Настройка VLAN на Juniper SRX 100, Juniper SRX 210, SRX 220, SRX 650




Полезная ссылка: О нас и наших клиентах

 


Настройка нескольких VLAN в Juniper SRX 100, Juniper SRX 210


По умолчанию в SRX100 Juniper и SRX210 используется fe-0/0/0 в качестве интерфейса подключения к Интернету (WAN), а остальные интерфейсы ( fe-0/0/1 - fe-0/0/7 на SRX100 ) выступают в роли порта для VLAN. Это не редкость для сети требовать более одной VLAN по политикам безопасности или по техническим причинам. У себя дома я использую SRX100, но я хочу, чтобы мои домашние компьютеры использовали одну сеть VLAN, а мой сервер Dell T310 со всеми моими виртуальными устройствами другой VLAN.

Полезная ссылка: Помощь в настройке оборудования Juniper SRX

 

Таким образом устройство Small Business Server 2003 machine с собственным сервером DHCP не будет влиять на другие компьютеры, которые принадлежат моей семье (у моей жены есть мини- ноутбук, у нас также есть XBox ). Кроме того, я могу создать собственный сервер DHCP также и для Windows Server 2012 Essentials и он не будет влиять ни на виртуальное устройство SBS 2003, ни на семейные компьютеры. Поскольку каждое устройство использует собственную VLAN, все должно быть хорошо. 


Сначала введите edit interfaces vlan (редактирование интерфейсов VLAN) в SRX. Помните, что каждый физический интерфейс может иметь много логических интерфейсов. Очевидно, что интерфейс VLAN не физический интерфейс (нет физического интерфейса на передней части устройства), тем не менее к нему применяется то же правило. Введите следующее, чтобы создать еще три сети VLAN для данного интерфейса:


set unit 1 family inet address 192.168.5.1/24

set unit 2 family inet address 192.168.10.1/24

set unit 3 family inet address 192.168.15.1/24


При вводе show Вы должны увидеть следующее как текущую настройку интерфейса VLAN (Unit 0 - является здесь юнитом по умолчанию).

Настройка  VLAN в Juniper SRX 100, Juniper SRX 210


Теперь нужно перейти к фактическим настройкам VLAN в SRX. Введите top, чтобы выйти из интерфейсов и вернуться обратно к верхней части дерева конфигурации, затем введите edit vlans. Введите следующие три команды для создания новых VLANов для нашего интерфейса.


set vlan-trust2 vlan-id 4 l3-interface vlan.2

set vlan-trust3 vlan-id 5 l3-interface vlan.3

set vlan-trust4 vlan-id 6 l3-interface vlan.4


После ввода show ваши настройки VLAN должны выглядеть так:

Теперь нужно установить три интерфейса для наших новых сетей VLAN - один для каждой VLAN. Введите top, чтобы попасть в верхнюю часть дерева конфигурации и введите edit interfaces, чтобы вернуться в список интерфейсов. Для своей настройки, я собираюсь выбрать fe-0/0/7 для своей четвертой VLAN, fe-0/0/6 для третьей VLAN, и fe-0/0/5 второй VLAN. Введите следующее:


delete fe-0/0/7 unit 0 family ethernet-switching vlan members vlan-trust

set fe-0/0/7 unit 0 ethernet-switching vlan members vlan-trust4

delete fe-0/0/6 unit 0 family ethernet-switching vlan members vlan-trust

set fe-0/0/6 unit 0 ethernet-switching vlan members vlan-trust3

delete fe-0/0/5 unit 0 family ethernet-switching vlan members vlan-trust

set fe-0/0/5 unit 0 ethernet-switching vlan members vlan-trust2


Наш последний шаг заключается в настройке DHCP для одной из сетей VLAN. DHCP мне нужен только для одной из сетей VLAN, поскольку у двух других уже есть сервер, например Windows Server 2012 Essentials имеет сервер DHCP. Введите top, чтобы убедиться, что вы находитесь вверху дерева конфигурации. Далее введите edit system services dhcp.


Введите следующие команды, чтобы создать новую область DHCP и выбрать её для последней VLAN:


delete router

set pool 192.168.1.0/24 router 192.168.1.1

set pool 192.168.15.0/24 address-range low 192.168.15.10 high 192.168.15.254

set pool 192.168.15.0/24 router 192.168.15.1

set pool 192.168.15.0/24 propagate-settings fe-0/0/0


Обратите внимание, что нам нужно было удалить исходные данные маршрутизатора, так как они выходили за область пула (pool) и, следовательно, распространили бы действие маршрутизатора на все области DHCP. Если возникла ошибка, из-за которой удалилась команда, не волнуйтесь, просто введите show, чтобы увидеть настройки маршрутизатора. Если это случилось в первом пуле, пропустите эту команду и завершите установку второго пула. После ввода show DHCP должен выглядеть следующим образом:

Как только вы закончите с этим, введите commit confirmed 5, который зафиксирует ваши настройки, но даст вам 3 минуты, чтобы ввести confirmed еще раз, прежде чем вернуть вас обратно. Таким образом, если допущена ошибка, вы вернетесь к вашей последней удачной конфигурации и можете попробовать еще раз. Ожидая свои ​​5 минут, не забудьте подключить компьютер к другим интерфейсам на устройстве, чтобы убедиться, что они имеют возможность соединения. Для этих интерфейсов без DHCP, вам необходимо назначить статический IP-адрес. После того как вы убедитесь, что все хорошо, введите commit again, чтобы закрепить изменения, прежде чем вы вернетесь назад.


Теперь у нас есть три сети VLAN на нашем SRX. Одна VLAN с интерфейсами fe-0/01 через fe-0/0/4 с DHCP, одна с fe-0/0/5 без DHCP, одна с fe-0/0/6 без DHCP, и одна с FE-0 / 0/7 с DHCP. В таблице ниже подведен итог.


vLAN

Interface

IP Address

DHCP

0

fe-0/0/1

192.168.1.0/24

Yes

 

fe-0/0/2

192.168.1.0/24

 

 

fe-0/0/3

192.168.1.0/24

 

 

fe-0/0/4

192.168.1.0/24

 

1

fe-0/0/5

192.168.5.0/24

No

2

fe-0/0/6

192.168.10.0/24

No

3

fe-0/0/7

192.168.15.0/24


Yes

 Что касается безопасности, все VLANы принадлежат к зоне trust и придерживаются политики этой зоны. Позже мы попробуем настроить VLAN на свои собственные зоны, чтобы мы могли лучше контролировать безопасность.



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Всего 2, последний 2 года назад
router88 26 авг 2014 ответить
Уважаемый автор, настроил при помощи статьи на srx 210 три влана, только без dhcp. Это телефон, камеры и компьютеры. Возможно ли сделать так, чтоб компы из своего влана с подсетью х.х.1.х видели видеосервер из другого влана с подсетью х.х.10.х и миниатс с третьего влана с подсетью х.х.5.х ? Очень нужно.
   
juniper 29 авг 2014 ответить
А вот тут уже не понятно: зачем сначала делить сеть на части, а потом объединять. Или же я не совсем правильно понял и надо не объединять, а только предоставлять доступ из одного VLAN к отдельным устройствам в других VLAN. Если так, то я бы просто сделал проброс либо нескольких портов (телефония, видео) из соответствующих VLAN в сеть с компьютерами, либо просто пробросил бы соответствующие адреса целиком (опять-таки в сеть с компьютерами). И в том и в другом случае имел бы место NAT.

Ну или вместо NAT использовать фильтрацию трафика при маршрутизации.

Вопрос, какой из вариантов больше нагрузит процессор SRX. Предполагаю, что примерно одинаково.
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником
 

____

______
Яндекс.Метрика