JNCIEへと続く道　"The Juniper Networks Certification"

2010年8月21日NEWS

新製品:SRX220H

2010年8月15日JUNOS

Virtual Routerの設定

2010年8月15日その他

JUNOSeのコンフィグ

2010年8月14日その他

サイトリニューアルしました

2010年8月14日書籍情報

書籍情報:Junos Fundamentals

アメリカ本国のサイトにてSRX220なるものを見つけてしまいました。

モデル構成としてメモリ制限版のSRX220Bは存在しないようで、SRX220HもしくはSRX220H-POEとなるようです。　（SRX220H-POE は2010 Q4に発売/本国)

さて、気になるSRX220Hのスペックを下記いたします。

インターフェース: 8 x 10/100/1000BASE-T　/ 2 x SRX mini-PIM
サイズ: 28 x 4.4 x 17.9 cm
重量: 1.56 kg
最大消費電力: 120W
FWスループット: 950Mbps
最大同時セッション数: 96,000
最大セキュリティポリシー: 2,048
最大セキュリティzone数: 24
最大バーチャルルータ数: 15

詳細はブランチSRXシリーズデータシートにて確認ください。

なお、日本のJuniperサイトにはこのRX220の情報はまだ記載されていませんが、しっかりと”SPARE SRX220 SWING POWER SUPPLY W/ JAPAN POWER CABLE 60W NON-POE”が用意されているので日本でも発売されると推測しております。

下記サイトの価格から推測すると日本での実売価格は160,000円位になるでしょうか。

Bottom Line Telecommunications

JuniperのJ-Netコミュニティ日本語版にてSRXのVirtual Routerが可能か話題に上がっていたのでVirtual Routerを設定してみました

下記コマンドにてバーチャルルータのルーティングインスタンスを作成
　set routing-instances <インスタンス名> instance-type virtual-router

作成したインスタンスにインターフェースをアサインしていく形で設定できますね
　set routing-instances <インスタンス名> interface <インターフェース名>

ちなみにvrfは"set routing-instances <インスタンス名> instance-type vrf"です

リモートラボ検証環境で作ったコンフィグファイルを貼り付けておきます

[edit]
root@M40-1# show | no-more
## Last changed: 2010-08-14 10:57:48 UTC
version 10.0R1.8;
/* 2010/08/13 */
system {
    host-name M40-1;
    root-authentication {
        encrypted-password "$1$5GF/SjEl$AZ8jGfR/Ln5rEix1KlkO91"; ## SECRET-DATA
    }
    login {
        user Juniper {
            uid 2001;
            class super-user;
            authentication {
                encrypted-password "$1$X972PvyC$Nb9KzEIyHvhvptKE8OoDT0"; ## SECRET-DATA
            }
        }
    }
    syslog {
        user * {
            any emergency;
        }
        file messages {
            any notice;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
}
interfaces {
    fxp0 {
        unit 0 {
            family inet {
                address 10.0.0.254/24;
            }
        }
    }
    fxp1 {
        unit 0 {
            family inet {
                address 10.0.1.254/24;
            }
        }
    }
    fxp2 {
        unit 0 {
            family inet {
                address 10.0.2.254/24;
            }
        }
    }
    fxp3 {
        unit 0 {
            family inet {
                address 10.0.3.254/24;
            }
        }
    }
}
routing-instances {
    vr1 {
        instance-type virtual-router;
        interface fxp0.0;
        interface fxp2.0;
    }
    vr2 {
        instance-type virtual-router;
        interface fxp1.0;
        interface fxp3.0;
    }
}

[edit]
root@M40-1#

[edit]
Juniper@M40-2# show
## Last changed: 2010-08-15 01:12:07 UTC
version 9.3R4.4;
system {
    host-name M40-2;
    root-authentication {
        encrypted-password "$1$sv6ia7vp$xLJkuk2v0OjVUz0zLnXiW1"; ## SECRET-DATA
    }
    login {
        user Juniper {
            uid 2000;
            class super-user;
            authentication {
                encrypted-password "$1$oEOKFHM3$S5XwJ3EIKSB3VqPNqpMkn/"; ## SECRET-DATA
            }
        }
    }
}
interfaces {
    fxp0 {
        unit 0 {
            family inet {
                address 10.0.0.253/24;
            }
        }
    }
    fxp1 {
        unit 0 {
            family inet {
                address 10.0.1.253/24;
            }
        }
    }
    inactive: fxp2 {
        unit 0;
    }
    inactive: fxp3 {
        unit 0;
    }
}
routing-instances {
    vr1 {
        instance-type virtual-router;
        interface fxp0.0;
        routing-options {
            static {
                route 10.0.2.0/24 next-hop 10.0.0.254;
            }
        }
    }
    vr2 {
        instance-type virtual-router;
        interface fxp1.0;
        routing-options {
            static {
                route 10.0.3.0/24 next-hop 10.0.1.254;
            }
        }
    }
}

[edit]
Juniper@M40-2#

CiscoR-1#show run
Building configuration...

Current configuration : 1223 bytes
!
version 12.4
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
no service password-encryption
!
hostname CiscoR-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 ip address 10.0.2.253 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
 shutdown
!
interface FastEthernet4
 shutdown
!
interface FastEthernet5
 shutdown
!
interface FastEthernet6
 shutdown
!
interface FastEthernet7
 shutdown
!
interface FastEthernet8
 shutdown
!
interface FastEthernet9
 shutdown
!
interface Vlan1
 no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.0.2.254
no ip http server
no ip http secure-server
!
!
!
!
!
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 login
!
end

CiscoR-1#

CiscoR-2#sh run
Building configuration...

Current configuration : 1246 bytes
!
version 12.4
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
no service password-encryption
!
hostname CiscoR-2
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 ip address 10.0.3.253 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
 shutdown
!
interface FastEthernet4
 shutdown
!
interface FastEthernet5
 shutdown
!
interface FastEthernet6
 shutdown
!
interface FastEthernet7
 shutdown
!
interface FastEthernet8
 shutdown
!
interface FastEthernet9
 shutdown
!
interface Vlan1
 no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.0.3.254
no ip http server
no ip http secure-server
!
!
!
!
!
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 login
!
end

CiscoR-2#

(2010/08/20編集)
Junosのコンフィグにいろいろゴミが入っていたので編集しました
一般公開しているのでいろいろな人が触るから気をつけないとね。。

Juniper社の製品には大きく分けてJUNOSが搭載された元祖Juniper系ScreeOSが搭載されたNetScreen社系の製品があるが、それとは違った毛色の製品にEシリーズというISPコア向けのルータがある

このEシリーズに搭載されたネットワークOSがJUNOSeと呼ばれるOS
今日、初めてそのコンフィギュレーションマニュアルを見ているが…..やはりどう見てもIOS….

ブログ公開1周年記念をかねてサイトのリニューアルを実施いたしました

これまではMovable TypeというCMSを使用していましたが、サイトの再構築に非常に時間が掛かり構築に失敗することも度々ありましたのでCMSごと変更を決断し今回からWordPressというCMSに変更いたしました

むかしはXOOPS(ずーぷす)というCMSにさんざん悩まされた時期もありましたが、技術の進化は素晴らいいものでWordPressではまるでWordを使うように簡単に記事を書くことができますし、MTからの記事移行も3分かかりませんでした

ただ、HTMLや独自タグの解釈が違うらしくレイアウトが崩れてしまっているページも有りますので、暇があるときに修正を実施していきます

Juniperブログまだまだ進化していきます

また新たにOreillyよりJNCIA-JUNOS試験向けの本が発売される予定となっております

JNCIA-JUNOSは日本語での試験が可能ですので、日本においてこの本の需要があるかは疑問ではありますが、このブログでは新しく入手した情報は必ず発信するスタンスですので、情報共有もかねて紹介をさせていただきました

発売予定は2010/12/15になっていますが、既にAmazonでは予約可能となっています

短信です

8月下旬頃、コンソールサーバに使用しているCisco2610のIOSアップグレードを実施いたします
今回のアップグレードは通信のセキュア化が目的です
Flash/DRAMを増設してリモートラボへの接続はssh経由に変更いたします
ログインID、パスワードは「リモートラボの利用方法」のページに記載いたします

同時にJunosBOX 1号機のBIOS設定変更も実施いたします

作業中はすべてのラボ機器への通信はできなくなりますのでご了承ください

私事になりますが、ラボスペース兼事務スペースを確保いたしました
まだ、部屋と机がきれいになうちに写真をとっておきます

こちらでCIsco/Juniper機器の研究を行うこととなります

JunosBOXの次のマシンではVMwareESXiを使用することを考えています
新世代のAtomマザーでは最大4GBのメモリがサポートされていますので、Junos10.Xを２台動かすことが可能となります
またESXiでは基本的に外部ストレージが必要ですが、すでに内部HDDでの動作に成功しています
ただ残る問題点として、ESXiでは物理COMポートがサポートされていません
この問題を解決できたならすぐにでも移行を開始するでしょう
現在のリモートラボではネットワーク接続構成もユーザサイドでは変更不可能となっています

わたしは、ただインターネットの先にラボが存在することだけでリモートラボのクラウド化とは考えていません

また、ブログ記事もなかなかUPできておりませんが,,,
書きたい記事は沢山あるわけでして例えば…
Vlan tagging
Link Aggregation
IPv6
Virtual Routerとか..その先に見えるのはMPLS??
機器の諸元、基本的な操作方法
そもそもルーティングプロトコルIS-IS、BGPもまだ
等々…

これから先もJuiperブログ続けていきます
これからもリモートラボは進化していきます

link aggrigationの第１回目です

本来ならJuniper EXシリーズとCisco Catalyst間でLAG接続を実施したいところですが、手元にEXシリーズが無いのでSRX100で代用します
またCisco側はCatalyst2950-12を使用します

まずはスタンダードなLACPによるLAG接続です

Catalyst2950側の設定は下記設定を実施しています

では、SRX側を設定していきます
Junosの場合は、まず最初に、いくつのLAGを使用するかを設定してあげなければなりません
下記コマンドにてLAG数の最大値を設定してあげます

次に実際にLAGを構成する物理インターフェースを設定します
今回は”fe-0/0/0″と”fe-0/0/1″を使用しましょう
インターフェースごとにに設定を実施しても良いのですが手っ取り早く”interface-range”コマンドを使用します

簡単に解説をします

まずAE_INT_RANGEとなっている部分はinterface-rangeのレンジ名です
目的に合った分かりやすい名前がいいでしょう
物理インターフェース番号が連続しているのでmember-rangeコマンドも使用しています
個々にメンバーを設定することも可能です
ex：　set interfaces interface-range AE_INT_RANGE member fe-0/0/0

LAGの設定は
interface <物理インターフェース名> fastether-option 802.3ad <LAGインターフェース名>
となります

LAGインターフェース名は必ず”ae<LAGインターフェース番号>“となります

ちなみにaeとは”aggregated ethernet”のことです
なお、今回は物理インターフェースがFastEthernetなのでfastether-optionを使用していますが、GigaEthernetの場合はgigaether-optionを使用します

では作成したLAGインターフェースをスイッチポートに設定して、リンクアグリゲーションのプロトコルを”lacp”にしましょう
Catalyst側を”passive”設定にしていますので必然的にSRX側は”active”設定にしなくてはなりません

LAGインターフェースが出来たらVLANに紐付けを行います

“AE_VLAN”はVLAN名です

また”ae0.0″や”vlan.0″はそれぞれ”ae0 unit 0″、”vlan unit 0″のことですが、
set vlans AE_VLAN interface ae0 unit 0
といった形ではコマンド投入できません

下記コマンドにてVLAN-ID3 “AE_VLAN”をvlanインターフェース番号”unit 0″に紐付けしています
set vlans AE_VLAN l3-interface vlan.0

最後にvlanインターフェースの設定です
ルーティングインターフェースになりますのでここでIPアドレスを設定します

以上で、lacpの設定は完了です

が、次回の検証のために”fe-0/0/7″をルーテッドポートに設定しておきます

また使用している機器がSRXですのでゾーン設定とポリシー設定も追加しておきます

簡単に解説すると”fe-0/0/7.0″と”vlan.0″を”trust”ゾーンにアサインし、”trust”ゾーン間の通信を全許可にしています
出来上がったconfigを見てみましょう

## Last changed: 2010-08-07 12:20:29 UTC
version 10.1R2.8;
system {
    host-name SRX100;
    root-authentication {
        encrypted-password "$1$NiMStrSt$ES0FVylRA34hx6HXDAtpx1"; ## SECRET-DATA
    }
    login {
        user Juniper {
            class super-user;
            authentication {
                encrypted-password "$1$F1x9Dyky$l5d1mfjcqe2hZVhkTMBAL."; ## SECRET-DATA
            }
        }
    }
}
chassis {
    aggregated-devices {
        ethernet {
            device-count 1;
        }
    }
}
interfaces {
    interface-range AE_INT_RANGE {
        member-range fe-0/0/0 to fe-0/0/1;
        fastether-options {
            802.3ad ae0;
        }
    }
    fe-0/0/7 {
        unit 0 {
            family inet {
                address 192.168.0.1/24;
            }
        }
    }
    ae0 {
        aggregated-ether-options {
            lacp {
                active;
            }
        }
        unit 0 {
            family ethernet-switching;
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 10.0.0.254/24;
            }
        }
    }
}
security {
    zones {
        security-zone trust {
            interfaces {
                fe-0/0/7.0;
                vlan.0;
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy TRUST_POLICY {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
}
vlans {
    AE_VLAN {
        vlan-id 3;
        interface {
            ae0.0;
        }
        l3-interface vlan.0;
    }
}

[edit]
root#

では、次回lacp検証の実施、次々回はlacp+vlan taggingを解説いたします

Juniperのブログを始めた当初は私自身も１年続けられるかどうか怪しいかったですが、少しづつアクセスしてくださる人も増えました

いまではアクセスいただいた方にいろいろな設定や技術を教えていただくことも多くなりました

今回はいつもと志向をかえて今週の検索キーワードのフォローアップを実施したいと思います

検索キーワード: junos get config more
　Junosでは下記コマンドを使用します
　> show configuration | no-more

検索キーワード: juniper log no lengs
　Ciscoでいうところの”terminal length 0″を実施したいものと考えました
　ページングを無効にしたい場合は次のコマンドを実行します
　>set cli screen-length 0

　showコマンドで一時的にページングを止めたい場合は”no-more”オプションを使用しましょう
　# show | no-more

検索キーワード: SRX100 reboot
検索キーワード: ルータ　停止　コマンド
　下記は、システムの停止/再起動に関するコマンドです
　再起動させたい場合
　> reqest system reboot

　システム停止させたい場合
　> reqest system halt

　電源まで落としたい場合
　> reqest system shutdown

　※ エンタープライズ向けSRXでは前面のpowerボタン押下で停止いたします
　※ EXスイッチではLCDのボタン操作で停止できます

検索キーワード: juniper コンフィグ 初期化 コマンド
検索キーワード: EX2200 初期化
検索キーワード: SRX100 config reset
　工場出荷時のコンフィグを読み出すコマンドは下記のとうりです
　#load factory default
　※ 但し、set system root-authentication plain-text-passwordを実施しないとcommitさせてくれません

　Junos10.0以降では、次のコマンドが使用できます
　> request system zeroize
　※ 但し、すべてのログが消去され、再起動が実施されます

　※ EXスイッチではLCDのボタン操作で工場出荷時設定にできます

検索キーワード: SRX config そのまま流し込みたい
　下記コマンド実施後、コンフィグの流込みを行い”Ctrl+D”で終了します
　# load override terminal
　
検索キーワード: ex4200 syslog 設定方法
　下記は設定例です
　# set system syslog host 10.0.9.120 any notice

検索キーワード: set interfaces interface range
　下記例のRANGE_NAMEの部分に好きなレンジ名を設定します
　レンジ名以降は通常のinterfaceコマンドと同様に設定していきます

　>set interfaces interface-range RANGE_NAME unit 0 family inet

　※ interface-rangeコマンドはJunos10.0以降のサポートになります

検索キーワード: delete security policy JUNOS
　JUNOSではコンフィグ設定のときに”set”コマンドを使用し削除のときに”delete”を使用します
　特定の階層以下を消したい場合は”delete interfaces”で”interfaces”以下の設定は削除されます

検索キーワード: Juniper JNCIA Junos Learning Portal
　Fast Track プログラム
　https://learningportal.juniper.net/juniper/user_fasttrack_home.aspx
　※ 日本語のページはありません

検索キーワード: junos 9.6 vlan tagging
　Junos9.6まで設定方法が違ったとの記憶はありませんが、
　後日、記事を書いて対応します

検索キーワード: スイッチ　バーチャルシャーシとは
検索キーワード: show switch virtual link port
検索キーワード: バーチャルシャーシ
検索キーワード: EX8200 Virtual
検索キーワード: juniper ex8200 vc
　後日、記事を書いて対応します

検索キーワード: Junos リンクアグリゲーション
検索キーワード: JUNOS Lacp
検索キーワード: link aggregation junos 10
　10のキーワードは10個のLAGが必要なのでしょうかね
　後日、記事を書いて対応します

検索キーワード: juniper console
検索キーワード: JUNOS CLI IP　設定
検索キーワード:  SRX100 IF 設定　CLI
　JunosにてIPアドレスを設定するコマンドです
　# set interface fe-0/0/0 unit0 family inet address 192.168.0.1/24

　Junos CLIの設定についてはこちらの記事も参考にして下さい

　書籍紹介：Day One：JUNOS CLIの探究

皆様、これからも宜しくお願い致します
こころより感謝をこめて

またまた、短信になります

JunosBOXの2号機を新しいマザーボードへ変更いたしました
旧： intel D945GCLF2D (Atom330)
   ↓
新： intel D410PT (Atom D410)

また青いですねぇ…(ネタです)
Dual-CoreからSIngle-Coreになったのと新チップセットのおかげで15w程度消費電力がさがっています
Junosのバージョンも微妙にUPしました

ですが、今回の構築もすんなりといきませんでした
そもそもこの”D410PT”というマザーボードかなり癖があります
Linuxでさえまともに動かないという記事がWeb上で散見されます
(もちろんJunosBOXではLinuxやWindows、VMwareさえ動いていませんが…)

結果、Junosの内部に少し細工を加えてあります

正直な話、どのような細工を施しているかは見る人が見ればすぐにわかってしまいます
JunosBOXも、もうこのマシンで3世代目です

Juniperリモートラボを無料で開放するためにいろいろな方法を考え実行してきました
PCケースもこの”DIRAC Noah 800″を選択した理由がちゃんとあります

どうやったらこんなもの作れるの？
と思う方は私のブログとリンク先を這回れば答えは出てきます
全ての部品は個々で画像があったりします
このシミュレータ自体がかなりグレーな部分があるため詳細解説することは出来ません

さて、このサイトも、開設してもうすぐ1年になろうとしています
いまのリモートラボは下の写真のような風景ですが….

LANケーブルが束のように這回り、神機と呼ばれる1812Jの上にサーキュレータが鎮座している….
これでもまだ綺麗にした結果なんです

最初のリモートラボは写真のような簡単なものでした

Cisco2501でコンソールサーバを作っていたのが懐かしいですねぇ…..
CIscoルータのAUXポートとJunosBOXをBack-to-Back+リバースtelnetで接続してました
Catalyst2950もただ置いてあるだけで動作してませんでしたね

じつは、最初に作ったマシンがJunos8.5が動く形であまってたりします…というより処分に困っています
・VIA VIA EPIA-5000 + Junos8.5 + FastEthernet NIC x1
誰か欲しい人とかいませんかねw