Jump to content
Калькуляторы

WY6EPT

Пользователи
  • Content Count

    99
  • Joined

  • Last visited

About WY6EPT

  • Rank
    Абитуриент
  1. Спасибо, буду посмотреть. В сухом остатке, сделали пастру л2тп в дфл и заново настроили микрот с сбросом к заводским настройкам. есть вероятность, что мог повлиять апдейт на живом конфиге. работает. Всем спасибо за оказанную поддержку =)
  2. в общем и целом пока мы не отловим глюк, мы цепляемся vpn из виртуалки напрямую к dfl. но это скорее исключение из правил. ищем причину. потому, что все прекрасно работает в такой же конфигурации из других мест.
  3. ну т.к. в данном случае DFL натит весь траффик, то единственно возможный вариант, это 931 микрот подминает тоннель до 1100, т.к. только он имеет реальный адрес интернета пока развлекаемся wiresharkом и смотрим логи на DFL
  4. там ещ и схематичная связность. 1100 коннектит к виртуалке
  5. ну то есть микротик стоящий у виртуалки понятия не имеет об адресном пространстве внутри L2 оба микротика имеют только дефолтный маршрут в интернет
  6. как писалось в шапке, сам EoIP тоннель не имеет адресации вообще, адресация . L2tp связность не знает ничего о оборудовании за NAT? поэтому кольцо на этом уровне исключено, иначе оно бы и ругалось. то есть маршрутизации кроме как интернета нет.
  7. пакеты точно проходят одинаковой последовательности. мы специально проверяли. mtu на самом L2 установлен в 1500, оно в любом случае на полном фрейме фрагментируется. ipsec мы исключали, грабли с ARP остались. и как бы хрен с ним с ARP, через 5 минут после включения укладывается весь L2 сегмент подключенный к eoip микротика. как только микрот вырубается, работа нормализуется. я больше сейчас с этой загадкой борюсь. та же схема в другом офисе с тем же провайдером но другим маршрутизатором работает прекрасно.   eoip-tunnel-to-tc transmit loop detected, downing interface for 60 seconds это единственное сообщение в логах, которое мы видим. поэтому уже подключен wireshark и идет разбор, что к нам прилетает.
  8. Условия дисктуют, каким образом делать то или иное. туннелирование инструмент которым мы пользуемся для решения задач. пригодность или нет не из этой темы дискуссии =) к тому же оно работает. а IPSEC изолируетвнутренности EoIP от вмешательства в пакет всяких проиприетарных вещей. вот вам пример, по туннелю между цодами не ходил OSPF. оказалось, что мега железка цода изымала из пакета данные OSPF, вендор ничего с этим сделать не смог. завернули в IPSEC пинг уменьшился на 2мс, потому, что их железка теперь не пыталась ничего делать с трафиком. и да, не считайте байты, если нужно я посчитаю. в данной ситуации я больше обращаюсь к опыту коллег, кто сталкивался с падением всего L2 активного оборудования из-за одного EoIP до виртуалки, остальное решаемо
  9. как раз из-за ipsec все пляски с бубном. но мы пробовали и без него, результат идентичный. мы поняли, что система точно работает? т.к. в третьем офисе всё отлично. возник только один момент, при пинге 1500 байт без фрагментации из виртуалки ругается, при этом mtu на всём протяжении выставлен 1500 а т.к. я общался с ребятами из микротика по этой технологии, они сказали, что EoIP просто будет фрагментироваться, что бы пропустить больший фрейм через меньший MTU. ну и собственно видимо вайршарк нам поможет, почему ложит весь l2 сегмент в офисе =)
  10. а без микротиков точки вообще друг друга видят?
  11. RoS что самый свежий =) loopprotect как ни старнно выключен по дефолту, но мы выключили принудительно после того, как увидели сообщение в логах ( сеть ложится в независимости от этой настройки). ARP со стороны виртуалки прилетают тегом в VLAN интерфейс и заворачиваются в бридж. всё бы хорошо, но мы имеем дело с тоннелем L2tp поверх которого уже едет EoIP, само явление L2tp Тут из-за чудозверя DFL который NAT делает и ip внешний у конторы один. так бы проблем не было mtu везде точно интернетное, то бишь не более 1500. причёт с учётом pppoe со стороны dfl и l2tp и ipsec, то реальное MTU и того меньше. маршруты по интернету одинаковые. но данные то летят, связность есть. коннекты есть, но только изнутри сетки. и сама сеть ложится через 5 минут работы. собственно перевезли 931 микрот в другую сетку и подключили с теми же настройками. всё работает, провайдер тот же.
  12. Столкнулся с ситуацией не проходят ARP через EoIP MAC learning проходит только со стороны RB931-2nD в обратную сторону ARP не идёт даже если на RB1100AHx2 включен proxy-apr на бридже соответственно когда из сети виртуалку попинговали, виртуалка узнала о машине за мостом, то она эту машину начинает бодро пинговать, пока мак не забудет =) адресация в этом сегменте на микротиках отсутствует. при этом на RB931-2nD иногда выходит сообщение eoip-tunnel-to-tc transmit loop detected, downing interface for 60 seconds. а сетевое оборудование за RB931-2nD через 10-30 минут встаёт колом и перестаёт как либо пропускать трафик. после отключения routerboard из сети, работа нормализуется. Схема такая: для адресации EoIP связности поднимается L2TP соединение, т.к. микротик стоит за NAT Схама связности RB931-2nD - switch(internal net) - Dlink DFL800(NAT)-ISP----ISP-RB1100AHx2-Виртуальная Машина Схема L2 сегмента ether2-Bridge-Eoip---Eoip-Bridge-Vlan1007 over Ether6 RB1100AHx2 config name="BR_CLi007" mtu=auto actual-mtu=1500 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=D4:CA:6D:EA:4D:BE protocol-mode=none fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m vlan-filtering=no dhcp-snooping=no # INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON 0 vlan_cli007 BR_CLi007 1 0x80 10 10 none 1 eoip-cli007 BR_CLi007 1 0x80 10 10 none 0 R vlan_cli007 1500 enabled 1007 ether6_VMRouting RB931-2nD config 0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=CC:2D:E0:17:65:D4 protocol-mode=none fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m vlan-filtering=no dhcp-snooping=no # INTERFACE BRIDGE HW PVID PR PATH-COST INTERNA... HORIZON 0 H ether2 bridge1 yes 1 0x 10 10 none 1 eoip-tunnel... bridge1 1 0x 10 10 none при этом от RB931 всё пингует сразу, а от RB1100AHx2 в лучшем случае с 15-20 пакета оживает, а то и вообще не поднимает. и фиг бы сним, ARP могу в виртуалке руками прописать, но ведь эта связка мне ещё умудряется сеть ложить Вот думаю, либо руки из жопы либо где?
  13. скрещивать не собираюсь =) vlan нужны для разделения двух сегментов и транка в ядро. у меня задача сходня тупой L2 такого точно не будет, только IP в пределах подсети. потому и приглядываюсь. спасибо за полезную информацию. буду думать.
  14. вот модули =) https://shop.nag.ru/catalog/01891.Moduli-SFP/06900.WDM-odnovolokonnye/05154.SNR-SFPW73-20 бюджетно! аттенюатор купить и не париться, всё равно кросс будет.
  15. Подскажите, как у данного коммутатора обстоят дела с пропускной способностью? нужна простая молотилка. микротик обещает 160 гигабит при 1500mtu но это только между свич группами или там одна свич группа? а как дела обстоят с JF 9000? и если навесить на него пару vlan как его cpu себя будет чувствовать? сабж в том, как он переварит постоянную нагрузку желательно большими 9000 пакетами 30-40 гигабит и какой у него при этом будет latency? задержки на коммутацию тоже играют роль. кто пользовал, может посоветуете, справится он или не забивать голову?