование и софт продолжают активно развиваться; скоро выйдут 9я версия ПО, и виртуальный контроллер. С ростом популярности беспроводных технологий, наличием Wi-Fi модуля в каждом мобильном устройстве, тенденции к BYOD потребность в «нормальном» техническом решении возникает у все большего числа средних и крупных предприятий. Если вы стоите перед выбором поставщика оборудования, либо такую систему вам уже купили, мой пост (первый из трех по теме) поможет вам сориентироваться, понять что к чему, быстро внедрить железо в эксплуатацию. Читать полностью »
Повышаем безопасность SSH-доступа на маршрутизаторах Juniper SRX
2013-03-16 в 18:35, admin, рубрики: juniper, juniper networks, ssh, безопасность в сети, Сетевое оборудование, Сетевые технологии, системное администрирование, метки: juniper, juniper networks, ssh, безопасность в сетиВ этой статье я расскажу, как настроить действительно безопасный SSH-доступ к устройствам Juniper серии SRX, т.е. сделать взлом нашего маршрутизатора гиблым априори занятием. Я опишу две вещи:
- Как сделать вход по SSH возможным только по ssh-ключу.
- Как ограничить список IP-адресов, которые смогут пользоваться ssh-доступом к Джуниперу.
В свое время я честно убил целый день, чтобы дорубиться, как реализовать такие простые вещи в Джуниперах. Надеюсь, моя статья поможет вам сэкономить время.Читать полностью »
Создание шейпера на JunOS
2013-03-05 в 12:01, admin, рубрики: juniper, rate-limit, Shape, VLAN, Сетевые технологии, системное администрирование, метки: juniper, rate-limit, Shape, VLANНедавно понадобилось создание шейпера на пограничном маршрутизаторе в качестве которого используется Juniper MX80. Хорошего полного мануала так и не удалось найти, потому и решил поделиться с community. Настройка оказалась довольно проста. Итак…
1. Создаем данные шейпера. Например, 10мбит/с.
firewall
policer rate-test {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 50k;
}
then discard;
}
burst-size рассчитывается таким образом: bandwidth-limit x 0.005 seconds x 1 byte / 8 bits
2. Создаем правила файервола для применения данного policy. Отдельное правила для входящего и исходящего трафика.
firewall
family inet
filter rate-test-in {
term shape {
from {
source-address {
х.х.х.х/32;
}
}
then policer rate-test;
}
term normal {
then accept;
}
}firewall
family inet
filter rate-test-out {
term shape {
from {
destination-address {
х.х.х.х/32;
}
}
then policer rate-test;
}
term normal {
then accept;
}
}
}
3. Применяем правило на интерфейсе или конкретном юните
interface ge-1/1/9.0
family inet {
filter {
input rate-test-in;
output rate-test-out;
}
Вот и все. Разнообразные тесты показали довольно хороший и точный результат.
Почему лежал CloudFlare
2013-03-03 в 20:20, admin, рубрики: CloudFlare, highload, juniper, Серверное администрирование, Сетевые технологииСегодня в 09:47 UTC CloudFlare фактически «уронил» Интернет. Падение задело все сервисы CloudFlare, в том числе DNS и сервисы проксирования. Все, кто пытался открыть любой использующий сервисы CloudFlare сайт во время падения, получали ошибку DNS. Ping и traceroute до хостов CloudFlare также выдавали ошибку «No Route to Host».
Управление трафиком в сети хостинг-провайдера
2013-02-19 в 15:37, admin, рубрики: BGP, Cisco, juniper, MPLS, Сетевые технологии, Телекомы, метки: BGP, Cisco, juniper, MPLSВ сети любого большого content/eyeball провайдера возникает необходимость управления трафиком. И чем больше сеть, тем острее эта необходимость ощущается. В этой статье я попытаюсь описать основной принцип управления трафиком в сети компании, непосредственное отношение к которой я имею. Сразу оговорюсь, что в этой статье упоминается множество торговых марок, терминов и «жаргона». Здесь не будет ни примеров конфигурации роутеров, ни описания этих самых терминов.
Мы привыкли считать, что транспортная MPLS-сеть необходима, в основном, для applications, которых существует множество: L3VPN, L2VPN/VPLS, и т.д. О Traffic Enigineer'инге в сетях MPLS вспоминают или от «хорошей» жизни, или, скорее, теоретически.
Также принято считать, что backup capacity — это роскошь и, как правило, кариеры/транспортники биллят за backup-порт также, как за обычный. Назревает резонный вопрос: зачем покупать капасити, которые будет просто простаивать и, возможно, несколько раз в месяц на короткое время использоваться? Но, с другой стороны, говорить о том, что «backup'ы для трусов» тоже нельзя, backup'ная емкость должна быть. Как же быть? Об этом и пойдет речь в статье.
Wireless Field Tech Day 4 [+материалы]
2013-02-17 в 1:36, admin, рубрики: aruba, Aruba Networks, Cisco, cisco systems, Enterprise WLAN, juniper, juniper networks, meraki, motorola, motorola solutions, wi-fi, wireless tech field day, wlan, Беспроводные технологии, корпоративная сеть, Сетевые технологии, метки: aruba, Aruba Networks, Cisco, cisco systems, Enterprise WLAN, juniper, juniper networks, meraki, motorola, motorola solutions, wi-fi, wireless tech field day, wlan, корпоративная сеть Field Tech Day — ежегодное мероприятие, где собираются вендоры и небольшое количество уважаемых блоггеров, и просиходит обмен информацией новинках. Отличительная черта мероприятия: подкованность аудитории (многие слушатели-блоггеры — собственно, инженеры, работающие в отрасли и знающие предмет разговора очень даже) и небольшое количество маркетинга (презентиции читаются инженерами вендором, на «чистых» маркетинг отводится минут 10 вступления). Плюс, часто всё это сопровождается практикой и т.д. В общем, весьма полезная штука для тех, кто хочет быть «в курсе».
Читать полностью »