Mystray

Снова вынужден искать помощь здесь: Аналогичная ситуация, но уже HP5940 и Comware 7. Со стороны HP траффик улетает, судя по счетчикам порта в сторону Extreme, а на extreme его видно только в виде счетчиков на порту и нигде более. PW поднимается, устанавливается, в направлении CE -> Extreme -mpls-> HP -> CE трафик улетает во всех комбинациях, а в обратном направлении (CE-> HP -mpls-> Extreme-> CE) глухо: входящие на PW на Extreme по нулям, хотя на порт фреймы влетают, в дампе миррора видно нормальный фрейм (с верной мплс меткой и bottom-флагом, под которым сразу оригинальный ether/.1q/ip/...). Куда они деваются - непонятно. Куда копать? <HP3>display l2vpn vsi name testlink verbose VSI Name: testlink VSI Index : 1 VSI State : Up MTU : 4000 Bandwidth : - Broadcast Restrain : 5120 kbps Multicast Restrain : 5120 kbps Unknown Unicast Restrain: 5120 kbps MAC Learning : Enabled MAC Table Limit : - MAC Learning rate : - Drop Unknown : - Flooding : Enabled Statistics : Enabled Input Statistics : Octets :0 Packets :0 Errors :0 Discards :0 Output Statistics : Octets :0 Packets :0 Errors :0 Discards :0 VXLAN ID : - LDP PWs: Peer PW ID Link ID State 172.16.2.4 100 258 Up ACs: AC Link ID State XGE1/0/20 srv1 0 Up XGE1/0/21 srv1 1 Up XGE1/0/22 srv1 2 Up * X460-24x.44 # show vpls "testlink" detail L2VPN Name: testlink VPN ID : 100 Admin State : Enabled Source Address : 172.16.2.4 Oper State : Enabled VCCV Status : Enabled MTU : 4000 VCCV Interval Time : 5 sec. Ethertype : 0x8100 VCCV Fault Multiplier : 4 .1q tag : exclude L2VPN Type : VPLS Redundancy : None Service Interface : port25 Created By : CLI Peer IP: 172.16.2.3 PW State : Up PW Index : 10064 PW Signaling : LDP PW Uptime : 0d:18h:44m:21s PW Installed : True Local PW Status : No Faults Remote PW Status : No Faults Remote I/F MTU : 4000 PW Mode : Core-to-Core Transport LSP : LDP LSP (Not Configured) Next Hop I/F : port22 Next Hop Addr : 172.16.1.72 Tx Label : 0x00003 Tx Pkts : 4 Tx Bytes : 328 PW Rx Label : 0x00435 PW Tx Label : 0x2007e PW Rx Pkts : 0 PW Tx Pkts : 4 PW Rx Bytes : 0 PW Tx Bytes : 328 MAC Limit : No Limit VCCV HC Status : Sending (0 missed pkts, threshold is 4) CC Type : Rtr Alert Total Pkts Sent : 13492 CV Type : LSP Ping Total Pkts Rcvd : 13492 Send Next Pkt : 4 sec. Total Failures : 0 Pkts During Last Failure : 0 Last Failure Tm : --

RANCID?

У вашего поставщика оборудования HP Enterprise :) По GPL 8-ядерная лицензия стоит $1.5k. Может скидку дадут. Лицензия, насколько я понял, бессрочная и ничего кроме ядер не ограничивает. На сайте можно скачать триялку, но у нее лимит по бендвичу (что-то около 30мбит).

Заявлено, в конфиге и мануалах есть. Лично пока не дошли руки покрутить.

Спасибо, посмотрим. Там еще рядом Ericsson Virtual Router выглянул в релейтедах. Но я так понимаю, комьюнити у всего этого довольно ограниченное. Оно ни mpls, ни subscribers не умеет :( Да и непонятно что будет с brocade теперь, вроде как дерибанить по частям

Умеет, как ни странно. По крайней мере на первый взгляд. И с лицензиями у HP не заморачиваются вообще никак - все включено. mpls,l2vpn(vpls,evpn,vxlan),l3vpn. Хотя гибкости junos-а там нет.

Я так и думал, в принципе, но копеечная (по сравнению с C/J) HPEшная Comware дала повод для сомнений.

Почему? У того же Comware VSR1000 заявлено 20G при pass-through/SR-IOV. У Джуна и Циски лицензии на 40 и 10 г существуют, местами их даже гоняют. x86 сервер под такое дело стоит существенно дешевле аппаратного роутера. Опять же, обычный линух на хорошем зеоне легко прожевывает несколько миллионов pps. Но у обычного линукса не все так удобно с конфигом, не говоря уж про mpls, и прочие vpn и vrf.

Посоветуйте достойные решения для софт-роутера на бордере. Десяток-полтора гигабит трафика, 4*FW, MPLS, l3vpn с большим количеством роутов. Желателен еще и брас-функционал(l2-connected subscribers, радиус, дхцп) в рамках линейки или вендора, дабы унифицировать сеть и не плодить разнообразия. Рассматривали и Cisco CSR1000V и Juniper vMX, но оба варианта по цене лицензии сопоставимы с аналогичным железным решением. Смотрим на HPE VSR1000, пока что лучшее (да и сильно дешевле аналогичного по функционалу и мощности железного роутера от того же HPE), но есть сомнения насчет Comware 7 в целом. Есть ли еще варианты?

Да, именно так, interface vlan unit с family inet - в концепции джуна такой же L3-интерфейс, как и любой другой. commit confirmed с этим поможет.

Какие именно OIDы снимаете? IF-MIB::ifHCInOctets (.1.3.6.1.2.1.31.1.1.1.6.) - 64бит, IF-MIB::ifInOctets (.1.3.6.1.2.1.2.2.1.10.) - 32бит Те, которые 32 бита, наверняка просто переполняются более одного раза между снятиями. Ну или в самой железке уже чего-то не хватает и надо чаще снимать.

посмотрите на них через терминал /ip firewall export может где-то чего-то лишнее затесалось или винбокс кривенько параметры добавил, было такое с ним в какой-то версии. Вообще, учитывая что там по идее тот же iptables, должно первое первое отлавливать. Еще момент: fasttrack/related,setablished выше нет?

чтоб миррорить в любое количество портов весь входящий трафик в нужном влане.

Хм, действительно, так работает. Большое спасибо, разобрался. Выходит, данном случае имеется ввиду собственный tag который использует extreme, а не те, что прилетают снаружи.

ethertype Overwrites the ethertype value for the customer traffic sent across the PW Это перезапись ethertype в ethernet фрейме инкапсулируемом в трубу, не относится к vc type сигнализации, судя по мануалу. Схема для старта простая, но надо vpls (так как это должно растягиваться до 3-4-5 точек), так что pseudowire не хватит. [CE1]---[PE HP A5800]===( MPLS )===[PE Extreme X460]---[CE2] Все, что влетает в один порт(без тега или с любым тегом), то же и вылетает с другого. Заранее неизвестно, какие вланы будут между CE. Между двумя hp такое работает, бегает все, что прилетает на порт (таг/антаг/и даже даблтаг).

Может у вас выше разрешающее правило есть. Или цепочка forward а не input. Или интерфейс не тот указан. Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.

Закрыть 53/UDP на вход с ВАН-интерфейса?

похоже из хп он вообще никак не вылетает, и даже не долетает до него: <HP2>display mpls statistics pw vsi testlink VSI Name: testlink LinkId: 1 Input statistics Octets : 0 Packets : 0 Errors : 0 Drops : 0 Start Time : 2000/05/01 12:35:12 End Time : 2000/05/01 12:38:12 Output statistics Octets : 19416 Packets : 217 Errors : 0 Drops : 0 Start Time : 2000/05/01 12:35:12 End Time : 2000/05/01 12:38:12 Хотя от экстрима "как бы" улетает * X460-24x.54 # show vpls "testlink" detail L2VPN Name: testlink VPN ID : 100 Admin State : Enabled Source Address : 172.16.2.4 Oper State : Enabled VCCV Status : Disabled MTU : 4000 VCCV Interval Time : 5 sec. Ethertype : 0x8100 VCCV Fault Multiplier : 4 .1q tag : include L2VPN Type : VPLS Redundancy : None Service Interface : testaccess Created By : CLI Peer IP: 172.16.2.1 PW State : Up PW Index : 10005 PW Signaling : LDP PW Uptime : 0d:0h:35m:31s PW Installed : True Local PW Status : No Faults Remote PW Status : No Faults Remote I/F MTU : 4000 PW Mode : Core-to-Core Transport LSP : LDP LSP (Not Configured) Next Hop I/F : port28 Next Hop Addr : 172.16.1.25 Tx Label : 0x00003 Tx Pkts : 1266 Tx Bytes : 108876 PW Rx Label : 0x00438 PW Tx Label : 0x0042a PW Rx Pkts : 13543102 PW Tx Pkts : 1266 PW Rx Bytes : 1832982916 PW Tx Bytes : 108876 MAC Limit : No Limit VCCV HC Status : Not Sending (VCCV Not Enabled For This L2VPN) CC Type : Rtr Alert Total Pkts Sent : 0 CV Type : LSP Ping Total Pkts Rcvd : 0 Send Next Pkt : -- Total Failures : 0 Pkts During Last Failure : 0 Last Failure Tm : -- * X460-24x.56 # show mpls statistics l2vpn "testlink" L2VPN Name Peer IP/LSP Flags RxPackets RxBytes TxPackets TxBytes ---------------------------------------------------------------------------------------------------------- testlink 172.16.2.1 U 19830014 2650009301 1321 113606 LDP LSP + 1321 113606 Flags: (U) Up, (D) Down, (R) Ready, (S) Signaling, (+) In-use, (-) Not In-use От extreme прилетает анонс именно как encap ethernet, и я не нашел, как это можно изменить со стороны экстрима, по крайней мере в ExtremeXOS version 16.1.3.6 . Свичи не желают поднимать vpls при несовпадении encap received label mapping message. context of message as follow: ----------------------------- peer pe ip address is: 172.16.2.4 request_id is: 0 label is: 1079 status_code is: 0x0 pwstatus_code is: 0x0 fec element type is: 128 c-Bit is: 0 vc type is: ethernet vc info length is: 12 group id is: 0 vc id is: 100 length of vc_fec_tlv is: 20 context of vc_fec_tlv is: 80 00 05 0c 00 00 00 00 00 00 00 64 01 04 0f a0

Не могу заставить бегать тегированный трафик внутри vpls между extreme x460 и hp a5800 Соседство ldp, маршрутизация, обмен метками происходит, но собственно трафик из экстрима вылетает без тэгов (или с внутренним тэгом, если на входе в hp был с двумя). Что я пропустил? В какую сторону копать? Может, у кого-то есть рабочие конфиги? На HP конфиг такой: mpls ldp remote-peer x460 remote-ip 172.16.2.4 # vsi testlink static pwsignal ldp vsi-id 100 peer 172.16.2.4 mtu 4000 encapsulation ethernet # interface GigabitEthernet1/0/20 port link-mode bridge port link-type trunk port trunk permit vlan all service-instance 1 encapsulation port-based xconnect vsi testlink access-mode ethernet # return На экстриме такой: create vman "testaccess" configure vman testaccess add ports 25 untagged configure mpls lsr-id 172.16.2.4 create l2vpn vpls testlink fec-id-type pseudo-wire 100 configure l2vpn vpls testlink add peer 172.16.2.1 core full-mesh configure l2vpn vpls testlink add service vman testaccess configure l2vpn vpls testlink mtu 4000 configure l2vpn vpls testlink dot1q tag include

Mikrotik hEX - гигабитный бытовой роутер, без вайфай, по цене на уровне Ubiquity ERLite3. Так у вас ГПОН, а не просто оптика? Тогда, в 99% случаев, без провайдерской ONU ("медиаконвертера") не обойтись, либо очень геморройно.

Это точно про 5130-EI? Собираемся такие закупать, взяли на тест 5130-24G-SFP-4SFP+ EI JG933A - левые sfp+ кушает. Ругается, но едет. Да и 100мбит прожевывает на гигабитных ноунейм сфп, если жестко выставить 100/фулл.

для начала попробуйте просто увеличить количество на горячую. Может я не прав и причина в другом sysctl -w net.netfilter.nf_conntrack_max=2000000

Я про -m state и/или NAT, если ни то ни другое не используется, возможно стоит вообще модули контрека из загрузки.

Есть подозрение на conntrack, судя по "--rand-source". Что в фаерволе? В логах что-то появляется?

FLV НЕ нужен вам чтоб анонсировать чужую AS.