Juniper EX3400 Virtual Chassis тестирование

Какие преимущества дает Virtual Chassis:
- большое количество портов доступа;
- отказоустойчивость за счет образования кольцевидной топологии включения коммутаторов (fault tolerance and high availability);
- отсутствие протокола STP;
- единый интерфейс управления всеми устройствами в VC.

Имеющееся оборудование в тесте:
2 коммутатора Juniper EX3400-48T (обычные RJ-45 порты)
1 коммутатор Juniper EX3400-48P (обычные RJ-45 порты + POE)
4 оптических трансивера QSFP+-40G-LR4 производитель - ITbiz и соответствующие патч-корды
Оптические аттенюаторы для ослабления мощности сигнала, так, как трансиверы на 10 км
1 Active Optical Cables (AOC)

Топология которая была построена:

Ключевые особенности схемы:

- Virtual Chassis порт строятся на 40 гбит/сек интерфейсах QSFP;

- режим конфигурации Virtual Chassis - Preprovisioned (в ручном режиме задано кто будет RE а кто будет Linecard);

- кольцевидное включение.

Схема установки трансиверов:

Member 0 port 0 -- AOC -- Member 1 port 1

Member 0 port 1 -- QSFP+-40G-LR4 & optical attenuator 4 dbm -- QSFP+-40G-LR4 & optical attenuator 4 dbm -- Member 2 port 1

Member 1 port 0 -- QSFP+-40G-LR4 & optical attenuator 4 dbm -- QSFP+-40G-LR4 & optical attenuator 4 dbm -- Member 2 port 0

Важно! Комфортным вариантом создания VC в Preprovisioned режиме является - подключения всех устройств между собой (в нашем случае QSFP порты уже находятся в режиме VC-Port) без включение питания, определение какой коммутатор у нас будет Master RE, составление списка всех серийных номеров коммутаторов, которые будут включаться в VC.

Далее - включаем наш Master RE, при этом все остальные коммутаторы еще выключены, настраиваем роли RE и роли Linecard на устройстве для серийных номеров, после включаем все остальные коммутаторы.

В случае правильной конфигурации, хороших оптических трансиверов, и когда все линки подняты топология будет выглядеть следующим образом:

root> show virtual-chassis

Preprovisioned Virtual Chassis

Virtual Chassis ID: 27ff.13e2.dd87

Virtual Chassis Mode: Enabled

                                                Mstr           Mixed Route Neighbor List

Member ID  Status   Serial No    Model          prio  Role      Mode  Mode ID  Interface

0 (FPC 0)  Prsnt    NXxxxxx90124 ex3400-48t     129   Master*      N  VC   1  vcp-255/1/0

                                                                           2  vcp-255/1/1

1 (FPC 1)  Prsnt    NY0xxxxx00367 ex3400-48p     129   Backup       N  VC   2  vcp-255/1/0

                                                                           0  vcp-255/1/1

2 (FPC 2)  Prsnt    NXxxxxx90029 ex3400-48t       0   Linecard     N  VC   1  vcp-255/1/0

                                                                           0  vcp-255/1/1

root> show virtual-chassis vc-port

fpc0:

--------------------------------------------------------------------------

Interface   Type              Trunk  Status       Speed        Neighbor

or                             ID                 (mbps)       ID  Interface

PIC / Port

1/0         Configured         -1    Up           40000        1   vcp-255/1/1

1/1         Configured         -1    Up           40000        2   vcp-255/1/1

fpc1:

--------------------------------------------------------------------------

Interface   Type              Trunk  Status       Speed        Neighbor

or                             ID                 (mbps)       ID  Interface

PIC / Port

1/0         Configured         -1    Up           40000        2   vcp-255/1/0

1/1         Configured         -1    Up           40000        0   vcp-255/1/0

fpc2:

--------------------------------------------------------------------------

Interface   Type              Trunk  Status       Speed        Neighbor

or                             ID                 (mbps)       ID  Interface

PIC / Port

1/0         Configured         -1    Up           40000        1   vcp-255/1/0

1/1         Configured         -1    Up           40000        0   vcp-255/1/1

root> show virtual-chassis active-topology

fpc0:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    2(vcp-255/1/1.32768)

fpc1:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    2(vcp-255/1/0.32768)

fpc2:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  1                    1(vcp-255/1/0.32768)

root> show chassis hardware | match "fpc|Xcvr"

FPC 0            REV 17   650-059881   NXxxxxx90124      EX3400-48T

  CPU                     BUILTIN      BUILTIN           FPC CPU

    Xcvr 0       REV 01   740-032986   06Jxxxxx0212    QSFP+-40G-SR4

    Xcvr 1       REV 01   740-032986   06Jxxxxx5202     QSFP+-40G-LR4

FPC 1            REV 17   650-059857   NY0xxxxx00367      EX3400-48P

  CPU                     BUILTIN      BUILTIN           FPC CPU

    Xcvr 0       REV 01   740-032986   06Jxxxxx5201     QSFP+-40G-LR4

    Xcvr 1       REV 01   740-032986   06Jxxxxx0212    QSFP+-40G-SR4

FPC 2            REV 17   650-059881   NXxxxxx90029      EX3400-48T

  CPU                     BUILTIN      BUILTIN           FPC CPU

    Xcvr 0       REV 01   740-032986   06Jxxxxx5203     QSFP+-40G-LR4

    Xcvr 1       REV 01   740-032986   06Jxxxxx5204     QSFP+-40G-LR4

Тест 1 - Физическое извлечение из member 0 port 1 трансивера.

Активная топология перестроилась через оставшийся интерфейс.

root> show virtual-chassis active-topology

fpc0:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    1(vcp-255/1/0.32768)

fpc1:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    2(vcp-255/1/0.32768)

fpc2:

--------------------------------------------------------------------------

  Destination ID        Next-hop

  0                    1(vcp-255/1/0.32768)

  1                    1(vcp-255/1/0.32768)

Тест 2 - включение member 0 port 1 трансивера.
Активная топология вернулась к штатному режиму (member 2 с member 0 в приоритете через port 1).

root> show virtual-chassis active-topology
fpc0:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    2(vcp-255/1/1.32768)

fpc1:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    2(vcp-255/1/0.32768)

fpc2:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  1                    1(vcp-255/1/0.32768)

Тест 3 - физический разрыв оптического линка без изъятия трансивера между member 1 и member 2 (Member 1 port 0 -- Member 2 port 0)
Активная топология перестроилась - member 2 имеет достижимость к member 0,1 только через port 1; member 2 имеет достижимость к member 0,3 только через port 1

root> show virtual-chassis active-topology
fpc0:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    2(vcp-255/1/1.32768)

fpc1:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    0(vcp-255/1/1.32768)

fpc2:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  1                    0(vcp-255/1/1.32768)

Тест 4 - возврат оптического линка разорванного в тесте 3.
Активная топология вернулась к штатному кольцеобразному виду.

root> show virtual-chassis active-topology
fpc0:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    2(vcp-255/1/1.32768)

fpc1:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    2(vcp-255/1/0.32768)

fpc2:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  1                    1(vcp-255/1/0.32768)

Тест 5 - отключение member 1.
Member 1 и member 2 видят друг друга только через единый линк.

root> show virtual-chassis

Preprovisioned Virtual Chassis
Virtual Chassis ID: 27ff.13e2.dd87
Virtual Chassis Mode: Enabled
                                                Mstr           Mixed Route Neighbor List
Member ID  Status   Serial No    Model          prio  Role      Mode  Mode ID  Interface
0 (FPC 0)  Prsnt    NXxxxxx90124 ex3400-48t     129   Master*      N  VC   2  vcp-255/1/1
1 (FPC 1)  NotPrsnt NY0xxxxx00367
2 (FPC 2)  Prsnt    NXxxxxx90029 ex3400-48t       0   Linecard     N  VC   0  vcp-255/1/1

root> show virtual-chassis active-topology
fpc0:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  2                    2(vcp-255/1/1.32768)

fpc2:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

Тест 6 - включение member 1.
После загрузки member 1 топология вернулась к штатному состоянию.

root> show virtual-chassis

Preprovisioned Virtual Chassis
Virtual Chassis ID: 27ff.13e2.dd87
Virtual Chassis Mode: Enabled
                                                Mstr           Mixed Route Neighbor List
Member ID  Status   Serial No    Model          prio  Role      Mode  Mode ID  Interface
0 (FPC 0)  Prsnt    NXxxxxx90124 ex3400-48t     129   Master*      N  VC   1  vcp-255/1/0
                                                                           2  vcp-255/1/1
1 (FPC 1)  Prsnt    NY0xxxxx00367 ex3400-48p     129   Backup       N  VC   2  vcp-255/1/0
                                                                           0  vcp-255/1/1
2 (FPC 2)  Prsnt    NXxxxxx90029 ex3400-48t       0   Linecard     N  VC   1  vcp-255/1/0
                                                                           0  vcp-255/1/1

root> show virtual-chassis active-topology
fpc0:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  1                    1(vcp-255/1/0.32768)

  2                    2(vcp-255/1/1.32768)

fpc1:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  2                    2(vcp-255/1/0.32768)

fpc2:
--------------------------------------------------------------------------
  Destination ID        Next-hop

  0                    0(vcp-255/1/1.32768)

  1                    1(vcp-255/1/0.32768)

Cisco Nexus 3064 and Juniper MX 960 simple L2VPN on PE (based on bridge-domains)

We have topology with Q-in-Q VLAN-s on L2 network layer.

Access Switch - Huawei S2326 (adding a single VLAN tag to Ethernet frame).
Aggregation Swicth - Cisco Nexus 3064 (adding a second VLAN tag to Ethernet frame).
PE - Juniper MX 960 (recive double tag Ethernet frame from Nexus).

The task to make L2VPN for customers on the L2 ring. Cisco Nexus 3064 does not know selective Q-in-Q...  So it's decided to send all L2VPN traffic to the PE router.

Clients VLAN-s:
Eth1/46, C-VLAN - 203, S-VLAN - 306
Eth1/48, C-VLAN - 200, S-VLAN - 303

Frames from C-VLAN 203 must switch to C-VLAN 200.

Cisco Nexus config:

vlan 303
  name Access-HuaweiSw-Port-48

vlan 306
  name Access-HuaweiSw-Port-46

interface Ethernet1/46
  description access-switch-S2326-46
  switchport mode dot1q-tunnel
  switchport access vlan 306
  speed 1000
  switchport autostate exclude

interface Ethernet1/48
  description access-switch-S2326-48
  switchport mode dot1q-tunnel
  switchport access vlan 303
  speed 1000
  switchport autostate exclude

interface port-channel1
  description -=MX-960=-
  switchport mode trunk
  switchport trunk allowed vlan 40,303,306,707
  speed 1000

Juniper MX config:
set interfaces ae1 description -=Cisco=-
set interfaces ae1 flexible-vlan-tagging
set interfaces ae1 mtu 9192
set interfaces ae1 encapsulation flexible-ethernet-services
set interfaces ae1 aggregated-ether-options minimum-links 1
set interfaces ae1 aggregated-ether-options link-speed 1g
set interfaces ae1 unit 3032 description L2VPN-Client1
set interfaces ae1 unit 3032 encapsulation vlan-bridge
set interfaces ae1 unit 3032 vlan-tags outer 303
set interfaces ae1 unit 3032 vlan-tags inner 200
set interfaces ae1 unit 3062 description L2VPN-Client1
set interfaces ae1 unit 3062 encapsulation vlan-bridge
set interfaces ae1 unit 3062 vlan-tags outer 306
set interfaces ae1 unit 3062 vlan-tags inner 203

set bridge-domains L2VPN-Client1 domain-type bridge
set bridge-domains L2VPN-Client1 vlan-id none
set bridge-domains L2VPN-Client1 interface ae1.3032
set bridge-domains L2VPN-Client1 interface ae1.3062

Check all:
root@MX960_RE0> show bridge domain extensive

Routing instance: default-switch
Bridge domain: L2VPN-Client1                  State: Active
Bridge VLAN ID: none
Interfaces:
    ae1.3032
    ae1.3062
Total MAC count: 2

Nexus-MX-1# show mac address-table vlan 303
Legend:
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since first seen,+ - primary entry using vPC Peer-Link
   VLAN     MAC Address      Type      age     Secure NTFY   Ports/SWID.SSID.LID
---------+-----------------+--------+---------+------+----+------------------
* 303      00e0.fc09.bcf9    dynamic   9840       F    F  Eth1/48
* 303      84ad.58b3.39ff    dynamic   9840       F    F  Eth1/48
* 303      d4ca.6d8a.b56e    dynamic   9840       F    F  Eth1/48
* 303      d4ca.6db1.be02    dynamic   9840       F    F  Po1

Nexus-MX-1# show mac address-table vlan 306
Legend:
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since first seen,+ - primary entry using vPC Peer-Link
   VLAN     MAC Address      Type      age     Secure NTFY   Ports/SWID.SSID.LID
---------+-----------------+--------+---------+------+----+------------------
* 306      00e0.fc09.bcf9    dynamic   11830      F    F  Eth1/46
* 306      d4ca.6d8a.b56e    dynamic   10310      F    F  Po1
* 306      d4ca.6db1.be02    dynamic   10120      F    F  Eth1/46
* 306      dcd2.fc6b.ca19    dynamic   11800      F    F  Eth1/46

Обзор и тестирования Juniper Sky ATP (песочница от Juniper)

Juniper Sky ATP - облачный сервис обеспечивающий защиту от malware и предотвращения zero-day атак. Интегрируется с Juniper SRX (Firewall от Juniper). Соответственно, для работы данного сервиса у вас должен быть комплекс, который включает в себя следующие компоненты SRX (vSRX) и подписка (которая бывает даже free) на сам Sky ATP сервис.
Стоит отметить, что весь служебный трафик между SRX и серверами Sky ATP передается исключительно в шифрованном виде между вашим SRX и облаком Juniper.

На каких SRX поддерживается:
SRX340, SRX345, SRX550M, SRX1500, SRX4000 line, SRX5000 line, vSRX.

Механизмы которые используются в работе комплекса SRX и Sky ATP Juniper разделят на 2 подкатегории. От этого зависит и сама настройка комплекса, которая может быть выполнена как в ручном режиме на SRX, так и с помощью специализированной системы управления компонентами Juniper Space Security Director.

Advanced Anti-Malware механизмы:
- cache lookups (~1 second);
- антивирусное сканирование несколькими AV движками (~5 second);
- статический анализ malware (~30 second);
- динамический анализ malware (~7 minutes sandbox Windows and Android);
- использования методов провокации malware;
Почитать о данном алгоритме можно здесь: How is Malware Analyzed and Detected?

Security Intelligence  механизмы:
- репутационные базы Botnets/C&C;
- базы Geo-IP;
- передача данных по API;
- пользовательские списки.

В общем виде архитектуру решения можно представить следующий образом:

Какие файлы поддерживает Sky ATP:
Active media: .swf, .xap, .xbap
Archive: .zip, .rar, .tar, .gzip
Code: .c, .cc, .cpp, .cxx, .h, .htt, .java
Config: .inf, .ini, .lnk, .reg, .plist
Document: .chm, .doc, .docx, .dotx, .hta, .html, .pot, .ppa, .pps, .ppt, .pptsm, .pptx, .ps, .rtf, .rtf, .txt, .xlsx, .xml, .xsl, .xslt
Executable: .bin, .com, .dat, .exe, .msi, .msm, .mst
Java: .class, .ear, .jar, .war
Library: .a, .dll, .kext, .ko, .o, .so, ocx
Mobile: .apk, .ipa
OS package: .deb, .dmg
Script: .bat, .js, .pl, .ps1, .py, .sct .sh, .tcl, .vbs, plsm, pyc, pyo
Portable document: .email, .mbox, .pdf, .pdfa
Emerging threat (A special category that includes known threat source file types)

Стоит отметить, что максимальный файл, который может быть отправлен в облако для проверки - 32 мб.

В результате анализа и определения проблемы (malware либо попытка установить связь/скачать данные из C&C), Sky ATP в зависимости от настроенного порога threat level блокирует устройство запрещая ему доступ в Интернет.

В данном механизме есть лимит файлов в день, которые можно отправлять на анализ - File Limitations.

Ссылки на полезную и нужную информацию:

Quick Start Guide

Datasheet

Лицензирование

Общий dashboard:

Hosts, который зафиксированы Sky системой:

Все файлы, которые были проанализированы Sky системой:

Расширенная информация по конкретному файлу:

Детализированный вывод из песочницы по зловреду:

Зафиксированные C&C сервера Sky системой:

Детализированный вывод по конкретному C&C серверу:

QFX5110 улучшенный вариант QFX5100

Много пользователей Juniper хорошо знакомы с моделью коммутатора Juniper QFX5100 и ее модификациями, давайте вспомним их:

- QFX5100-48T -  48 100M/1G/10G RJ-45 ports, 6 QSFP ports

- QFX5100-48S -  48 SFP+/SFP ports, 6 QSFP ports

- QFX5100-24Q - 24 QSFP ports, 2 expansion slots (8 port SFP+ или 4 port QSFP+)

- QFX5100-24Q-AA - 24 QSFP ports, 2 expansion slots (8 port SFP+ или 4-port QSFP+ дополнительно поддержка Packet Flow Accelerator модуля)

- QFX5100-96S -  96 SFP/SFP+, 8 QSFP+ ports

Архитектура QFX5100: 

Данная модель хорошо себя зарекомендовала на рынке коммутаторов для Дата-Центров (хотя используется как магистральное оборудования и оборудования агрегации), и имеет следующие выразительные черты:

- построен на чипсете Broadcom Trident 2;

- поддержка технологий Juniper Virtual Chassis, Virtual Chassis Fabric, Junos Fusion для объединения устройств в единое целое и создания высокопроизводительной фабрики для ЦОД.

Не менее важным моментом является тот, что для данной модели, изданием O'Reilly Media даже выпущена книга: "Juniper QFX5100 Series - A Comprehensive Guide to Building Next-Generation Networks" в которой описаны все тонкости архитектуры, функционала и возможностей.

Опираясь на такой успех, Juniper Networks решил обновить QFX5100 и выпустил обновленную модель - Juniper QFX5110.
Обновленная модель доступна в 2-х вариантах:

QFX5110-48S

Size, RU: 1

Switch Throughput: 1.76 Tbps
10GbE (SFP+): 64 (48 on board and other use Breakout Cable, QFSP+)
40GbE (QSFP+): 4
100GbE (QSFP28): 4
Fans: 5x AFO/AFI
Power Supplies: 2x650W each; 1+1 redundancy

QFX5110-32Q

Size, RU: 1

Switch Throughput: 2.56 Tbps
10GbE: 104 (only with Breakout Cable, QFSP+)
40GbE (QSFP+): 32
100GbE (QSFP28): 4
Fans: 5x AFO/AFI
Power Supplies: 2x650W each; 1+1 redundancy

Ключевые моменты:
- высокая плотность портов и гибкость в выборе скорости интерфейсов (10/40/100GbE);
- задержка при обработке трафика меньше чем 550 nanoseconds;
- мощный control plane:  1.8 GHz quad-core Intel CPU с 16 GB memory и 64 GB SSD накопителем;
- отличные функции по автоматизации (Python и  zero touch provisioning (ZTP))
- оверлейные технологии (Virtual Extensible LAN (VXLAN) и Open vSwitch Database (OVSDB)
protocol в качестве L2 Gateway), VMware NSX и OpenStack интеграция;
- поддержка L3 функционала: BGP, MPLS, L3 VPN, IPv6 6PE (зависит от лицензирования).

Так какая же разница между QFX5100 и QFX5110:

С даташитом по данной модели можно ознакомиться по ссылке: QFX5110 Ethernet Switch

Сравнительный обзор характеристик чипсетов Broadcom для Дата-Центров: Comparing the Broadcom Silicons used in Datacenter switches

По вопросам продажи и поддержки с радостью поможет команда ITbiz

How to update firmware Cisco IP Phone 7942 with TFTP and FortiGate DHCP Server

I have:
- a new Cisco IP Phone 7942 after hard reset
- a new firmware version 9.4(2)SR3 for my phone (download from Cisco support center, login in need)
- a free TFTP server based on tftpd64.exe (http://tftpd32.jounin.net/tftpd32_download.html)
- a Fortigate FD100 device as DHCP server

And I need upgrade firmware. When IP Phone is booting he request IP address and address of TFTP server when is firmware placed.

1. First step - run the tftpd64.exe and set Current Directory with unpacked firmware (see folder contains below). And set interface for service listening.

2. Second step - configure Fortigate FD100 for DHCP server and config option 150

FG100 # show system dhcp server 4

config system dhcp server

    edit 4

        set default-gateway 192.168.5.1

        set netmask 255.255.255.0

        set interface "VOIP_VLAN_5"

        config ip-range

            edit 1

                set start-ip 192.168.5.10

                set end-ip 192.168.5.254

            next

        end

        set timezone-option default

        config options

            edit 1

                set code 150

                set value "C0A80511"

            next

        end

        set dns-server1 192.168.5.5

        set dns-server2 8.8.8.8

    next

end

This can you add via web interface. If I add pre configured option on FD, this dont work and I great a manual option with number 150 and add a HEX IP address of my TFTP server. HEX calculating using - http://ncalculators.com/digital-computation/ip-address-hex-decimal-binary.htm

3. Boot IP Phone and wait...

If you configured all fine the phone get IP address and start the process of upgrade:

Troubleshoting.

The biggest problem is optin 150. If you add this option correctly ont the side of TFTP Server you can see traffic from phone and can check error... See below:

This indicates that option set correctly byt need check the folder and files of firmware

Trace-route how it works? (By DAVID RICHARD, www.networksbaseline.in)

Какие адреса отображаться при tracert - https://habrahabr.ru/post/329244/

Original

Brocade ICX 7750 внутренности (inside)