hvostat: Jeeslaya (Default)
0) Покупаем 3G-модем из списка.
1) Вытряхиваем из провайдера мобильной связи конфигурацию.
Для "Мегафона" она выглядит следующим образом:
Строка инициализации: AT+CGDCONT=1,"IP","internet"
Метод аутентификации: CHAP
Логин: gdata
Пароль: gdata
Номер телефона: *99#

Сразу могу сказать, что SRX "подавился" номером "*99#" и потребовал только цифры. Совершенно без проблем указываем 99.

2) Устанавливаем и настраиваем интерфейс вот таким образом.
3) Конфигурируем физический интерфейс:
edit interfaces cl-0/0/8
set modem-options init-command-string AT+CGDCONT=1,IP,internet
set dialer-options pool 2 priority 10
4) Конфигурируем логический Dialer-интерфейс:
edit interfaces dl0
set encapsulation ppp
edit unit 0
set family inet
set family inet neogitate address
set dialer-options pool 2
set dialer-options dial-string 99
5) Добавляем маршрут:
set routing-options static route 0.0.0.0/0 next-hop dl0.0
6) Указываем, какой интерфейс будем резервировать с помощью 3G:
edit interfaces fe-0/0/0.0
set backup-options interface dl0.0
7) Подтверждаем, что да, мы это всё серьёзно:
commit
8) Создаём профиль в модеме:
request modem wireless gsm delete-profile cl-0/0/8 profile-id 2
request modem wireless gsm create-profile cl-0/0/8 profile-id 1 sip-user-id gdata sip-password gdata access-point-name internet authentication-method chap
9) Добавляем интерфейс dl0.0 в Security-Zone "Internet" или "Untrust".
10) Перезагружаем роутер:
request system reboot
11) ???
12) PROFIT!

Результат: автоматическое переключение на резервный 3G-линк и обратно. Переключение происходит достаточно быстро: теряются от 3-х до 5-ти пингов.
Внимание! Это конфигурация отрабатывает только в том случае, если интерфейс, который бэкапится, отключится по причине (случайного) выдёргивания кабеля, перегрызания кабеля крысами или отключения оборудования на противоположной стороне.

Версия JunOS 12.1X46-D35.1
_
hvostat: Jeeslaya (Default)
0) Подбираем модем из списка.
1) Модем в USB-порт НЕ ВКЛЮЧАЕМ.
2) Вваливаемся в CLI.
3) Переходим в режим редактирования конфигурации. Вводим:
edit
4) Переключаем режим работы USB-порта. Вводим команду:
set chassis routing-engine usb-wwan port 0
5) Подтверждаем, что да, мы это серьёзно. Вводим:
commit
6) Выключаем роутер. Вводим команду:
request system power-off
Либо выключаем железной кнопкой на корпусе.
7) Включаем модем в USB-порт.
8) Включаем роутер. Ждём, пока запустится. (примерно пять минут) Снова вваливаемся в CLI.
Проверяем кривизну радиуса рук:

Username@SRX> show modem wireless interface cl-0/0/8

Username@SRX> show interfaces cl-0/0/8 extensive

Вывод должен быть примерно таким: )

_
hvostat: Jeeslaya (Default)
Всё время, пока разбирался с этими симпатичными синими коробочками, всегда было интересен ответ на вполне здравый вопрос любого нормального инженера: А ЧТО У НЕГО ВНУТРИ?

А внутри у него неонка MIPS64-процессор Cavium OCTEON Plus CN5020.

DMESG + фотографии:

лог + фото )

_
hvostat: Jeeslaya (Default)
Проблема: IPsec VPN на SRX работает медленно - передача данных идёт со скоростью ~2.5 МБ/сек.
Переключения режима шифрования с AES на 3DES не влияют на производительность.

Причина: MTU/MSS меньше 1500 за счёт (двойной) инкапсуляции.

Решение:
1) Заходим в консоль роутера.
2) Переходим в режим редактирования
edit
3) Вводим команду:
set security flow tcp-mss ipsec-vpn mss 1392
4) Подтверждаем, что да, мы это серьёзно:
commit
5) ???
6) Profit!!!

_
hvostat: Jeeslaya (Default)
Окончил лабу по Juniper.

Имею сказать следующее:

Это замечательные устройства!

Включенные через свитч и после этого через построенный IPsec-тоннель два SRX100 протащили 6.5 мегабайт/секунду.
Причём, алгоритм шифрования не имеет значения: что AES-128, что 3DES.

С заявленными 65 МБит/сек почти совпадает.
(AES256+SHA-1 / 3DES+SHA-1 VPN performance)

Попытаюсь их оптимизировать еще, посмотрим, удастся ли выжать из него честные 8 МБ/сек.

Что интересно - загрузка процессора упёрлась в 99% на устройстве, который РАСШИФРОВЫВАЕТ траффик.
На устройстве, которое шифрует - всего 80%.

Конфигурация )

_
hvostat: Jeeslaya (Default)
Замерял время, за которое SRX100 "прогревается" и начинает работать.

От нажатия на кнопку "Power" до пингов проходит ровно 5 (пять) минут.
VPN взводится еще 40 секунд.

_
hvostat: Jeeslaya (Default)
Шпаргалка по конфигурированию wan failower.

* * * )

_
hvostat: Jeeslaya (Default)
История с диодами SRX100 получила продолжение.

После очередной перезагрузки первый роутер (у меня их сейчас два, утащил их домой вместе со свитчом, собрал стенд и тестирую) стал опять подмигивать мне двумя диодами на порту.

_
hvostat: Jeeslaya (Default)
Ошибки на интерфейсах есть двух разновидностей: ошибки входа и ошибки вывода.

Troubleshootin'! Me haz it! )

_
hvostat: Jeeslaya (Default)
В процессе изучения, перезагрузил роутер.

И шо вы думаете?

Теперь у него тоже светится и моргает только по одному светодиоду на портах.

_
hvostat: Jeeslaya (Default)
В рамках повышения ква-ква-квалификации неспеша и вдумчиво осваиваю маршрутизаторы Juniper.

Столкнулся с одной особенностью (багом?).
Она совершенно не критична для работы, но было бы интересно разобраться.

Overview.
Есть два маршрутизатора SRX100 (srx100h2).
Совершенно одинаковые:
Прошивки: JUNOS Software Release [12.1X44-D40.2]
BIOS: 2.7

Особенность связана со светодиодами, индицирующими состояние порта.
На каждом порту есть ДВА светодиода.
На первой железке всё, как положено: один индицирует состояние порта: включен/выключен.
Второй диод мигает при активности.

На второй железке второй светодиод всегда выключен, но первый совмещает в себе две роли сразу.
Он светится постоянно, если есть линк и мигает, если есть активность.
Это - НОРМАЛЬНОЕ поведение, так написано в мануале.

Вопросы:
1) Почему так происходит?
2) Почему инженеры Juniper’а используют по одному диоду для индикации, если их там два?

_

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:09
Powered by Dreamwidth Studios