Настройка SSH Tunneling на FreeBSD

Приветствую!

Удобвства ради, решил создать для работы на удаленном сервер SSH тунель. А дело тут такое, что ничего подобного ранее я не делал.

Схема следующа:

Устройство с публичным IP адресом доступно по SSH (в моем случае, это Juniper SRX Series). Для простоты будет считатать его JunOS_Router. Устройство, которое находится за этим устройством (в моем случае, это Linux сервер RHES5), c приватным адресом. Назовем его Linux_Server.

Теперь о настройке удобств:

Ходить для начала я буду со своего сервера (FreeBSD, с публичным IP), будем называть его FreeBSD_Server.

Суть создания тунеля для того, чтобы единожды (в моем случае это не совсем так, потому что существует inactive timeout на  JunOS_Router) установить тунель на публичный адрес JunOS_Router. и затем ходить по специальному локальному порту FreeBSD_Server, который будет переадресовывать мое подключение уже на публично не доступный Linux_Server.

Сильно не вдаваясь в остальные ключи, скажу вам, слудющей команды будет достаточно для реализации тунеля. Делается это все на FreeBSD_Server.

ssh -g -N -f -L 5022:Linux_Server:22 [email protected]_Router

После этой команды, можно на FreeBSD_Server выполнить следующее:

ssh localhost -p 5022

Таким образом, мы будм переадресованы на Linux_Server порт 22.

-g      Allows remote hosts to connect to local forwarded ports.

-L [bind_address:]port:host:hostport             

Specifies that the given port on the local (client) host is to be             

forwarded to the given host and port on the remote side.     

-N      Do not execute a remote command. 

This is useful for just forwarding ports (protocol version 2 only).

-f      Requests ssh to go to background just before command execution.

Тестирование связки Juniper ft. Extreme = MPLS

Приветствую!

После анонса компанией ExtremeNetworks замечательного устройства ExtremeNetworks x480 (L3 коммутатор, с поддержкой MPLS сервисов VPLS и VPWS, а так же трафик инжиниринг и RSVP), уж очень захотелось поближе познакомиться с работой всего заявленого функционала.

На сегодня в нашей демо лабе мною собран стенд из 4-х маршрутизаторов. А именно это Juniper M7i, Juniper SRX210, ExtremeNetworks x480 (2шт).

Схема соеднения представлена ниже.

MPLS

Из особенностей схемы, хотелось бы только обратить внимание на тот факт, что для полноценной работы MPLS на маршрутизаторе Juniper SRX210 необходимо сделать настройки переводящие устройство в режим packet base.

И так, первым делом я собираюсь проверить работу VPLS сервиса.

userA и userB находятся в 22 порту на каждом из коммутаторов ExtremeNetworks x480. Пользователи находятся в нетегированном порту с vlan-id 150. Для проверки связности, я запускаю траффик от  userA до userB. Замечу, что пользовательские терминалы находятся в одной IP подсети.

На рисунке синим цветом обозначен основной путь следования IP траффика, красным – резервного.

После отключения линка к маршрутизатору основного пути Juniper M7i, происходит переключение на резервный канал. Благодаря функции Fast ReRoute, время переключения на резервный канал составило 1мс, так же в ходе переключения на резервный канал, была замечена потеря всего одного ICMP пакета.

После восстановления основного линка переключение с резервного канала произошло без видимых задержек. При этом потерь пакетов на пути следования траффика не наблюдалось.

Что хотелось бы отметить по данной схеме.

Релизация протокола OSPF на коммутаторах ExtremeNetworks устроена таким образом, что сходимость протокола после обрыва линка достаточо не высокая. То есть коммутатор переходит в режим State=FULL около 45 секунд, то сразу после восстановления линка, протокол OSPF находится в State=2WAY, после истечении 45 секунд, мы получаем State=EX_START, а затем State=FULL.

Это замечание следует учесть для "нестабильных" линков, то есть если у вас произойдет выход их строя основного линка, а затем его восстановление, у вас будет не менее 45сек, до того как этот линк возможно будет использовать для передачи данных. Можно рассмотреть ситуцию при которой после восстановления основного линка, произойдет сразу выход из строя резервного. В таком случае вы имеете все шансы получить 45 секунд полного отсутствия конективити в рабочей сети.