In JunOS (Juniper) ein MGMT-VLAN erstellen und einem Uplinkport zuweisen
Hallo Leute,
ich bin gerade dabei einen Juniper EX3400-48P-Switch bei uns aufzustellen.
Ich würde gerne diesen SW rudimentär selber verwalten können (Initiales Setup, VLAN-Erstellung, Management-Interface konfigurieren und solch grundlegende Dinge).
Dies kann ich rudimentär mit unseren HP/Aruba-Switchen und will dies nun an den Juniper-SW ebenfalls tun können. Diese führen wir nun nach und nach ein.
So, nachdem ich den SW auf verschiedene Arten in den factory-default-Modus versetzt habe, möchte ich nun ein Management-Port erstellen können. Auch ohne ezsetup habe ich es hinbekommen den dedizierten MGMT-Port so zu konfigurieren daß dieser erreichbar ist in unserem Netzwerk in dessen VLAN-Segment.
Da ich die Switche jedoch nur über den UPLINK-Port erreichen möchte, will ich natürlich nicht dediziert einen MGMT-Kanal dafür legen müssen. So wie bei unseren anderen Switchen auch.
Es ist jedoch schwieriger als ich dachte und doch unterschiedlicher als mit unseren ARUBA-Teilen.
Ein VLAN 'netzwerk-mgmt' mit der vlan-id 4 habe ich erstellt und nun weiß ich nicht weiter. Google brint mir viele Seiten aber irgendwie scheint es so daß alle Wege die ich dort probiert habe irgendwann mal scheitern (Sei es ein "error" beim "commit check" oder alles läuft prima nur funktioniert es nicht).
Was ich möchte ist:
Uplink-Port: ge-0/0/0, trunk, native vlan-id: 1, getagged vlan-id 4 (netzwerk-mgmt)
Management-VLAN: 'netzwerk-mgmt' VLAN-ID: 4, IP: 192.0.2.99/24, Mamangemt-VLAN-Gateway: 192.0.2.254
SSH und Webinterface soll zugreifbar sein.
Der Switch wird mit VLAN 1 ungetagged und VLAN4 getagged am UPLINK-Port beliefert.
Wie muss ich nun vorgehen um all das per CLI zu erreichen?
Ich bedanke mich schon einmal im voraus für eure Hilfe!
ich bin gerade dabei einen Juniper EX3400-48P-Switch bei uns aufzustellen.
Ich würde gerne diesen SW rudimentär selber verwalten können (Initiales Setup, VLAN-Erstellung, Management-Interface konfigurieren und solch grundlegende Dinge).
Dies kann ich rudimentär mit unseren HP/Aruba-Switchen und will dies nun an den Juniper-SW ebenfalls tun können. Diese führen wir nun nach und nach ein.
So, nachdem ich den SW auf verschiedene Arten in den factory-default-Modus versetzt habe, möchte ich nun ein Management-Port erstellen können. Auch ohne ezsetup habe ich es hinbekommen den dedizierten MGMT-Port so zu konfigurieren daß dieser erreichbar ist in unserem Netzwerk in dessen VLAN-Segment.
Da ich die Switche jedoch nur über den UPLINK-Port erreichen möchte, will ich natürlich nicht dediziert einen MGMT-Kanal dafür legen müssen. So wie bei unseren anderen Switchen auch.
Es ist jedoch schwieriger als ich dachte und doch unterschiedlicher als mit unseren ARUBA-Teilen.
Ein VLAN 'netzwerk-mgmt' mit der vlan-id 4 habe ich erstellt und nun weiß ich nicht weiter. Google brint mir viele Seiten aber irgendwie scheint es so daß alle Wege die ich dort probiert habe irgendwann mal scheitern (Sei es ein "error" beim "commit check" oder alles läuft prima nur funktioniert es nicht).
Was ich möchte ist:
Uplink-Port: ge-0/0/0, trunk, native vlan-id: 1, getagged vlan-id 4 (netzwerk-mgmt)
Management-VLAN: 'netzwerk-mgmt' VLAN-ID: 4, IP: 192.0.2.99/24, Mamangemt-VLAN-Gateway: 192.0.2.254
SSH und Webinterface soll zugreifbar sein.
Der Switch wird mit VLAN 1 ungetagged und VLAN4 getagged am UPLINK-Port beliefert.
Wie muss ich nun vorgehen um all das per CLI zu erreichen?
Ich bedanke mich schon einmal im voraus für eure Hilfe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21865996989
Url: https://administrator.de/contentid/21865996989
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
dafür musst du ein L3 Interface erstellen und dies an das VLAN binden:
Habe gerade keinen Juniper (Feierabend), aber so in die Richtung:
edit interface vlan
unit 1
family inet
adresse 192.168.0.2.99/24
das dann einem VLAN zuordnen:
VLAN-netzwerk-mgmt
l3-interfave vlan.1
Vorsicht mit den Internet Links, es gibt dann alte JunOS EX und ELS die Syntax ist anders.
Ansonsten erst ein commit check machen, der Fehler recht recht deutlich dar.
dafür musst du ein L3 Interface erstellen und dies an das VLAN binden:
Habe gerade keinen Juniper (Feierabend), aber so in die Richtung:
edit interface vlan
unit 1
family inet
adresse 192.168.0.2.99/24
das dann einem VLAN zuordnen:
VLAN-netzwerk-mgmt
l3-interfave vlan.1
Vorsicht mit den Internet Links, es gibt dann alte JunOS EX und ELS die Syntax ist anders.
Ansonsten erst ein commit check machen, der Fehler recht recht deutlich dar.
Ach ja, schalte das Web-Interface besser ab, Juniper hat dort wieder mal ein Loch:
https://www.heise.de/news/Codeschmuggel-in-Juniper-JunOS-Weltweit-tausen ...
Updates sind leider recht schwierig, da der Speicher zu klein ist, geht oft nur mit USB-Stick
Das ist mit ein Grund warum wir zu Ruckus gewechselt sind.
https://www.heise.de/news/Codeschmuggel-in-Juniper-JunOS-Weltweit-tausen ...
Updates sind leider recht schwierig, da der Speicher zu klein ist, geht oft nur mit USB-Stick
Das ist mit ein Grund warum wir zu Ruckus gewechselt sind.
Da ich die Switche jedoch nur über den UPLINK-Port erreichen möchte, will ich natürlich nicht dediziert einen MGMT-Kanal dafür legen müssen
Da spoiler ich mal: Das will man normalerweise so nicht, das macht insgesamt eher Ärger als dass es nützt.
Nutze lieber einen einfachen Switch, an den die MGMT-Ports verbunden werden statt "In-Band"-Management zu machen.
Das hat die Vorteile, dass du dich nicht so leicht versehentlich vom Management aussperrst weil irgendwo ein VLAN-Tag nicht korrekt transportiert wird und das Management ist dann immer verfügbar, sogar wenn du da irgendwo einen Loop im Netzwerk hast (oder ähnliche Katastrophen).
Zudem ist das Management-Netz damit automatisch vom restlichen Netzwerk isoliert und nicht angreifbar - wenn du da L3-Routing betreibst, machst du dir (es sei denn du betreibst viel Aufwand) die Management-Interfaces der Switches von überall erreichbar.
Zitat von @LordGurke:
Oben gebe ich dir Recht, da muss man halt aufpassen Zudem ist das Management-Netz damit automatisch vom restlichen Netzwerk isoliert und nicht angreifbar - wenn du da L3-Routing betreibst, machst du dir (es sei denn du betreibst viel Aufwand) die Management-Interfaces der Switches von überall erreichbar.
Wie meinst du das?Das VLAN schottest du mit einer Firewall ab und dann kommt dann nur noch zugelassene rein.
Ah, Ok, du meinst wenn ich das L3 Interface als Gateway nehme, dann routet der Switch?
Das geht dann aber doch nur vom Mgmt VLAN selber aus und nicht zum Switch hin.
Du könntest dann noch mit einem virtuellen Router arbeiten, aber das wird dann komplexer.
Hatte ich so noch nicht überlegt ....
Aber wohin soll der Switch routen?
Kann er ja, solange es nur ein L3 Interface gibt, nur zum dem Gateway das er selber kennt, und das wäre die Firewall wieder.
Das geht dann aber doch nur vom Mgmt VLAN selber aus und nicht zum Switch hin.
Du könntest dann noch mit einem virtuellen Router arbeiten, aber das wird dann komplexer.
Hatte ich so noch nicht überlegt ....
Aber wohin soll der Switch routen?
Kann er ja, solange es nur ein L3 Interface gibt, nur zum dem Gateway das er selber kennt, und das wäre die Firewall wieder.
Wenn du zwei oder mehr L3-Interfaces auf dem Switch hast, routet der Switch zwischen denen den Traffic direkt.
Das ist die performanteste Lösung, geht dann aber auch komplett an der Firewall vorbei.
Bei nur einem L3-Interface ist die Gefahr so erstmal nicht da, aber wenn man sich schon einen EX holt, will man in der Regel zumindest einzelne darauf VLANs routen, bei denen man ggf. keine Firewall benötigt.
Das ist die performanteste Lösung, geht dann aber auch komplett an der Firewall vorbei.
Bei nur einem L3-Interface ist die Gefahr so erstmal nicht da, aber wenn man sich schon einen EX holt, will man in der Regel zumindest einzelne darauf VLANs routen, bei denen man ggf. keine Firewall benötigt.