qnote:junos
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| qnote:junos [2017/04/16 09:12] – k | qnote:junos [2021/08/12 08:35] (current) – external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ===== Быстрые заметки по Junos ===== | ===== Быстрые заметки по Junos ===== | ||
| + | |||
| + | ==== Анализ проблемы с pppoe ==== | ||
| + | |||
| + | В одном офисе перестал работать pppoe канал в интернет.\\ | ||
| + | Со стороны провайдера было видно srx, но не проходила аутентификация. | ||
| + | |||
| + | При установлении pppoe соединения маршрутизаторы общаются по протоколу [[https:// | ||
| + | Что бы разобраться в проблеме надо посмотреть обмен LCP сообщениями. | ||
| + | |||
| + | Смотрим трафик на интерфейсе к которому подключен провайдер.\\ | ||
| + | < | ||
| + | root@srx> | ||
| + | </ | ||
| + | |||
| + | Начало новой сессии, | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 54: | ||
| + | encoded length 14 (=Option(s) length 10) | ||
| + | 0x0000: c021 0146 000e | ||
| + | MRU Option (0x01), length 4: 1492 | ||
| + | 0x0000: 05d4 | ||
| + | Magic-Num Option (0x05), length 6: 0x5665bd0c | ||
| + | 0x0000: 5665 bd0c | ||
| + | </ | ||
| + | |||
| + | Провайдер согласился с предложенными значениям параметров (Conf-Ack). | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 00: | ||
| + | encoded length 14 (=Option(s) length 10) | ||
| + | 0x0000: c021 0246 000e | ||
| + | MRU Option (0x01), length 4: 1492 | ||
| + | 0x0000: 05d4 | ||
| + | Magic-Num Option (0x05), length 6: 0x5665bd0c | ||
| + | 0x0000: 5665 bd0c | ||
| + | </ | ||
| + | |||
| + | Провайдер предложил следующую пачку опций, в т.ч. и метот аутентификации - PAP (Auth-Prot Option). | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 00: | ||
| + | encoded length 35 (=Option(s) length 31) | ||
| + | 0x0000: c021 0102 0023 | ||
| + | PFC Option (0x07), length 2: | ||
| + | MRU Option (0x01), length 4: 1492 | ||
| + | 0x0000: 05d4 | ||
| + | Magic-Num Option (0x05), length 6: 0x2840ee38 | ||
| + | 0x0000: 2840 ee38 | ||
| + | Auth-Prot Option (0x03), length 4: PAP | ||
| + | 0x0000: c023 | ||
| + | MRRU Option (0x11), length 4: 2048 | ||
| + | 0x0000: 0800 | ||
| + | 12-Bit seq # Option (0x12), length 2: | ||
| + | End-Disc Option (0x13), length 9: MAC 00: | ||
| + | 0x0000: 0300 1e67 0278 27 | ||
| + | </ | ||
| + | |||
| + | SRX не согласился (Conf-Reject) с предложенными провайдером значениями папаметров, | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 54: | ||
| + | encoded length 21 (=Option(s) length 17) | ||
| + | 0x0000: c021 0402 0015 | ||
| + | PFC Option (0x07), length 2: | ||
| + | MRRU Option (0x11), length 4: 2048 | ||
| + | 0x0000: 0800 | ||
| + | 12-Bit seq # Option (0x12), length 2: | ||
| + | End-Disc Option (0x13), length 9: MAC 00: | ||
| + | 0x0000: 0300 1e67 0278 27 | ||
| + | </ | ||
| + | |||
| + | Провайдер еще раз предлагает метот аутентификации PAP (Auth-Prot Option) | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 00: | ||
| + | encoded length 18 (=Option(s) length 14) | ||
| + | 0x0000: c021 0103 0012 | ||
| + | MRU Option (0x01), length 4: 1492 | ||
| + | 0x0000: 05d4 | ||
| + | Magic-Num Option (0x05), length 6: 0x2840ee38 | ||
| + | 0x0000: 2840 ee38 | ||
| + | Auth-Prot Option (0x03), length 4: PAP | ||
| + | 0x0000: c023 | ||
| + | </ | ||
| + | |||
| + | SRX поправляет и предлагает CHAP (Auth-Prot Option). | ||
| + | < | ||
| + | 18: | ||
| + | ... | ||
| + | -----original packet----- | ||
| + | 54: | ||
| + | encoded length 9 (=Option(s) length 5) | ||
| + | 0x0000: c021 0303 0009 | ||
| + | Auth-Prot Option (0x03), length 5: CHAP, MD5 | ||
| + | 0x0000: c223 05 | ||
| + | </ | ||
| + | |||
| + | Последние два сообщения еще раз десять ходят в обе стороны и потом согласование параметров начинается заново. \\ | ||
| + | После осозная проблемы связались с провайдером и попросили переделать аутентификацию на CHAP. | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== TCP-RST в настройках зоны безопасности ==== | ||
| + | |||
| + | tcp-rst - Send RST for NON-SYN packet not matching TCP session | ||
| + | |||
| + | < | ||
| + | [edit] | ||
| + | root@bluebox# | ||
| + | Possible completions: | ||
| + | < | ||
| + | > address-book | ||
| + | application-tracking | ||
| + | + apply-groups | ||
| + | + apply-groups-except | ||
| + | description | ||
| + | > host-inbound-traffic | ||
| + | > interfaces | ||
| + | screen | ||
| + | tcp-rst | ||
| + | | Pipe through a command | ||
| + | </ | ||
| + | |||
| + | ==== Посмотреть тип железа и серийник ==== | ||
| + | **show chassis hardware** | ||
| + | < | ||
| + | [edit security utm] | ||
| + | root@msk-02-srx2# | ||
| + | Hardware inventory: | ||
| + | Item | ||
| + | Chassis | ||
| + | Routing Engine | ||
| + | FPC 0 FPC | ||
| + | PIC 0 8x FE Base PIC | ||
| + | Power Supply 0 | ||
| + | |||
| + | </ | ||
| + | |||
| + | ==== dhcp helper ==== | ||
| + | < | ||
| + | [edit] | ||
| + | admin@nsk-01-srx2# | ||
| + | ... | ||
| + | helpers { | ||
| + | bootp { | ||
| + | server 192.168.10.22; | ||
| + | server 192.168.9.12; | ||
| + | vpn; | ||
| + | interface { | ||
| + | vlan.502; | ||
| + | vlan.504; | ||
| + | vlan.501; | ||
| + | vlan.506; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | ==== host inbound traffic - bootp, dhcp ==== | ||
| + | |||
| + | < | ||
| + | [edit security zones security-zone trust] | ||
| + | admin@msk-04-srx1# | ||
| + | interfaces { | ||
| + | vlan.501 { | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | ping; | ||
| + | traceroute; | ||
| + | ssh; | ||
| + | dhcp; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | vlan.502 { | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | ping; | ||
| + | traceroute; | ||
| + | bootp; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | **bootp** - надо использовать когда на srx настроен dhcp хелпер ([edit forwarding-options helpers bootp]).\\ | ||
| + | **dhcp** - надо использовать когда на самом srx настроен dhcp сервер. | ||
| + | |||
| + | ==== Juniper open dns server ==== | ||
| + | < | ||
| + | name-server { | ||
| + | 208.67.222.222; | ||
| + | 208.67.220.220; | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | ==== Схема прохождения пакета через srx ==== | ||
| + | {{workbook: | ||
| + | |||
| + | ==== Подрезать скорость | ||
| ==== Скрыть часть конфига ==== | ==== Скрыть часть конфига ==== | ||
| Line 36: | Line 247: | ||
| ---- | ---- | ||
| - | === Задать shell при логине пользователя === | + | ==== Задать shell при логине пользователя |
| Что бы при логине обычный пользователь попадал не в консоль CLI, а сразу в unix-шелл надо дать скрытую | Что бы при логине обычный пользователь попадал не в консоль CLI, а сразу в unix-шелл надо дать скрытую | ||
| Line 55: | Line 266: | ||
| ---- | ---- | ||
| - | === Ошибка комита при достижении максимального количества зон безопасности на srx100 === | + | ==== Ошибка комита при достижении максимального количества зон безопасности на srx100 |
| < | < | ||
| Line 65: | Line 276: | ||
| ---- | ---- | ||
| - | === Ошибки на физическом интерфейсе === | + | ==== Ошибки на физическом интерфейсе |
| http:// | http:// | ||
| - | == Carrier transitions == | + | === Carrier transitions |
| Вывод "show interface": | Вывод "show interface": | ||
| Line 90: | Line 301: | ||
| >You would need to do basic troubleshooting to find out why the link is flapping. Those steps would be different >if it was a telco circuit or an P2P ethernet cable. | >You would need to do basic troubleshooting to find out why the link is flapping. Those steps would be different >if it was a telco circuit or an P2P ethernet cable. | ||
| - | == Framing errors == | + | === Framing errors |
| KB27597 \\ | KB27597 \\ | ||
| Line 108: | Line 319: | ||
| - | == Policed discards == | + | === Policed discards |
| Policed discards - дропаются служебные пакеты протоков которык нет в " | Policed discards - дропаются служебные пакеты протоков которык нет в " | ||
| Line 117: | Line 328: | ||
| ---- | ---- | ||
| - | === Скорость создания сессий. === | + | ==== Скорость создания сессий. |
| KB23428\\ | KB23428\\ | ||
| - | == CLI == | + | === CLI === |
| < | < | ||
| | | ||
| Line 143: | Line 354: | ||
| </ | </ | ||
| - | == SNMP OID == | + | === SNMP OID === |
| < | < | ||
| Line 167: | Line 378: | ||
| ---- | ---- | ||
| - | === Бэкап и восстановление конфигурации === | + | ==== Бэкап и восстановление конфигурации |
| Часто возникает задача синхронизировать конфиги основного и резервного srx. \\ | Часто возникает задача синхронизировать конфиги основного и резервного srx. \\ | ||
| Line 205: | Line 416: | ||
| ---- | ---- | ||
| - | === MOTD === | + | ==== MOTD ==== |
| Message of the day | Message of the day | ||
| Line 212: | Line 423: | ||
| ---- | ---- | ||
| - | === Залить текущий junos на бэкапный раздел === | + | ==== Залить текущий junos на бэкапный раздел |
| root@srx-master> | root@srx-master> | ||
| | | ||
| Line 231: | Line 442: | ||
| ---- | ---- | ||
| - | === Перенести кусок конфигурации с одного srx на другой === | + | ==== Перенести кусок конфигурации с одного srx на другой |
| Будем переносить записи в address book. | Будем переносить записи в address book. | ||
| Line 243: | Line 454: | ||
| </ | </ | ||
| - | ** Подгружаем конфигурацию ** | + | ** Подгружаем конфигурацию **\\ |
| У команды load есть ключ relative который подкружает set не от корня конфигуации, | У команды load есть ключ relative который подкружает set не от корня конфигуации, | ||
| < | < | ||
| Line 262: | Line 473: | ||
| ---- | ---- | ||
| - | === Обновить софт в srx === | + | ==== Обновить софт в srx ==== |
| < | < | ||
| Line 282: | Line 493: | ||
| ---- | ---- | ||
| - | === KB25265 === | + | ==== KB25265 |
| http:// | http:// | ||
| Line 309: | Line 520: | ||
| ---- | ---- | ||
| - | === Записать вывод команды в файл === | + | ==== Записать вывод команды в файл |
| root@srx> | root@srx> | ||
| Line 317: | Line 528: | ||
| ---- | ---- | ||
| - | === Истекли лицензии | + | ==== Истекли лицензии |
| < | < | ||
| Line 344: | Line 555: | ||
| ---- | ---- | ||
| - | === Смысл maximum-transactions в настройках вложенных приложений (nested applications) === | + | ==== Смысл maximum-transactions в настройках вложенных приложений (nested applications) |
| < | < | ||
| Line 365: | Line 576: | ||
| ---- | ---- | ||
| - | === Посмотреть список и детальную информацию по типам приложений с которыми работает AppFW и IDP на srx === | + | ==== Посмотреть список и детальную информацию по типам приложений с которыми работает AppFW и IDP на srx ==== |
| < | < | ||
| Line 419: | Line 630: | ||
| ---- | ---- | ||
| - | === Посмотреть настройки стантардных junos application === | + | ==== Посмотреть настройки стантардных junos application |
| | | ||
| - | === Посмотреть кто залогинился === | + | ==== Посмотреть кто залогинился |
| < | < | ||
| Line 434: | Line 645: | ||
| </ | </ | ||
| - | === Поставить таймаут на ssh/telnet сессию === | + | ==== Поставить таймаут на ssh/telnet сессию |
| < | < | ||
| Line 454: | Line 665: | ||
| ---- | ---- | ||
| - | === Передернуть руками ноду в кластере === | + | ==== Передернуть руками ноду в кластере |
| root> request chassis cluster failover redundancy-group [0|1] node [0|1] | root> request chassis cluster failover redundancy-group [0|1] node [0|1] | ||
| Line 470: | Line 681: | ||
| ---- | ---- | ||
| - | === Сброс конфигурации junos === | + | ==== Сброс конфигурации junos ==== |
| < | < | ||
| | | ||
| Line 479: | Line 690: | ||
| ---- | ---- | ||
| - | === Сброс пароля для root === | ||
| - | |||
| - | ** Подключаемся консолью к маршрутизатору и включить его ** | ||
| - | Ждем "Hit [Enter] to boot immediately, | ||
| - | и нажимаем пробел. | ||
| - | |||
| - | ** Загружаемся в single mode **\\ | ||
| - | | ||
| - | | ||
| - | |||
| - | Дожидаемся "Enter full pathname of shell or ' | ||
| - | и вводим команду " | ||
| - | Ждем приглашения " | ||
| - | |||
| - | < | ||
| - | NOTE: Once in the CLI, you will need to enter configuration mode using | ||
| - | NOTE: the ' | ||
| - | NOTE: to reset the root password, type: | ||
| - | NOTE: configure | ||
| - | NOTE: set system root-authentication plain-text-password | ||
| - | NOTE: (enter the new password when asked) | ||
| - | NOTE: commit | ||
| - | NOTE: exit | ||
| - | NOTE: exit | ||
| - | NOTE: When you exit the CLI, you will be asked if you want to reboot | ||
| - | NOTE: the system | ||
| - | |||
| - | Starting CLI ... | ||
| - | |||
| - | root> | ||
| - | </ | ||
| - | |||
| - | ** Задаем новый пароль root, применяем конфигурацию и перезагружаемся ** | ||
| - | < | ||
| - | root> configure | ||
| - | Entering configuration mode | ||
| - | |||
| - | [edit] | ||
| - | root# set system root-authentication plain-text-password | ||
| - | New password: | ||
| - | Retype new password: | ||
| - | |||
| - | [edit] | ||
| - | root# commit | ||
| - | commit complete | ||
| - | |||
| - | [edit] | ||
| - | root# exit | ||
| - | Exiting configuration mode | ||
| - | |||
| - | root> request system reboot | ||
| - | Reboot the system ? [yes,no] (no) yes | ||
| - | Shutdown NOW! | ||
| - | </ | ||
| - | |||
| - | Подробное описание процедуры: | ||
| - | http:// | ||
| - | |||
| - | ---- | ||
| - | === Посмотреть загрузку cpu === | + | ==== Посмотреть загрузку cpu ==== |
| ** Routing Engine ** | ** Routing Engine ** | ||
qnote/junos.1492323177.txt.gz · Last modified: (external edit)