klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Продолжаю ненавидеть Juniper SRX

Уже не знаю какой по счёту псто ненависти SRX-ов. Очередной, короче.

У сабжа есть management-интерфейс для out-of-band управления. Называется в системе FXP0. Через него можно, например, снимать логи, SNMP-метрики, цепляться к коробке по SSH и совершать прочие гнусности подобного рода.

Также эти SRX-ы можно собирать в кластер типа для отказоустойчивости (ха-ха). При этом служба маршрутизации (routing engine) в каждый момент времени работает только на какой-то одной ноде кластера. А на второй неактивна.

Соответственно, если не применять каких-то дополнительных ухищрений, то и к пресловутому management-интерфейсу из "вражеской" сети ты не достучишься. Потому что "неактивная" коробка кластера не будет знать до тебя маршрута, поскольку routing engine "тю-тю".

Разумеется, лучшие индийские инженерные умы предусмотрели такую ситуацию, поэтому ввели в конфиг директиву "backup-router". Она как раз призвана добавить маршрут в том случае, если нода неактивна, чтобы можно было ей рулить даже в такой ситуации. И везде в документации сказано, что действие данной директивы распространяется только на два события:


  1. нода прямо сейчас находится в процессе загрузки;

  2. нода является неактивной.

При всех же остальных сценариях, когда запущен routing engine, он берёт маршруты из "основной" таблицы. Поэтому если мы хотим иметь доступ к FXP0 и в штатном режиме тоже (а мы, конечно же, хотим), то надо прописывать два маршрута: один в backup-router, второй в "routing options static" (например).

Пробую всё делать чётко по инструкции. Не работает. Активная нода всегда откликается, к пассивной ноде доступа за пределами её L2-сегмента нет. Что наглядно свидетельствует о том, что backup-router не применился. Ровно об этом же красноречиво говорит и выхлоп команды "show route forwarding-table | match fxp".

Убив два часа своего времени, я таки набрёл на другую статью в документации. В которой английским по белому написано о том, что destination-подсеть в backup-router обязательно должна быть у́же, чем в routing-options static. Иначе настройка тупо не применится по причине того, что "штатный" статический маршрут её "перебьёт". И похрен, что нода неактивна, и что на ней не запущен routing engine.

Я могу сказать по этому поводу только одно: ССССУКИ!!!!11

Tags: juniper, ненависть, ссылки
Subscribe

  • Противодействие угрозам

    Есть у меня (точнее, у конторы) аплинк в ЦОДе. Относительно недавно в этот аплинк между мной и "магистральным роутером" провайдера на…

  • Импортозащемление

    "Не думал, не гадал он", но похоже что пресловутое импортозащемление докатилось таки и до меня. Насяльнике-мене мне вчерась объявил, что…

  • Dehydrated + WildCard Lets Encrypt

    Возникла тут надобность по-быстрому наколдовать Wildcard X509-сертификат для одного домена. Покупать и ждать пока проплатят времени / возможности не…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments