Перейти к содержимому
Калькуляторы

Sergey R.

Пользователи
  • Публикации

    71
  • Зарегистрирован

  • Посещение

О Sergey R.

  • Звание
    Абитуриент

Информация

  • Пол
    Мужчина

Город

  • Город
    Москва

Посетители профиля

361 просмотр профиля
  1. Благодарю, да, согласен что идеальный вариант это OOB mgmt, как раз его сделаем в будущем. Но пока вполне хватит static arp. Оборудование меняется не так уж часто, также проблем никаких не вижу.
  2. Так, нашел в какую сторону копать. Дело действительно в COPP, а конкретно в: class-map copp-s-arp (match-any) police pps 20 OutPackets 10021095 DropPackets 2404530 По дефолту стояло значение police pps 200, понизил до 20, коммутатор начал умирать в том числе с одним вланом от MSK-IX. В общем получается что всё логично, чем больше пирингов включать, тем больше пакетиков под правило попадают и иногда дропаются arp, которые идут из/в влан управления. Вопрос как правильно разрулить это дело? police pps 2000 выставить? Но во время какого-нибудь шторма это может навредить. Почему вообще коммутатор отправляет на процессор arp пакеты? Я понимаю если бы у меня был ip интерфейс, а тут то чистые l2 vlan ы от пирингов. Свитч их должен просто пропускать без анализа, или я не понимаю логику работы на l2? Вот такую фигню нашел. Очень надеюсь что дропы не затрагивают транзитные arp паеты, иначе жесть. https://community.cisco.com/t5/data-center-switches/n3k-arp-packets-in-l2-vlan-increase-copp-counters/td-p/3693772 Придется теперь проверять что не дропается транзит.
  3. ASR1002-X BGP Full view

    Всем привет! Апну тему, тоже хочу запустить BGP FV на asr1002-x. Сейчас характеристики такие: cisco ASR1002-X (2RU-X) processor (revision 2KP) with 3752238K/6147K bytes of memory. Processor board ID FOX1748GGZV 6 Gigabit Ethernet interfaces 3 Ten Gigabit Ethernet interfaces 32768K bytes of non-volatile configuration memory. 8388608K bytes of physical memory. 6684671K bytes of eUSB flash at bootflash:. С 8G памяти это реально сделать? Кто-нибудь на практике запускал? https://www.cisco.com/c/en/us/products/collateral/routers/asr-1000-series-aggregation-services-routers/data_sheet_c78-441072.html Если верить тому что циска пишет, пока 8G должно хватить, но фиг знает как они тестировали, на данный момент железка выполняет также подключение по pppoe+ipoe. With 4-GB memory: ● Up to 500,000 IPv4 or 500,000 IPv6 routes With 8-GB or 16-GB memory: ● Up to 1,000,000 IPv4 or 1,000,000 IPv6 routes - 8 GB Memory ● Up to 3,500,000 IPv4 or 3,000,000 IPv6 routes - 16 GB Memory ● BGP RR Scalability up to 5,250,000 IPv4 or 4,250,000 IPv6 routes - 8 GB Memory ● BGP RR Scalability up to 11,500,000 IPv4 or 10,000,000 IPv6 routes - 16 GB Memory Или лучше сразу докупить памяти до 16G? Очень не хочется сделать так, что железка наесться маршрутов и зависнет/скинет pppoe клиентов.
  4. И с VACL на nexus 3064 ничего не вышло) ошибку не помню уже, но не дал применить к влану
  5. Да я бы с радостью, но нифига у нексуса 3064 нет mac acl.
  6. RSP 720 3CXL

    Понятно, благодарю. Еще есть вопрос по текущей железке на RSP 720 3CXL, с которой еще жить до покупки джуна. Возможно ли настроить нейборы так, что после таймаута, либо каких других причин, сессия падала, и больше не поднималась САМА! Сейчас наблюдается такой хаос: Один крупняк флапнул, за ним второй, третий... Приходиться всех ручками гасить и по очереди поднимать. На это уходит время, вероятно выгоднее бы было если сессия упала и не поднималась. Далее их последовательно ручками поднять. Совсем без связи остаться не боюсь, есть возможность всегда попасть в сеть минуя интернет.
  7. RSP 720 3CXL

    Juniper MX104-80G Bundle а про эту железку кому есть что сказать? В современных условиях хорошо работает? По маршрутам вроде все хорошо, думаем может взять как замену для RSP 720 3CXL? 6,000,000 IPv4 prefixes in the RIB 2,000,000 IPv4 prefixes in the FIB от mx204 сильно отстает по производительности?
  8. Знаю я эту политику) отработал от звонка до звонка там 3 года :-D На самом деле думаю дело не столько в политике сколько в количестве пиров. Вот сейчас глянул на порту MSK-IX менее 500 маков. В DEC-IX под 1000, и ipv6 там больше, прямо видно по количеству мультикаста входящего. Так что теоретически если MSK-IX будет расти то также будут мешать L2 сегменту. Но я думаю что уже вопрос решен и сделаем изоляцию на уровне портов всех этих зверинцев. Извините несколько месяцев эта проблема доставала пока не пережили несколько серьёзных падений и глубоко копать не начали.
  9. на 760x загрузка по CPU раза в 3 упала сразу, ARP процесс в основном освободился. В общем опасения подтвердились, громадный L2 с тысячью маков, куча всяких широковещалок. MSK-IX и DATA-IX не доросли до такого, не вероятно в будущем будет тоже самое. Так что подозреваю я что придётся роутер на границу сети купить и изолировать эти зверинцы на порту подключения. Спокойнее жить будет.
  10. Благодарю за советы. Сейчас погасили сессии и убрали трафик с маршрутизатора. Роутеру очень сильно полегчало. Теперь остались нексусы, которые ложаться только по управлению, связь не обрывается. Т е теперь могу спокойно проводить тесты с vacl, acl, CoPP и прочим.
  11. ipv6 acl не допилили они похоже, как ingress (Router ACL) он его видит Хотя po1 чисто L2 интерфейс. sh ipv6 access-lists IPV6 ACL deny-all-ipv6 Total ACEs Configured: 3 Configured on interfaces: port-channel1 - ingress (Router ACL) Active on interfaces:
  12. Сдампил трафик, под 1000pps сыпится пакетов multicast ipv6 11:51:52.894562 00:12:f2:92:eb:03 > 33:33:ff:00:00:02, ethertype IPv6 (0x86dd), length 86: fe80::212:f2ff:fe92:eb03 > ff02::1:ff00:2: ICMP6, neighbor solicitation, who has 2001:7f8::31aa:0:2, length 32 11:51:52.894925 5c:5e:ab:d2:a1:90 > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: fe80::21f:1202:e58c:87c1 > ff02::1:ff00:1: ICMP6, neighbor solicitation, who has 2001:7f8::220d:0:1, length 32 11:51:52.894935 5c:5e:ab:d2:a1:90 > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: fe80::21f:1202:e58c:87c1 > ff02::1:ff00:1: ICMP6, neighbor solicitation, who has 2001:7f8::797f:0:1, length 32 Вероятно их блокировка облегчит жизнь, но вероятно нексус 3064 фиг даст заложить эти пакеты? Из доступных средств что попробовал: storm-control multicast level 0.00, результата никакого, всё равно пропускает С ACL также дохлый номер, не лочит эти пакеты. interface port-channel1 switchport mode trunk switchport trunk allowed vlan 2282 ipv6 traffic-filter deny-all-ipv6 in spanning-tree port type edge trunk spanning-tree bpdufilter enable storm-control multicast level 0.00 IPv6 access list deny-all-ipv6 5 deny ipv6 any any log 10 deny ipv6 any any 20 deny ipv6 any ff02::1:ff00:1/128 Есть еще идеи как залочить ВЕСЬ ipv6? Сейчас mac acl еще гляну, но боюсь что в нексусе 3064 mac acl нету.
  13. В мониторинге тишина, в логах пусто. Нексусы просто прикладываются по управлению. Пока склоняюсь к такому же мнению как у s.lobanov, пробую дампить, перекрыть ipv6 multicast (ipv6 на данный момент не нужен). В общем последний день на разборки в случае неудачи отключим de-cix. По крайней мере до того момента пока 76xx не заменим на джун mx204. Очень дорого обходятся эти падения железа.
  14. Всем привет! Имеется сеть, состоящая из коммутаторов nexus 3064, используются как чисто L2 железки. Маршрутизация на cisco760x. До определенного момента сеть успешно функционировала, далее решили добавить помимо двух имеющихся пирингов: MSK-IX и DATA-IX еще два: AMS-IX, DE-CIX Первоначально vlan от пирингов проходил также через коммутатор DLINK DGS-3120. Первое что случилось - умер DLINK. По управлению мертвый, связь через него также прервалась. Ну ладно, посчитали что длинку не место в данной топологии, удалили его. Далее, по управлению начинают умирать nexus! В логах тишина, периодически управление отваливается/восстанавливается. (трафик ходит слава богу...) Вроде также руки тянулись поменять нексусы, но время показала еще одно... Стал кашлять cisco760x.... Вот тут данный вопрос обсуждали Сейчас вот начинают терзать сомнения что вообще что-то нужно менять из железа. cisco760x конечно же мы поменяем, но там роутер по TCAM скоро упрется... Возникают такие мысли: пиринговые сети это большие L2 сегменты, участников много, много широковещательного трафика, он и прикладывает наши железки. Терминировать vlan на порту подключения пока возможности нет, в точке подключения отсутсвует роутер, и пока только в голову приходит выключить нафиг эти пиринги, чтобы не создавали лишние простои сети. Может кто-то сталкивался с чем -то подобным? Протаскивал пиринговые vlan через l2 до маршрутизаторов ядра? Наверняка на те же грабли должны были наступить. Возможно есть какое-то более простое решение чем установка роутеров в точке подключения?
  15. RSP 720 3CXL

    Благодарю! Именно это и хотел выяснить. Короче на данном этапе вариант BASE более чем устраивает, 2млн fib, 6млн rib, 32 VRF