Я согласен со всем, но:
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
А в чем проблема? Ну укажи влан 1. Все будет точно так же работать. Никакой привязки номера юнита (субинтерфейса) к номеру влана нет. Или ты что хочешь?
Если честно, я не в курсе, как в деталях работает эта схема, но она работает, это проверено.
По факту она делает следующее: все, что приходит с ISP2 — уходит в него же. Все, что приходит с ISP1, тоже уходит в него же.
Короче, с какого внешнего интерфейса пакет пришел — в тот он и уйдет. Это реально удобно.
Хорошо.
1. Если я скажу, что на каждом интерфейсе внешнем поднят source NAT — так станет понятнее? Или в чем вопрос?
2. Я описал нормальную ситуацию среди нормальных провайдеров. Не цепляйтесь к словам, коллега.
3. В данном случае маршрутизатору не из чего выбирать. Он всегда обязан обработать входящие пакеты соответствующей таблицей маршрутизации. Соответственно, на одном внешнем интерфейсе она одна, на другом — другая. Здесь нет балансировки, т.к. задачи такой не стоит.
Есть виртуалка Junos OS 12.1R1.9 (более менее последняя) вот здесь rutracker.org/forum/viewtopic.php?t=4061726
Но в каком виде все это работает — если честно, без понятия! )
Кстати, не работает align почему-то. Ставил и center и middle…
Режим «конкурирования» ))), наверное все-таки «конфигурирования».
Можно вставлять форматированный конфиг либо в веб-интерфейс, либо тупо в консоль, после команды:
load merge terminal
Обратное преобразование тоже возможно. Можно вывести кусок конфиги в виде списка консольных команд (в виде «set ....»). Например:
show security policies | display set
Политика trust-to-trust нужна. Иначе откуда Джунипер узнает, можно ли хостам внутри этой зоны общаться друг с другом? За нас думать он не умеет и не должен.
Поэтому да, если политика не указана, стоит неявный deny.
Но это поведение можно изменить командой:
set security policies default-policy permit-all
С этого начинали все крутые спецы. В нашем деле единственное, что важно — это желание.
А еще у меня такое мнение сложилось: сисадмин без хорошего железа — только наполовину сисадмин. На хорошее железо надо настраиваться, о нем надо мечтать. И оно обязательно придет! :)
Да нормально. Джуниперы реально рулят по сравнению с софтовыми шлюзами, поверь я знаю что говорю. Так что проси у начальства хотя бы Juniper SRX100 (стоит в пределах 20000 руб, правда у него 100Мбитные порты) и наслаждайся настройкой :)
Я не знаю, что ты имеешь ввиду, но по-моему Junos OS — это самодостаточная сетевая ОС. Все, что ей необходимо по сетевой части: интерфейсы, протоколы, политики, фильтры т.д., а так же инструментарий для работы со всем этим у нее есть. Не понимаю, какие еще программы нужны?
Если ты имеешь ввиду, можно ли под нее писать любые проги как под Линукс, то ответ — нет. Это узкоспециализированная железяка, которую покупают под совершенно конкретные нужды. Если хочется писать программы, то можно поставить Линукс. Если нужен высокопроизводительный шлюз корпоративного/провайдерского масштаба, то покупаешь Джунипер или Циско.
Так что я не совсем понял, о каких программах идет речь, приведи пример.
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
По факту она делает следующее: все, что приходит с ISP2 — уходит в него же. Все, что приходит с ISP1, тоже уходит в него же.
Короче, с какого внешнего интерфейса пакет пришел — в тот он и уйдет. Это реально удобно.
На русском языке например здесь:
dog-simpson.blogspot.ru/2009/03/linux-advanced-routing-traffic-control.html
1. Если я скажу, что на каждом интерфейсе внешнем поднят source NAT — так станет понятнее? Или в чем вопрос?
2. Я описал нормальную ситуацию среди нормальных провайдеров. Не цепляйтесь к словам, коллега.
3. В данном случае маршрутизатору не из чего выбирать. Он всегда обязан обработать входящие пакеты соответствующей таблицей маршрутизации. Соответственно, на одном внешнем интерфейсе она одна, на другом — другая. Здесь нет балансировки, т.к. задачи такой не стоит.
rutracker.org/forum/viewtopic.php?t=4061726
Но в каком виде все это работает — если честно, без понятия! )
Кстати, не работает align почему-то. Ставил и center и middle…
Можно вставлять форматированный конфиг либо в веб-интерфейс, либо тупо в консоль, после команды:
load merge terminal
Обратное преобразование тоже возможно. Можно вывести кусок конфиги в виде списка консольных команд (в виде «set ....»). Например:
show security policies | display set
Политика trust-to-trust нужна. Иначе откуда Джунипер узнает, можно ли хостам внутри этой зоны общаться друг с другом? За нас думать он не умеет и не должен.
Поэтому да, если политика не указана, стоит неявный deny.
Но это поведение можно изменить командой:
set security policies default-policy permit-all
А в целом юзабилити у Джуниперов, как по мне, так на высоте :)
А еще у меня такое мнение сложилось: сисадмин без хорошего железа — только наполовину сисадмин. На хорошее железо надо настраиваться, о нем надо мечтать. И оно обязательно придет! :)
Если ты имеешь ввиду, можно ли под нее писать любые проги как под Линукс, то ответ — нет. Это узкоспециализированная железяка, которую покупают под совершенно конкретные нужды. Если хочется писать программы, то можно поставить Линукс. Если нужен высокопроизводительный шлюз корпоративного/провайдерского масштаба, то покупаешь Джунипер или Циско.
Так что я не совсем понял, о каких программах идет речь, приведи пример.
Есть целая библиотека разнообразных скриптов под самые разные нужды: www.juniper.net/us/en/community/junos/script-automation/library/
Если есть желание, можешь почитать книги на эту тему: www.juniper.net/us/en/community/junos/training-certification/day-one/
(раздел Junos Automation)
Правда все на английском :)
Говорят, на Junos можно даже какие-то пакеты ставить, но это не пробовал, ибо зачем?
Вообще, хочу первым делом сделать жизненный мануал по CLI. :)