kaineanung
Goto Top

In JunOS (Juniper) ein MGMT-VLAN erstellen und einem Uplinkport zuweisen

Hallo Leute,

ich bin gerade dabei einen Juniper EX3400-48P-Switch bei uns aufzustellen.
Ich würde gerne diesen SW rudimentär selber verwalten können (Initiales Setup, VLAN-Erstellung, Management-Interface konfigurieren und solch grundlegende Dinge).

Dies kann ich rudimentär mit unseren HP/Aruba-Switchen und will dies nun an den Juniper-SW ebenfalls tun können. Diese führen wir nun nach und nach ein.

So, nachdem ich den SW auf verschiedene Arten in den factory-default-Modus versetzt habe, möchte ich nun ein Management-Port erstellen können. Auch ohne ezsetup habe ich es hinbekommen den dedizierten MGMT-Port so zu konfigurieren daß dieser erreichbar ist in unserem Netzwerk in dessen VLAN-Segment.
Da ich die Switche jedoch nur über den UPLINK-Port erreichen möchte, will ich natürlich nicht dediziert einen MGMT-Kanal dafür legen müssen. So wie bei unseren anderen Switchen auch.

Es ist jedoch schwieriger als ich dachte und doch unterschiedlicher als mit unseren ARUBA-Teilen.

Ein VLAN 'netzwerk-mgmt' mit der vlan-id 4 habe ich erstellt und nun weiß ich nicht weiter. Google brint mir viele Seiten aber irgendwie scheint es so daß alle Wege die ich dort probiert habe irgendwann mal scheitern (Sei es ein "error" beim "commit check" oder alles läuft prima nur funktioniert es nicht).

Was ich möchte ist:
Uplink-Port: ge-0/0/0, trunk, native vlan-id: 1, getagged vlan-id 4 (netzwerk-mgmt)
Management-VLAN: 'netzwerk-mgmt' VLAN-ID: 4, IP: 192.0.2.99/24, Mamangemt-VLAN-Gateway: 192.0.2.254
SSH und Webinterface soll zugreifbar sein.

Der Switch wird mit VLAN 1 ungetagged und VLAN4 getagged am UPLINK-Port beliefert.

Wie muss ich nun vorgehen um all das per CLI zu erreichen?

Ich bedanke mich schon einmal im voraus für eure Hilfe!

Content-ID: 21865996989

Url: https://administrator.de/contentid/21865996989

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

Deepsys
Deepsys 17.01.2024 um 17:01:13 Uhr
Goto Top
Hallo,

dafür musst du ein L3 Interface erstellen und dies an das VLAN binden:
Habe gerade keinen Juniper (Feierabend), aber so in die Richtung:

edit interface vlan
unit 1
family inet
adresse 192.168.0.2.99/24

das dann einem VLAN zuordnen:
VLAN-netzwerk-mgmt
l3-interfave vlan.1

Vorsicht mit den Internet Links, es gibt dann alte JunOS EX und ELS die Syntax ist anders.
Ansonsten erst ein commit check machen, der Fehler recht recht deutlich dar.
Deepsys
Deepsys 17.01.2024 um 17:03:21 Uhr
Goto Top
Ach ja, schalte das Web-Interface besser ab, Juniper hat dort wieder mal ein Loch:

https://www.heise.de/news/Codeschmuggel-in-Juniper-JunOS-Weltweit-tausen ...

Updates sind leider recht schwierig, da der Speicher zu klein ist, geht oft nur mit USB-Stick face-sad
Das ist mit ein Grund warum wir zu Ruckus gewechselt sind.
LordGurke
LordGurke 17.01.2024 um 17:21:24 Uhr
Goto Top
Da ich die Switche jedoch nur über den UPLINK-Port erreichen möchte, will ich natürlich nicht dediziert einen MGMT-Kanal dafür legen müssen

Da spoiler ich mal: Das will man normalerweise so nicht, das macht insgesamt eher Ärger als dass es nützt.
Nutze lieber einen einfachen Switch, an den die MGMT-Ports verbunden werden statt "In-Band"-Management zu machen.
Das hat die Vorteile, dass du dich nicht so leicht versehentlich vom Management aussperrst weil irgendwo ein VLAN-Tag nicht korrekt transportiert wird und das Management ist dann immer verfügbar, sogar wenn du da irgendwo einen Loop im Netzwerk hast (oder ähnliche Katastrophen).
Zudem ist das Management-Netz damit automatisch vom restlichen Netzwerk isoliert und nicht angreifbar - wenn du da L3-Routing betreibst, machst du dir (es sei denn du betreibst viel Aufwand) die Management-Interfaces der Switches von überall erreichbar.
Deepsys
Deepsys 17.01.2024 um 17:26:13 Uhr
Goto Top
Zitat von @LordGurke:
Oben gebe ich dir Recht, da muss man halt aufpassen face-wink

Zudem ist das Management-Netz damit automatisch vom restlichen Netzwerk isoliert und nicht angreifbar - wenn du da L3-Routing betreibst, machst du dir (es sei denn du betreibst viel Aufwand) die Management-Interfaces der Switches von überall erreichbar.
Wie meinst du das?
Das VLAN schottest du mit einer Firewall ab und dann kommt dann nur noch zugelassene rein.
LordGurke
LordGurke 17.01.2024 um 17:36:38 Uhr
Goto Top
Wenn der Switch aber routet, routet er an der Firewall vorbei.
Deepsys
Deepsys 17.01.2024 um 17:46:38 Uhr
Goto Top
Ah, Ok, du meinst wenn ich das L3 Interface als Gateway nehme, dann routet der Switch?
Das geht dann aber doch nur vom Mgmt VLAN selber aus und nicht zum Switch hin.

Du könntest dann noch mit einem virtuellen Router arbeiten, aber das wird dann komplexer.

Hatte ich so noch nicht überlegt ....

Aber wohin soll der Switch routen?
Kann er ja, solange es nur ein L3 Interface gibt, nur zum dem Gateway das er selber kennt, und das wäre die Firewall wieder.
LordGurke
LordGurke 17.01.2024 um 17:49:34 Uhr
Goto Top
Wenn du zwei oder mehr L3-Interfaces auf dem Switch hast, routet der Switch zwischen denen den Traffic direkt.
Das ist die performanteste Lösung, geht dann aber auch komplett an der Firewall vorbei.
Bei nur einem L3-Interface ist die Gefahr so erstmal nicht da, aber wenn man sich schon einen EX holt, will man in der Regel zumindest einzelne darauf VLANs routen, bei denen man ggf. keine Firewall benötigt.
Deepsys
Deepsys 17.01.2024 um 17:58:35 Uhr
Goto Top
Ok, dann sind wir einer Meinung und haben den TO vermutlich noch mehr verwirrt face-wink

Also wir haben/hatten die EX auch als Access Switche, aber Juniper entwickelt sich in Richtung Datacenter/Cloud (verpasst dem EX2300 aber immer noch zu wenig Speicher) und wurde nun auch noch von HPE gekauft.