forum.lissyara.su

Добавлено: **2013-03-04 16:46:22**

есть Juniper EX2200
надо к определённым портам прибить определённые IP адреса.
т.е. например
порт 1 - 192,168,1,1
порт 2 - 192,168,1,2
и далее...
--
задача, чтобы если на втором порту появится "особо умный" и прибёт себе на интерфейс 192,168,1,1 - у него либо нифига не работало, либо интерфейс в даун... либо чё-то такое... ну а того кто на первом порту - чтобы это не тронуло

Добавлено: **2013-03-04 17:05:02**

посмотри это: http://www.juniper.net/techpubs/en_US/j ... urity.html

я джуносвичи правда ниразу живьем не тыкал, и могу вести по ложному следу

Добавлено: **2013-03-04 22:23:09**

надо попробовать...
--
могу дать потыкать, у меня как раз освободился 24 портовый...

Добавлено: **2014-02-03 22:24:40**

если я всё верно понял, мне надо чё-то из этой оперы:
http://jnciastepbystep.blogspot.ru/2013 ... niper.html
http://www.juniper.net/techpubs/en_US/j ... urity.html
http://www.juniper.net/techpubs/en_US/j ... s-cli.html
проблема что тупое следование первой инструкции приводит к тому что хосты во влане становятся недоступны.
сам влан пингуется. IP статические.

попытки соединить все три инструкции в одну пока к победе не привели - я плохо понимаю что делаю.
может кто книжку посоветует по жуниперам - именно по этой теме
у меня тока по защите роутеров есть - по ней пробовал на фильтрах напилить требуемое - не удалось =((

Добавлено: **2014-02-04 1:05:04**

http://www.juniper.net/techpubs/en_US/j ... -vlan.html

Добавлено: **2014-02-04 7:16:55**

ага. похоже что оно - тока то что касается голоса выпилить из листингов - и работает

Добавлено: **2014-02-04 7:54:01**

однако - больше одного IP на один мак нельзя чтоле?

Код: Выделить всё

root@ex2200-0.host-food.ru# commit 
[edit ethernet-switching-options secure-access-port interface ge-0/0/24.0]
  'static-ip 91.227.17.16'
    Duplicate VLAN/MAC address : vlan-91.227.17.0/98:4b:e1:63:6f:6c
error: configuration check-out failed

{master:0}[edit ethernet-switching-options secure-access-port]
root@ex2200-0.host-food.ru# show | compare 
[edit ethernet-switching-options secure-access-port]
+  interface ge-0/0/24.0 {
+      static-ip 91.227.17.12 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.13 vlan vlan-91.227.17.0 mac 98:4b:e1:5f:32:06;
+      static-ip 91.227.17.16 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.17 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.18 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.19 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.20 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.21 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.22 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.23 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.24 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.25 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.26 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.27 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.28 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.29 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.30 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+      static-ip 91.227.17.31 vlan vlan-91.227.17.0 mac 98:4b:e1:63:6f:6c;
+  }

Добавлено: **2014-02-04 8:26:23**

в общем, я так понимаю что этот вариант для 1 мак - 1 IP
а когда на одном маке несколько IP - чё делать-то...

Добавлено: **2014-02-04 17:28:26**

Влан на подсетку и её уже прибивать к интерфейсу, как точно сделать не скажу но точно можно

Добавлено: **2014-02-04 17:32:49**

каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип.

Добавлено: **2014-02-04 19:29:07**

http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...

Добавлено: **2014-02-06 22:54:47**

lap писал(а):каждый порт в отдельный влан, и на роутере объединять в мегабридж и привязка мак-ип.

однако, расход IP адресов будет феерический
а они нынче весьма дорогие...

FreeBSP писал(а):http://forums.juniper.net/t5/Ethernet-S ... d-p/194853
вот тут вроде та же тема обсуждается, но по диагонали решения я не увидел...

там говорится что нужная фича вроде появилась в 13 JunOS
но - у меня пока 12, т.к. именно он рекомендован. 13 - попозже видимо официально порекомендуют

Добавлено: **2014-02-06 23:16:45**

может зайти с другой стороны, посмотреть на 802.1x

Добавлено: **2014-02-17 22:40:15**

FreeBSP писал(а):может зайти с другой стороны, посмотреть на 802.1x

это чё?

Добавлено: **2014-02-17 23:16:33**

авторизация устройств на портах
тоесть типа пока устройство не авторизовалось, его в сети нет, и оно может только пытаться авторизоваться. авторизовалось - может ходить рабочий трафик.
сам знаком с этим только в теории, но для решения задачи мне кажется, может подойти, в зависимости от тех кто на том конце кабеля
это не совсем прибивка ипов к портам, но от левых устройств на порту поможет

Добавлено: **2014-04-01 18:54:17**

решил как-то задачу или забил?

Добавлено: **2018-03-25 21:56:04**

забил, щас вот вспомнил
буду наверное ковырять неторопясь - всё что надо для стенда есть в наличии, можно собирать и пробовать
--
просто, IP адреса стали ещё дороже за прошедшее время

)

P.S. тему, кстати, нашёл в яндексе, когда снова озадачился и начал искать
на первом, панимаешь месте... при том что решения в ней по факту-то нету...

Добавлено: **2018-03-30 22:13:58**

в общем, какого-то простого решения не нашёл
рабочий вариант - с фильтром, на каждый порт своим...

Код: Выделить всё

root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41 
description ds41;
inactive: disable;
unit 0 {
    family ethernet-switching {
        vlan {
            members ds41;
        }
        filter {
            input ds41;
        }
    }
}

[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41 
term SOURCE {
    from {
        source-mac-address {
            00:25:90:84:a5:54/48;
            00:25:90:84:93:d4/48;
        }
        source-address {
            91.227.17.34/32;
            91.227.17.35/32;
            91.227.17.36/32;
            91.227.17.37/32;
            91.227.17.38/32;
        }
    }
    then accept;
}
term denyOTHER {
    then discard;
}

[edit]
root@ex3200-48-1.host-food.ru#

не скажу что в восторге, но в общем и целом - внятно, понятно. и работает
на днях ещё попробую MAC адрес соседа по сети украсть, дальше уже видно будет как и чего надо допилить
если будет надо - в прицнипе-то дальше интерфейса оно не уйдёт....

Добавлено: **2018-03-30 23:51:22**

а нифига. через 20 минут MAC исчезает из таблицы коммутатора и перестаёт работать
надо ещё чего-то пропустить. осталось понять - чего.
поскольку, как работает ARP я перечитал, никаких запросов с левых MAC там нет, используется MAC карточки...

Добавлено: **2018-03-31 2:04:04**

в общем, пора спать, пока на таком остановился, но уже не так логично ...

Код: Выделить всё

root@ex3200-48-1.host-food.ru# show ethernet-switching-options    
secure-access-port {
    interface ge-0/0/41.0 {
        mac-limit 2;
        allowed-mac [ 00:25:90:84:a5:54 00:25:90:84:93:d4 ];
    }
}
voip;

[edit]
root@ex3200-48-1.host-food.ru# show firewall family ethernet-switching filter ds41 
term SOURCE {
    from {
        source-address {
            91.227.17.34/32;
            91.227.17.35/32;
            91.227.17.36/32;
            91.227.17.37/32;
            91.227.17.38/32;
        }
    }
    then accept;
}
term denyOTHER {
    then {
        discard;
        log;
    }
}

[edit]
root@ex3200-48-1.host-food.ru# show interfaces ge-0/0/41    
description ds41;
inactive: disable;
unit 0 {
    accept-source-mac {
        mac-address 00:25:90:84:a5:54;
    }
    family ethernet-switching {
        vlan {
            members DS;
        }
    }
}

[edit]

Добавлено: **2018-03-31 9:52:49**

Код: Выделить всё

1249	58.727706	SuperMic_84:a5:54	JuniperN_30:ec:88	ARP	42	91.227.17.34 is at 00:25:90:84:a5:54

в изначальном варианте, проблема, как я понимаю в этом пакете.
он тупо не проходит фильтр - у него нет IP адреса.

forum.lissyara.su

[Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

Re: [Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?

[Juniper] как прибить IP адреса к портам?