[Juniper] как прибить IP адреса к портам?
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
есть Juniper EX2200
надо к определённым портам прибить определённые IP адреса.
т.е. например
порт 1 - 192,168,1,1
порт 2 - 192,168,1,2
и далее...
--
задача, чтобы если на втором порту появится "особо умный" и прибёт себе на интерфейс 192,168,1,1 - у него либо нифига не работало, либо интерфейс в даун... либо чё-то такое... ну а того кто на первом порту - чтобы это не тронуло
надо к определённым портам прибить определённые IP адреса.
т.е. например
порт 1 - 192,168,1,1
порт 2 - 192,168,1,2
и далее...
--
задача, чтобы если на втором порту появится "особо умный" и прибёт себе на интерфейс 192,168,1,1 - у него либо нифига не работало, либо интерфейс в даун... либо чё-то такое... ну а того кто на первом порту - чтобы это не тронуло
Убей их всех! Бог потом рассортирует...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
посмотри это: http://www.juniper.net/techpubs/en_US/j ... urity.html
я джуносвичи правда ниразу живьем не тыкал, и могу вести по ложному следу
я джуносвичи правда ниразу живьем не тыкал, и могу вести по ложному следу
Не сломалось - не чини.
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
надо попробовать...
--
могу дать потыкать, у меня как раз освободился 24 портовый...
--
могу дать потыкать, у меня как раз освободился 24 портовый...
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
если я всё верно понял, мне надо чё-то из этой оперы:
http://jnciastepbystep.blogspot.ru/2013 ... niper.html
http://www.juniper.net/techpubs/en_US/j ... urity.html
http://www.juniper.net/techpubs/en_US/j ... s-cli.html
проблема что тупое следование первой инструкции приводит к тому что хосты во влане становятся недоступны.
сам влан пингуется. IP статические.
попытки соединить все три инструкции в одну пока к победе не привели - я плохо понимаю что делаю.
может кто книжку посоветует по жуниперам - именно по этой теме
у меня тока по защите роутеров есть - по ней пробовал на фильтрах напилить требуемое - не удалось =((
http://jnciastepbystep.blogspot.ru/2013 ... niper.html
http://www.juniper.net/techpubs/en_US/j ... urity.html
http://www.juniper.net/techpubs/en_US/j ... s-cli.html
проблема что тупое следование первой инструкции приводит к тому что хосты во влане становятся недоступны.
сам влан пингуется. IP статические.
попытки соединить все три инструкции в одну пока к победе не привели - я плохо понимаю что делаю.
может кто книжку посоветует по жуниперам - именно по этой теме
у меня тока по защите роутеров есть - по ней пробовал на фильтрах напилить требуемое - не удалось =((
Убей их всех! Бог потом рассортирует...
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: [Juniper] как прибить IP адреса к портам?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
ага. похоже что оно - тока то что касается голоса выпилить из листингов - и работает
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
однако - больше одного IP на один мак нельзя чтоле?
Код: Выделить всё
root@ex2200-0.host-food.ru# commit
[edit ethernet-switching-options secure-access-port interface ge-0/0/24.0]
'static-ip 91.227.17.16'
Duplicate VLAN/MAC address : vlan-91.227.17.0/98:4b:e1:63:6f:6c
error: configuration check-out failed
{master:0}[edit ethernet-switching-options secure-access-port]
root@ex2200-0.host-food.ru# show | compare
[edit ethernet-switching-options secure-access-port]
+ interface ge-0/0/24.0 {
+ static-ip 91.227.17.12 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.13 vlan vlan-91.227.17.0 mac 98:4b:e1:5f:32:06;
+ static-ip 91.227.17.16 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.17 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.18 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.19 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.20 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.21 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.22 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.23 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.24 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.25 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.26 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.27 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.28 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.29 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.30 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ static-ip 91.227.17.31 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+ }
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
в общем, я так понимаю что этот вариант для 1 мак - 1 IP
а когда на одном маке несколько IP - чё делать-то...
а когда на одном маке несколько IP - чё делать-то...
Убей их всех! Бог потом рассортирует...
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
Влан на подсетку и её уже прибивать к интерфейсу, как точно сделать не скажу но точно можно
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип.
Не сломалось - не чини.
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: [Juniper] как прибить IP адреса к портам?
http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
однако, расход IP адресов будет феерическийlap писал(а):каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип.
а они нынче весьма дорогие...
там говорится что нужная фича вроде появилась в 13 JunOSFreeBSP писал(а):http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...
но - у меня пока 12, т.к. именно он рекомендован. 13 - попозже видимо официально порекомендуют
Убей их всех! Бог потом рассортирует...
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: [Juniper] как прибить IP адреса к портам?
может зайти с другой стороны, посмотреть на 802.1x
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [Juniper] как прибить IP адреса к портам?
это чё?FreeBSP писал(а):может зайти с другой стороны, посмотреть на 802.1x
Убей их всех! Бог потом рассортирует...
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: [Juniper] как прибить IP адреса к портам?
авторизация устройств на портах
тоесть типа пока устройство не авторизовалось, его в сети нет, и оно может только пытаться авторизоваться. авторизовалось - может ходить рабочий трафик.
сам знаком с этим только в теории, но для решения задачи мне кажется, может подойти, в зависимости от тех кто на том конце кабеля
это не совсем прибивка ипов к портам, но от левых устройств на порту поможет
тоесть типа пока устройство не авторизовалось, его в сети нет, и оно может только пытаться авторизоваться. авторизовалось - может ходить рабочий трафик.
сам знаком с этим только в теории, но для решения задачи мне кажется, может подойти, в зависимости от тех кто на том конце кабеля
это не совсем прибивка ипов к портам, но от левых устройств на порту поможет
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: [Juniper] как прибить IP адреса к портам?
решил как-то задачу или забил?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
забил, щас вот вспомнил
буду наверное ковырять неторопясь - всё что надо для стенда есть в наличии, можно собирать и пробовать
--
просто, IP адреса стали ещё дороже за прошедшее время )
P.S. тему, кстати, нашёл в яндексе, когда снова озадачился и начал искать
на первом, панимаешь месте... при том что решения в ней по факту-то нету...
буду наверное ковырять неторопясь - всё что надо для стенда есть в наличии, можно собирать и пробовать
--
просто, IP адреса стали ещё дороже за прошедшее время )
P.S. тему, кстати, нашёл в яндексе, когда снова озадачился и начал искать
на первом, панимаешь месте... при том что решения в ней по факту-то нету...
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
в общем, какого-то простого решения не нашёл
рабочий вариант - с фильтром, на каждый порт своим...
не скажу что в восторге, но в общем и целом - внятно, понятно. и работает
на днях ещё попробую MAC адрес соседа по сети украсть, дальше уже видно будет как и чего надо допилить
если будет надо - в прицнипе-то дальше интерфейса оно не уйдёт....
рабочий вариант - с фильтром, на каждый порт своим...
Код: Выделить всё
root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41
description ds41;
inactive: disable;
unit 0 {
family ethernet-switching {
vlan {
members ds41;
}
filter {
input ds41;
}
}
}
[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41
term SOURCE {
from {
source-mac-address {
00:25:90:84:a5:54/48;
00:25:90:84:93:d4/48;
}
source-address {
91.227.17.34/32;
91.227.17.35/32;
91.227.17.36/32;
91.227.17.37/32;
91.227.17.38/32;
}
}
then accept;
}
term denyOTHER {
then discard;
}
[edit]
root@ex3200-48-1.host-food.ru#
на днях ещё попробую MAC адрес соседа по сети украсть, дальше уже видно будет как и чего надо допилить
если будет надо - в прицнипе-то дальше интерфейса оно не уйдёт....
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
а нифига. через 20 минут MAC исчезает из таблицы коммутатора и перестаёт работать
надо ещё чего-то пропустить. осталось понять - чего.
поскольку, как работает ARP я перечитал, никаких запросов с левых MAC там нет, используется MAC карточки...
надо ещё чего-то пропустить. осталось понять - чего.
поскольку, как работает ARP я перечитал, никаких запросов с левых MAC там нет, используется MAC карточки...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
в общем, пора спать, пока на таком остановился, но уже не так логично ...
Код: Выделить всё
root@ex3200-48-1.host-food.ru# show ethernet-switching-options
secure-access-port {
interface ge-0/0/41.0 {
mac-limit 2;
allowed-mac [ 00:25:90:84:a5:54 00:25:90:84:93:d4 ];
}
}
voip;
[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41
term SOURCE {
from {
source-address {
91.227.17.34/32;
91.227.17.35/32;
91.227.17.36/32;
91.227.17.37/32;
91.227.17.38/32;
}
}
then accept;
}
term denyOTHER {
then {
discard;
log;
}
}
[edit]
root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41
description ds41;
inactive: disable;
unit 0 {
accept-source-mac {
mac-address 00:25:90:84:a5:54;
}
family ethernet-switching {
vlan {
members DS;
}
}
}
[edit]
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
[Juniper] как прибить IP адреса к портам?
Код: Выделить всё
1249 58.727706 SuperMic_84:a5:54 JuniperN_30:ec:88 ARP 42 91.227.17.34 is at 00:25:90:84:a5:54
он тупо не проходит фильтр - у него нет IP адреса.
Убей их всех! Бог потом рассортирует...