RTFM && WTFN - backup

User Tools

Site Tools

Trace:
qnote:junos

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
qnote:junos [2017/05/27 11:01] – [Сброс пароля для root] kqnote:junos [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 1: Line 1:
 ===== Быстрые заметки по Junos ===== ===== Быстрые заметки по Junos =====
 +
 +==== Анализ проблемы с pppoe ====
 +
 +В одном офисе перестал работать pppoe канал в интернет.\\
 +Со стороны провайдера было видно srx, но не проходила аутентификация. 
 +
 +При установлении pppoe соединения маршрутизаторы общаются по протоколу [[https://ru.wikipedia.org/wiki/LCP|LCP]] - Link Control Protocol. \\ 
 +Что бы разобраться в проблеме надо посмотреть обмен LCP сообщениями. 
 +
 +Смотрим трафик на интерфейсе к которому подключен провайдер.\\
 +<code>
 +root@srx> monitor traffic interface pp0.0 extensive count 100
 +</code>
 +
 +Начало новой сессии, srx послылает запрос на согласование (Conf-Request) параметров (опций) подключения. 
 +<code>
 +18:03:52.248235 Out 
 +        ...
 +        -----original packet-----
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 36: PPPoE  [ses 37713]LCP (0xc021), length 16: LCP, Conf-Request (0x01), id 70, length 16
 +        encoded length 14 (=Option(s) length 10)
 +        0x0000: c021 0146 000e 
 +          MRU Option (0x01), length 4: 1492
 +            0x0000: 05d4 
 +          Magic-Num Option (0x05), length 6: 0x5665bd0c
 +            0x0000: 5665 bd0c 
 +</code>
 +
 +Провайдер согласился с предложенными значениям параметров (Conf-Ack). 
 +<code>
 +18:03:52.268010  In 
 +        ...
 +        -----original packet-----
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 16: LCP, Conf-Ack (0x02), id 70, length 16
 +        encoded length 14 (=Option(s) length 10)
 +        0x0000: c021 0246 000e 
 +          MRU Option (0x01), length 4: 1492
 +            0x0000: 05d4 
 +          Magic-Num Option (0x05), length 6: 0x5665bd0c
 +            0x0000: 5665 bd0c 
 +</code>
 +
 +Провайдер предложил следующую пачку опций, в т.ч. и метот аутентификации - PAP (Auth-Prot Option). 
 +<code>
 +18:03:54.132155  In 
 +        ...
 +        -----original packet-----
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 37: LCP, Conf-Request (0x01), id 2, length 37
 +        encoded length 35 (=Option(s) length 31)
 +        0x0000: c021 0102 0023 
 +          PFC Option (0x07), length 2: 
 +          MRU Option (0x01), length 4: 1492
 +            0x0000: 05d4 
 +          Magic-Num Option (0x05), length 6: 0x2840ee38
 +            0x0000: 2840 ee38 
 +          Auth-Prot Option (0x03), length 4: PAP
 +            0x0000: c023 
 +          MRRU Option (0x11), length 4: 2048
 +            0x0000: 0800 
 +          12-Bit seq # Option (0x12), length 2: 
 +          End-Disc Option (0x13), length 9: MAC 00:1e:67:00:00:03
 +            0x0000: 0300 1e67 0278 27
 +</code>
 +
 +SRX не согласился (Conf-Reject) с предложенными провайдером значениями папаметров,  и послал список неугодных опций. 
 +<code>
 +18:03:54.132528 Out 
 +        ...
 +        -----original packet-----
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 43: PPPoE  [ses 37713]LCP (0xc021), length 23: LCP, Conf-Reject (0x04), id 2, length 23
 +        encoded length 21 (=Option(s) length 17)
 +        0x0000: c021 0402 0015 
 +          PFC Option (0x07), length 2: 
 +          MRRU Option (0x11), length 4: 2048
 +            0x0000: 0800 
 +          12-Bit seq # Option (0x12), length 2: 
 +          End-Disc Option (0x13), length 9: MAC 00:1e:67:00:00:03
 +            0x0000: 0300 1e67 0278 27
 +</code>
 +
 +Провайдер еще раз предлагает метот аутентификации PAP (Auth-Prot Option)
 +<code>
 +18:03:54.134273  In 
 +        ...
 +        -----original packet-----
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 20: LCP, Conf-Request (0x01), id 3, length 20
 +        encoded length 18 (=Option(s) length 14)
 +        0x0000: c021 0103 0012 
 +          MRU Option (0x01), length 4: 1492
 +            0x0000: 05d4 
 +          Magic-Num Option (0x05), length 6: 0x2840ee38
 +            0x0000: 2840 ee38 
 +          Auth-Prot Option (0x03), length 4: PAP
 +            0x0000: c023 
 +</code>
 +
 +SRX поправляет и предлагает CHAP (Auth-Prot Option). 
 +<code>
 +18:03:54.134654 Out 
 +        ...
 +        -----original packet-----
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 31: PPPoE  [ses 37713]LCP (0xc021), length 11: LCP, Conf-Nack (0x03), id 3, length 11
 +        encoded length 9 (=Option(s) length 5)
 +        0x0000: c021 0303 0009 
 +          Auth-Prot Option (0x03), length 5: CHAP, MD5
 +            0x0000: c223 05
 +</code>
 +
 +Последние два сообщения еще раз десять ходят в обе стороны и потом согласование параметров начинается заново. \\ 
 +После осозная проблемы связались с провайдером и попросили переделать аутентификацию на CHAP.  
 +
 +----
 +
 +==== TCP-RST в настройках зоны безопасности ====
 +
 +tcp-rst - Send RST for NON-SYN packet not matching TCP session
 +
 +<code>
 +[edit]
 +root@bluebox# set security zones security-zone TRUST ?   
 +Possible completions:
 +  <[Enter]>            Execute this command
 +> address-book         Address book entries
 +  application-tracking  Enable Application tracking support for this zone
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +  description          Text description of zone
 +> host-inbound-traffic  Allowed system services & protocols
 +> interfaces           Interfaces that are part of this zone
 +  screen               Name of ids option object applied to the zone
 +  tcp-rst              Send RST for NON-SYN packet not matching TCP session
 +  |                    Pipe through a command
 +</code>
 +
 +==== Посмотреть тип железа и серийник ====
 +**show chassis hardware**
 +<code>
 +[edit security utm]
 +root@msk-02-srx2# run show chassis hardware
 +Hardware inventory:
 +Item             Version  Part number  Serial number     Description
 +Chassis                                AU3911AF0XXX      SRX100H
 +Routing Engine   REV 18   750-021773   AT3911AF0XXX      RE-SRX100H
 +FPC 0                                                    FPC
 +  PIC 0                                                  8x FE Base PIC
 +Power Supply 0
 +
 +</code>
  
 ==== dhcp helper ==== ==== dhcp helper ====
qnote/junos.1495872065.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki