Tag: Juniper

Junos jak zabezpieczyć konfigurację

Ostatnio dużo siedziałem na nową wersja SRX’a w wersji wirtualnej i odkryłem możliwość blokowania konfiguracji poszczególnych opcji, poniżej przedstawię jak zabezpieczyć jakiś segment konfiguracji.

Do zabezpieczenia konfiguracji służy polecenie protect

jak widać możemy zabezpieczyć każdy element konfiguracji.

Przykład:

Zabezpieczamy interfejs sieciowy ge-0/0/0

wykonujemy commit wychodzimy z trybu konfiguracji i sprawdzamy:

po próbie modyfikacji konfiguracji interfejsu ge-0/0/0 o opis dostajemy komunikat:

aby móc wykonać modyfikację zabezpieczonego interfejsu musimy wykonać polecenie

i nie musimy wykonywać commitu bo od razu możemy modyfikować konfigurację.

Mam nadzieję, że komuś przyda się powyższy wpis.

 

Lab – Juniper vMX 15.1F4 pierwsze uruchomienie

Po dłuższym czasie nie pracowania na Juniperach postanowiłem do nich wrócić, na warsztat wziąłem nowe twór Juniper wirtualny router z serii MX. Na chwilę obecną publicznie dostępna jest wersja 15.1F4. Ze względu na to, że Juniper na chwilę obecną nie udostępnia plików OVA tylko gotowe dyski VMDK które trzeba samemu podłączyć do profilu maszyny wirtualnej. Poniżej pokaże jak uruchomić vMX w Labie wykorzystując Workstation.

tak więc zaczynamy od ściągnięcia ze strony Junipera plików VMDK  – ja ściągałem stąd. Po ściągnięciu rozpakowujemy nasz plik vmx-esxi-15.1F4.15.tar tak aby dostać się do katalogu vmdk w którym znajdziemy:

  • jinstall64-vmx-15.1F4.15-domestic.vmdk
  • metadata_usb.vmdk
  • vFPC-20151203.vmdk
  • vmxhdd.vmdk

Warto posiadać zainstalowane oprogramowanie Named Pipe TCP Proxy jeżeli pracujemy pod Windowsem tak jak ja :-), pozwoli to nam dostać się do wirtualnej maszyny z poziomu konsoli.

przechodzimy do naszego Workstation i będziemy tworzyć profil naszych wirtualnych maszyn – będą to dwie maszyny które będą odpowiadać za:

  • Pierwsza z nich Virtual Forwarding Plane
  • Druga Virtual Control Plane

Architektura wygląda mniej więcej jak poniżej

vmx

Jak widzimy wyżej musimy wytworzyć połączenie w L2 które będzie służyło do komunikacji pomiędzy maszynami VFP i VCP

Zanim zaczniemy tworzyć maszyny ważny krok umieszczenie plików VMDK w katalogach w których będą przetrzymywane maszyny nasze.

w katalog vmx01vcp umieszczamy pliki:

  • metadata_usb.vmdk
  • vFPC-20151203.vmdk

a w katalogu vmx01vfp umieszczamy pliki

  • jinstall64-vmx-15.1F4.15-domestic.vmdk
  • vmxhdd.vmdk

Powyższe katalogi oraz pliki wykorzystamy podczas tworzenie wirtualnych maszyn.

Tworzymy Maszynę VFP

W panelu głównym Workstation wybieramy Create a New Virtail Machine

vmx01

w nowym oknie wybieramy Custom oraz klikamy next

vmx02

Wybieramy wersję wirtualnej maszyny, w dokumentacji Juniper pisze aby wybrać wersję 8 na najnowszej wersji Workstation też da się uruchomić.

vmx03

Wybieramy tak jak poniżej:

vmx04

wpisujemy nazwę maszyny oraz lokalizację dla plików dla niej – wybieramy katalog który wcześniej przygotowaliśmy dla tej maszyny

vmx06

Wybieramy liczbę procesorów – tu musimy postąpić zgodnie z dokumentacją i wybieramy 4 procesory inaczej nie działa – przetestowane

vmx07

zgodnie z dokumentacją musimy dać 8gb ramu inaczej są problemy z pierwszym uruchomieniem.

 

vmx08

na tym etapie jest obojętne jaki tryb karty sieciowej wybierzemy – ponieważ na koniec tak i tak będziemy dodawać karty do maszyny.

vmx09

wybieramy kontroler dla dysków zgodnie z poniższym wyborem

vmx10

wybieramy typ dysku wybieramy IDE

vmx11\

wybieramy opcję – użycia istniejącego dysku maszyny

vmx12

Wybieramy plik vFPC-20151203.vmdk z naszego katalogu

vmx14

dostaliśmy pytanie że dysk znajduje się w starszym formacie niż wersja wirtualnej maszyny – na chwilę obecną wybieramy pozostawienie w tej wersji co jest klikamy next oraz w następnym  oknie Finish

vmx15

Przechodzimy do edycji naszej nowo utworzonej wirtualnej maszyny, gdzie dodajemy 2 dysk i 9 kart sieciowych oraz zmieniamy parametry CPU i RAM jak mamy inne niż zalecane.

vmx16

vmx17

vmx18

vmx19

Wybieramy nasz plik metadata_usb.vmdk z naszego katalogu

vmx27

dodajemy nowe karty sieciowe ten krok potarzamy max 9 razy bo maksymalnie możemy posiadać 10 kart sieciowy w wirtualnej maszynie.

vmx28

wybieramy typ połączenia – na w kolejnym kroku będziemy przypisywać karty sieciowe do Segmentów.

vmx20

Warto dodać dostęp do portu consoli

vmx25

Wybieramy Output to named pipe

vmx29

w Named pipe dajemy nasze oznaczenie takie samo będziemy wpisać do progarmu Named Pipe TCP proxy oraz w drugim polu wyboru wybieramy The other end is an application

vmx30

Po zakończeniu edycji tej wirtualnej maszyny tworzymy naszą drugą.

Tworzymy VCP

Różnica jest przy dyskach oraz ilości kart sieciowych w tej maszynie potrzebujemy 2 karty sieciowe.

konfiguracja wygląda jak poniżej:

vmx31

Pierwszy dysk: jinstall64-vmx-15.1F4.15-domestic.vmdk

Drugi dysk: vmxhdd.vmdk

dysk trzeci opcjonalnie bo nigdzie nie znalazłem wymagań dla niego:  metadata_usb.vmdk

Przed uruchomieniem próbujemy w ciemno przypisać odpowiednio interfejsy do Lan Segmentu który będzie służył do komunikacji pomięcy VCP a VFP. Ustawiamy ten segment w obu maszynach na Netowrk Adapter 2.

vmx32

jeszcze musimy zmodyfikować plik wirtualnej maszyny idziemy do  katalogu wirtualnej maszyny D:\vmki\MX01\vmx01vcp edytujemy plik vMX01VCP.vmx  gdzie odnajdujemy wpisy:

i usuwamy je.

 

Uruchamiamy maszyny – możemy uruchomić konsolę jak skonfigurowaliśmy pipe.

Jak nie wykonaliśmy kroku z usunięciem w wpisów w pliku vmx to na konsoli zobaczymy:

Po pełnym uruchomieniu wirtualny maszyn i odczekaniu ok 5 min tyle u mnie zajęło połączenie VCP i VFP logujemy się po konsoli do  VCP

 

sprawdzamy hardware:

jak nie będzie komunikacji pomiędzy VCP a VFP lub coś nie będzie tak z zasobami tak jak pisałem wyżej zobaczymy przy wykonywaniu tej samej komendy:

sprawdzimy status karty fpc

I możemy teraz przypisać interfejs ge-0/0/0 do któreś z sieci musimy znaleść jej mac adres

odszukujemy ten mac adres w interfejsach na maszynie VFP i przypisujemy jakieś połączenie w mym przypadku wybieram  VMnet8 (nat) oraz jest to adapter 4

vmx33

Po tym zabiegu możemy przypisać IP dla tego interfejsu oraz włączenie ssh i najważniejsze nadajemy hasło dla root’a

wykonujmy commit

sprawdzamy łączność z naszego vMX do host o ip 192.168.220.1

Po tym zabiegu możemy zalogować się po ssh do naszego vMX’a

 

Jak mamy wszystko uruchomione możemy dla VFP zdjąć 4gb Ramu. Sprawdziłem i działa.

Na tym kończę ten wpis.

 

Pozdrawiam lubiących Juniperki 🙂

 

 

 

Juniper – Ograniczenie dostępu do IKE

Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP

  1. Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie
  2.  Definiujemy term w którym będziemy blokować wszystkie próby połączenia poza listą allow_peer
    mamy dwa filtry:
    filter-VPN-in

    oraz filter-VPN-out

     
  3. Wyżej zdefiniowany filtr filter-VPN-out przypinamy do interfejsu który służy nam do zestawiania kanału IPSEC, w mym przypadku jest to fe-0/0/7

     

Juniper – ograniczenie dostępu do managmentu

Poniżej przedstawiam jak ograniczyć dostęp dla wybranej listy sieci oraz hostów do ssh i https dla urządzeń Juniper.

  1. Definiujemy grupę która będzie miała dostęp do ssh i https
  2. Definiujemy filtr który blokuje dostęp do ssh oraz https z wykluczeniem grup management-hosts
  3.   Przypinamy filtr do interfejsu loopback 0

    Po tym zabiegu mamy ograniczony dostęp do urządzenia. W kolejnym wpisie przedstawię jak ograniczyć dostęp do usługi IKE

Linux Bonding Switche agregacje

Linux Bonding Switche agregacje

Poniżej opiszę w jaki sposób skonfigurować bonding od strony systemu operacyjnego na przykładzie RHEL do switchy Cisco, Juniper oraz HP z wykożytaniem LACP, oraz konfigurację samych switchy.

Konfiguracja RHEL

załadowanie modułu odpowiedzialnego za bonding w RHEL

Sprawdzenie możliwości bondingu:

Konfiguracja Interfejsów sieciowych, w mym przypadku będzie:

Bond0 – składa się z  2 portu z karty 4 portowej na płycie głównej oraz 2 portu z karty 4 portowej na PCI slot 6

Konfiguracja karty 1

przechodzimy do pliku /etc/sysconfig/network-scripts/ifcfg-em2

Konfiguracja karty 2

Konfiguracja bond0 w trybie lacp:

Konfiguracja Switcha:

Cisco Catalist 4500x w konfiguraacji VSS:

Cisco Nexus 5k porty które należą do FEX’a który jest skonfigurowany w vPC

Nexus1

Nexus2

Juniper EX:

Jeżeli jeszcze nie tworzyliśmy interfejsów ae na switchu EX musimy, zdefiniować ile interfejsów ae ma być widoczne na urządzeniu, w tym przypadku

definiujemy interfejs ae z lacp:

dodajemy interfejsy do ae0

na koniec wykonujemy commit:

HP:

Tworzymy interfejs trk  z przypisanie portów:

dajemy opis portów

przypisujemy interfejs trk10 do vlanu 200 w trybie access