Заметки о Juniper SRX 100 в качестве офисного роутера, часть 1

Некоторое время назад у меня а столе появилась замечательная коробочка, с надписью Juniper Network сверху и в веселой синенькой расцветке. Сразу возникла идея заменить старый роутер под FreeBSD, на эту маленькую машинку. В общем-то именно для этой цели он и предназначался. Торопиться было некуда, спокойно и неспешно я принялся за дело.
     Поскольку сеть была не новая, все довольно обширно и нетривиально, то предстояло решить несколько проблем, ну и параллельно немного научиться работе с Джуниперами. До  этого момента я с устройствами этой фирмы не встречался, а очень хотелось ими овладеть на хорошем уровне. Так что знакомство я начал с того, что подключился через Juniper SRX 100 роутер в интернет и постарался воссоздать в тестовой среде, нормальную рабочую среду нашей организации.
     Для начала подключаюсь через консольный порт, делается это просто и стандартным для всех свичей образом. У всех Juniper SRX 100 есть преднастроенный конфиг, благодаря которому, он может начинать в качестве роутера из коробки. Конечно для этого должны быть соблюдены несколько условий, например то что внешний адрес аплинка он будет получаться через DHCP, что бывает очень редко, но это было легко исправить.  Итак, прописываем внешний адрес на порту:

   set interfaces fe-0/0/0 unit 0 family inet address 10.133.14.2/27

Допустим нам наш провайдер выдал именно такой. Эта машинка замечательно работает и с третьеуровневыми интерфейсами как мы видим, и делается это очень просто и удобно. Итак порт подключен к аплинку, шлюз пингуется, но интернета, как нет, так и не было. Чего-то видимо не хватает. Ага, нету маршрута, вообще никакого. Ок, добавляю маршрут для выхода во вне.

   set routing-options static route 0.0.0.0/0 next-hop 10.133.14.1

     Отлично, выход во вне есть, внешка заработала. Ну пол дела сделано (я конечно ошибся), начало положено. Теперь надо разобраться с внутренней сетью. По умолчанию, на порту fe-0/0/0 настроен внешний интерфейс (почему-то влан с id 3), а все остальные порты с 1 по 7 смотрят в локалку. Вот так как на картинке
srx100-default-configuration
     Мне такое не надо, но переделывать я буду все попозже. Сейчас втыкаюсь ноутбуком в порт 1 и получаю через DHCP адресок, это тоже работает. Пингуем что-нибудь во вне и получаем приятный взгляду отклик. Ну что же получается не все так страшно как казалось, можно работать с этой машинкой, без особых проблем. Дальше будет продолжение моих приключений с джунипером.

Juniper SRX100. Офисный роутер, часть 2

Убедившись в том, что основной функционал работает, захотелось чего-то большего, заюзать полный функционал этого устройства. Для начала делаю самые простые вещи по настройке и мониторингу. Завожу отдельного от рута пользователя с супер-привилегиями:

 

set system login user user1 full-name "User Userovich" class super-user authentication encrypted-password 'DerPassword'

 

     Теперь вылогиниваюсь и пытаюсь зайти под вновь созданным пользователем. Такс, чего-то не пускает, чтобы это могло быть?! Захожу вновь под системными пользователем и что же вижу? Так и есть, забыл закоммитить изменения. Да, команда commit, очень удобна и полезна, но к ней надо еще привыкнуть, поначалу постоянно забываешь про нее, но со временем начинаешь пользоваться на автомате. Так же удобно делать периодически, во время конфигурирования и перед самим коммитом, команду commit check, для проверки правильности введенных строк, и не вызывают ли они где-то конфликтов. Ну что же, добавляю изменения в конфиг командой commit и получаю нового пользователя из под которого и буду в дальнейшем работать.
     Что хотелось сделать еще? Хочу снимать статистику по snmp, например в кактус. Внешний адресок у меня есть уже, я его прописал, буду его опрашивать и снимать статистику. Что мне надо для этого сделать? Для начала, надо включить snmp на самом роутере, прописать правильное коммюнити и открыть для правильных адресов. Итак:

 

set snmp description "Office Router"
set snmp contact admins@example.com
set snmp community 1234567 authorization read-only
set snmp community 1234567 clients 10.100.100.99/32
set snmp community 1234567 clients 0.0.0.0/0 restrict

 

     Если по простому, я задал коммюнити 1234567 с правами только на чтение и только с одного адреса 10.100.100.99/32. Это не все, на SRX100 весь неразрешенный траффик на внешнем интерфейсе режется без вопросов, поэтому, надо snmp открыть для доступа извне:

 

set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services snmp

 

     Далее, осталось завести все это дело в коллектор статистики, я пользуюсь кактусом, так что нахожу нужный шаблончик на форуме кактусоводов устанавливаю его в свой кактус, завожу роутер в систему и, через некоторое время, получаю красивые графики по всем нужным мне показателям и интерфейсам. Любопытный график по температуре получается, хорошо отражает то, что в SRX100 нет ни одного вентилятора. Не стоит его класть рядом с батареей, ох не стоит 🙂