[Juniper] как прибить IP адреса к портам?

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2013-03-04 16:46:22

есть Juniper EX2200
надо к определённым портам прибить определённые IP адреса.
т.е. например
порт 1 - 192,168,1,1
порт 2 - 192,168,1,2
и далее...
--
задача, чтобы если на втором порту появится "особо умный" и прибёт себе на интерфейс 192,168,1,1 - у него либо нифига не работало, либо интерфейс в даун... либо чё-то такое... ну а того кто на первом порту - чтобы это не тронуло
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение lap » 2013-03-04 17:05:02

посмотри это: http://www.juniper.net/techpubs/en_US/j ... urity.html

я джуносвичи правда ниразу живьем не тыкал, и могу вести по ложному следу =)
Не сломалось - не чини.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2013-03-04 22:23:09

надо попробовать...
--
могу дать потыкать, у меня как раз освободился 24 портовый...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-03 22:24:40

если я всё верно понял, мне надо чё-то из этой оперы:
http://jnciastepbystep.blogspot.ru/2013 ... niper.html
http://www.juniper.net/techpubs/en_US/j ... urity.html
http://www.juniper.net/techpubs/en_US/j ... s-cli.html
проблема что тупое следование первой инструкции приводит к тому что хосты во влане становятся недоступны.
сам влан пингуется. IP статические.

попытки соединить все три инструкции в одну пока к победе не привели - я плохо понимаю что делаю.
может кто книжку посоветует по жуниперам - именно по этой теме
у меня тока по защите роутеров есть - по ней пробовал на фильтрах напилить требуемое - не удалось =((
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение FreeBSP » 2014-02-04 1:05:04

Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-04 7:16:55

ага. похоже что оно - тока то что касается голоса выпилить из листингов - и работает =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-04 7:54:01

однако - больше одного IP на один мак нельзя чтоле?

Код: Выделить всё

root@ex2200-0.host-food.ru# commit 
[edit ethernet-switching-options secure-access-port interface ge-0/0/24.0]
  'static-ip 91.227.17.16'
    Duplicate VLAN/MAC address : vlan-91.227.17.0/98:4b:e1:63:6f:6c
error: configuration check-out failed

{master:0}[edit ethernet-switching-options secure-access-port]
root@ex2200-0.host-food.ru# show | compare 
[edit ethernet-switching-options secure-access-port]
+  interface ge-0/0/24.0 {
+      static-ip 91.227.17.12 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.13 vlan vlan-91.227.17.0 mac 98:4b:e1:5f:32:06;
+      static-ip 91.227.17.16 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.17 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.18 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.19 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.20 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.21 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.22 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.23 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.24 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.25 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.26 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.27 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.28 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.29 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.30 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.31 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+  }
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-04 8:26:23

в общем, я так понимаю что этот вариант для 1 мак - 1 IP
а когда на одном маке несколько IP - чё делать-то...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение f_andrey » 2014-02-04 17:28:26

Влан на подсетку и её уже прибивать к интерфейсу, как точно сделать не скажу но точно можно :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение lap » 2014-02-04 17:32:49

каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип. =)
Не сломалось - не чини.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение FreeBSP » 2014-02-04 19:29:07

http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-06 22:54:47

lap писал(а):каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип. =)
однако, расход IP адресов будет феерический
а они нынче весьма дорогие...
FreeBSP писал(а):http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...
там говорится что нужная фича вроде появилась в 13 JunOS
но - у меня пока 12, т.к. именно он рекомендован. 13 - попозже видимо официально порекомендуют
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение FreeBSP » 2014-02-06 23:16:45

может зайти с другой стороны, посмотреть на 802.1x
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2014-02-17 22:40:15

FreeBSP писал(а):может зайти с другой стороны, посмотреть на 802.1x
это чё?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение FreeBSP » 2014-02-17 23:16:33

авторизация устройств на портах
тоесть типа пока устройство не авторизовалось, его в сети нет, и оно может только пытаться авторизоваться. авторизовалось - может ходить рабочий трафик.
сам знаком с этим только в теории, но для решения задачи мне кажется, может подойти, в зависимости от тех кто на том конце кабеля
это не совсем прибивка ипов к портам, но от левых устройств на порту поможет
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: [Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение FreeBSP » 2014-04-01 18:54:17

решил как-то задачу или забил?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2018-03-25 21:56:04

забил, щас вот вспомнил
буду наверное ковырять неторопясь - всё что надо для стенда есть в наличии, можно собирать и пробовать
--
просто, IP адреса стали ещё дороже за прошедшее время =))

P.S. тему, кстати, нашёл в яндексе, когда снова озадачился и начал искать
на первом, панимаешь месте... при том что решения в ней по факту-то нету...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2018-03-30 22:13:58

в общем, какого-то простого решения не нашёл
рабочий вариант - с фильтром, на каждый порт своим...

Код: Выделить всё

root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41 
description ds41;
inactive: disable;
unit 0 {
    family ethernet-switching {
        vlan {
            members ds41;
        }
        filter {
            input ds41;
        }
    }
}

[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41 
term SOURCE {
    from {
        source-mac-address {
            00:25:90:84:a5:54/48;
            00:25:90:84:93:d4/48;
        }
        source-address {
            91.227.17.34/32;
            91.227.17.35/32;
            91.227.17.36/32;
            91.227.17.37/32;
            91.227.17.38/32;
        }
    }
    then accept;
}
term denyOTHER {
    then discard;
}

[edit]
root@ex3200-48-1.host-food.ru# 
не скажу что в восторге, но в общем и целом - внятно, понятно. и работает
на днях ещё попробую MAC адрес соседа по сети украсть, дальше уже видно будет как и чего надо допилить
если будет надо - в прицнипе-то дальше интерфейса оно не уйдёт....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2018-03-30 23:51:22

а нифига. через 20 минут MAC исчезает из таблицы коммутатора и перестаёт работать
надо ещё чего-то пропустить. осталось понять - чего.
поскольку, как работает ARP я перечитал, никаких запросов с левых MAC там нет, используется MAC карточки...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2018-03-31 2:04:04

в общем, пора спать, пока на таком остановился, но уже не так логично ...

Код: Выделить всё

root@ex3200-48-1.host-food.ru# show ethernet-switching-options    
secure-access-port {
    interface ge-0/0/41.0 {
        mac-limit 2;
        allowed-mac [ 00:25:90:84:a5:54 00:25:90:84:93:d4 ];
    }
}
voip;

[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41 
term SOURCE {
    from {
        source-address {
            91.227.17.34/32;
            91.227.17.35/32;
            91.227.17.36/32;
            91.227.17.37/32;
            91.227.17.38/32;
        }
    }
    then accept;
}
term denyOTHER {
    then {
        discard;
        log;
    }
}

[edit]
root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41    
description ds41;
inactive: disable;
unit 0 {
    accept-source-mac {
        mac-address 00:25:90:84:a5:54;
    }
    family ethernet-switching {
        vlan {
            members DS;
        }
    }
}

[edit]
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

[Juniper] как прибить IP адреса к портам?

Непрочитанное сообщение Alex Keda » 2018-03-31 9:52:49

Код: Выделить всё

1249	58.727706	SuperMic_84:a5:54	JuniperN_30:ec:88	ARP	42	91.227.17.34 is at 00:25:90:84:a5:54
в изначальном варианте, проблема, как я понимаю в этом пакете.
он тупо не проходит фильтр - у него нет IP адреса.
Убей их всех! Бог потом рассортирует...