qelso

@Victor Tkachenko, @ShyLion, спасибо!

@Victor Tkachenko, спасибо за ответ. Планируется допиливать HA? Если да, то какие сроки?

@Victor Tkachenko , проконсультируйте, пожалуйста по сабжу. Интересный момент, в описании и гайдах есть VSF в качестве стека, однако, специалист из коммерческого отдела уточнил эту информацию у отдела развития, ему ответили что ПО S2995G на данный момент не поддерживает High Availability стекирование. Кому верить?

@ShyLion, вариант с dhcp relay + option 82 + isc dhcp тоже прорабатываем, но, скорее всего, клиент не согласится, т.к. бюджетное предприятие, не ясно кто будет обслуживать dhcp сервер и будет ли под него машина/виртуалка, к тому же по деньгам там не разгуляешься. Хотелки в первом посте. Конечно, если dhcp сервер на SNR вообще "никакой", то будет предлагать выносить его на отдельный сервер.

Доброго всем времени суток! Хотим собрать ядро на L3 свитчах в среднего размера организации (~250 компьютеров, ~15 серверов). Организация из тех где нужно импортозамещение. От ядра нужно немного: -терминация L3 (svi) для подсетей -dhcp сервер этих подсетях -маршрутизация (хватит и статической) -резервирование (VRRP или стэк) Не спрашивайте почему так, заказчику этого достаточно, остальная инфраструктура, вроде, уже есть (NAT, Firewall и т.п.) Наткнулся на этого "зверя" SNR-S2995G-12FX, судя по характеристикам умеет много, цена просто отличная. Понятно что это ОЕМ из Китая, но ничего плохого в этом не вижу (есть опыт работы с 2990G, 2970) Собственно просьба и вопросы: Те кто уже использовал/использует поделитесь, пожалуйста, отзывами об этом свитче. Нет ли откровенных глюков или сложностей с ним? Можно ли запускать несколько dhcp серверов в разных вланах? Все ли в порядке с роутингом? Насколько стабилен и удобен VSF (стэк)? Или все-таки лучше юзать VRRP? Также интересны комментарии инженеров из НАГа, если тут таки есть, то, пожалуйста, не стесняйте, ответьте на эти же вопросы)

@v_r, не знаю, пока нет времени продумывать это. Пусть пока так работает. Но за совет, спасибо. Тему можно считать закрытой.

@Mystray, @orlik, чтобы клиенты из этого vrf могли ходить только на разрешенные хосты. Решили пока забить, т.к. ничего страшного не должно произойти. Но за наводку спасибо, буду иметь ввиду.

@v_r , спасибо. Но мне это не подходит, данный джун не ABR. Не смотря на это попробовал заюзать area-range вместе с network-summary-import - не помогло.

@vvertexx , верное замечание. Сразу не обратил внимание, LSA5 фильтруются. Помимо разрешенных в policy-options маршрутов, прилетают LSA 3, которые согласно policy-options, не должны попадать в таблицу. Видимо, @orlik прав: The filtering is done only on external routes in OSPF. The intra-area and interarea routes are not considered for filtering. Коллеги подсказывают: "you are correct in that you cannot filter intra-area routes with the ospf import statement. However, you could configure the routes as martians under routing-options to prevent them from being installed in the routing table." Но что-то не хочется городить. Есть идеи, помимо the routes as martians? Или смириться?

Привет всем! Столкнулся с проблемой, не работает policy-options на import маршрутов в ospf. Juniper MX80, JUNOS 12.3R4.6 routing-instances { NextOne { instance-type vrf; interface xe-0/0/0.4015; interface xe-0/0/0.4019; protocols { ospf { export ospf-vrf-NextOne-export; import ospf-vrf-NextOne-import; area 0.0.0.0 { interface xe-0/0/0.4015 { metric 150; authentication { md5 19 key "***"; ## SECRET-DATA } } interface xe-0/0/0.4019 { metric 150; authentication { md5 20 key "***"; ## SECRET-DATA } } } } } } } policy-options { policy-statement ospf-vrf-NextOne-import { term 1 { from { protocol ospf2; route-filter 83.167.66.225/32 exact; route-filter 83.167.66.226/32 exact; route-filter 10.100.101.118/32 exact; route-filter 83.167.66.1/32 exact; route-filter 83.167.66.5/32 exact; route-filter 83.167.66.9/32 exact; route-filter 83.167.66.10/32 exact; route-filter 83.167.66.16/32 exact; route-filter 83.167.66.19/32 exact; route-filter 83.167.72.1/32 exact; route-filter 83.167.81.1/32 exact; route-filter 83.167.88.1/32 exact; route-filter 10.100.101.44/30 orlonger; route-filter 83.167.65.0/24 orlonger; route-filter 83.167.66.160/29 orlonger; route-filter 83.167.66.164/30 orlonger; } then accept; } term 2 { then reject; } } } Но в NextOne.inet.0 попадают маршруты, которые не должны туда попадать Пробовал менять policy: policy-options { policy-statement ospf-vrf-NextOne-import { term 2 { then reject; } } Однако, в NextOne.inet.0 попадают все те же маршруты. Ребята-джуноводы, помогите, пожалуйста, советом. Как отфильтровать import ospf маршруты?

ShumBor, pppoetest, Victor Tkachenko, спасибо за советы! На данный момент поднял 1G линк (отдельным волокном) между snr и другим ядром. И забираю по нему только мультикаст. На mx80 убрал 4040 и igmp. Ошибки упали в разы, клиенты довольны. Схема временная. На 7600 ядрах QoS настроен, на Juniper нет, не дошли руки. В другой ветке форума Джуноводы также посоветовали настроить QoS.

Telesis , спасибо, дружище!

Спасибо! Ребят, а в общем конфиг IGMP+PIM что я кинул верный? В продакш можно оставлять? Telesis , что посоветует по QoS? Есть какие-то подводные камни или там все по учебнику?

QoS на MX80 не настроен. Вроде как QoS не поддерживается на встроенных 10G интерфейсах, кроме них в джуне нет других. Поправьте если ошибаюсь.

Всем доброго времени суток! Имею Juniper MX80 в качестве ядра, с него же вещается iptv в сторону клиентов. На MX80 настроены PIM (в сторону ядер с источниками мультикаста, xe-0/0/3.4046 и xe-0/0/2.4045) и IGMP (в сторону агрегаций и свитчей доступа, xe-0/0/1.4040). Juniper является igmp querier'ом. На агрегациях и доступе только igmp snooping, без querier'a. Некоторые пользователи жалуются на рассыпание картинки. Утилизация портов в норме, до пика далеко. Думал проблема в агрегации или доступе, однако, на других ядрах (Cisco 7600) вроде все нормально. Конфиг на агрегациях и на доступе (что работают либо через MX80, либо через 7600) одинаков. Что наводит на мысль о проблеме на MX80. Поделитесь, пожалуйста, конфигом, советом, лучшей практикой для Juniper MX80 IGMP+PIM. Мой конфиг: xe-0/0/1 { description to_agg; vlan-tagging; encapsulation flexible-ethernet-services; unit 4040 { vlan-id 4040; family inet { address 10.48.48.1/20; } } } protocols { igmp { maximum-transmit-rate 10000; interface xe-0/0/1.4040 { version 2; promiscuous-mode; } } pim { rp { static { address 10.10.10.1 { group-ranges { 238.1.0.0/18; } override; } address 10.20.20.1 { group-ranges { 239.32.0.0/18; } override; } } } interface lo0.0 { mode sparse; version 2; } interface xe-0/0/1.4040 { mode sparse; version 2; } interface xe-0/0/3.4046 { mode sparse; version 2; } interface xe-0/0/2.4045 { mode sparse; version 2; } } }

Ребят, спасибо за советы! Утилизация в сторону тестируемой ветки ~50Мб\с, в на аплинке ~150Мб\с. Учитывая порты не меньше 1G, то настройки QoS (CoS,DSCP) тут не причем. На агрегации QoS дефолтный. На ядре тоже. Думаю может что-то криво настроено на ядре (Juniper MX80), юзаем несколько месяцев поэтому опыта работы с ним мало. На других ядрах (Cisco 7600) вроде норм. Спрошу в другой ветке форума у джуноводов по поводу igmp+pim.

Доброго времени суток, всем! Стал замечать что у клиентов ветке в часы пик возрастает количество ошибок, картинка рассыпается. В полку по трафику не упираюсь. Предположил что не верно настроил igmp snooping, поделитесь, пожалуйста, лучшей практикой для igmp snooping на SNR-S2990G-24FX SNR-S2990G-24FX используется в качестве агрегации. Мультикаст влан 4040 1/0/28 - uplink, 1/0/22 - downlink в ветку В качестве igmp querier - ядро. Мой конфиг: cpu-rx-ratelimit protocol IGMP 2000 cpu-rx-ratelimit protocol PIM 2000 ! ip igmp snooping no ip igmp snooping proxy ip igmp snooping vlan 4040 ip igmp snooping vlan 4040 limit group 512 ip igmp snooping vlan 4040 mrouter-port interface Ethernet1/0/28 ! vlan 4040 name iptv ! Interface Ethernet1/0/22 description branch spanning-tree mst 0 rootguard spanning-tree portfast bpdufilter rate-violation broadcast 74404 rate-violation control shutdown recovery 0 switchport mode trunk switchport trunk allowed vlan 526;3509;3517;4040 ! Interface Ethernet1/0/28 description uplink spanning-tree portfast bpdufilter switchport mode trunk Дополнительный вопрос: есть ли у snr аналог цискового igmp snooping report message suppression?

Нет ни у кого идей как починить?

Всем, доброго времени суток! Имею RB2011UiAS. Дергаю маки с него snmp oid'ом (.1.3.6.1.2.1.17.4.3.1.2), но недавно oid стал возвращать "iso.3.6.1.2.1.17.4.3.1.2 = No Such Object available on this agent at this OID" Snmp настроен стандартно и работает. Другие oid'ы отдаются, например iso.3.6.1.2.1 . А вот именно iso.3.6.1.2.1.17.4.3.1.2 нет. Проверял на других RB2011 и RB751/951. Менял софт: 6.40.5, 6.40.4, 6.39.2. Итог: где-то iso.3.6.1.2.1.17.4.3.1.2 отдается верно, где-то "No Such Object available on this agent at this OID". Закономерность выявить не удалось. Мой конфиг: [admin@mikrotik] > snmp print enabled: yes contact: location: engine-id: trap-target: trap-community: testcommunity trap-version: 2 trap-generators: [admin@mikrotik] > snmp community print Flags: * - default # NAME ADDRESSES SECURITY READ-ACCESS 0 * testcommunity 0.0.0.0/0 none yes В чем может быть проблема? Пожалуйста, помогите настроить микротик, чтобы данный oid (iso.3.6.1.2.1.17.4.3.1.2) отдавался верно.

UPD: Иван, я оставил обращение #37971 на NAG TAC. Думаю проблему буду решать там. Спасибо.

На скришоте для iptv - 4, а для мультикаста - 2, интернет вроде без тега, так что не понятно как именно провайдер отдает вам услуги. Узнайте у провайдера как он вам отдает iptv и интернет, по влану или без, если по вланам то по каким? Если интернет без влан тега, а iptv вланом 4, то попробуйте созданть на wan интерфейсе влан 4 и сбриджевать его с портом для приставки (сделать bridge и добавить туда vlan4 и порт для приставки). Такой вариант сэкономит вам ресурсы микротика. Если интернет и iptv без тега, то можно также: сбриджевать wan порт и порт для приставки (скорее всего придется переделать интернет на бридж). Если не хотите заморачиваться с bridge'ом, то можно попробовать через NAT (приставку влючить в lan порт). Для этого нужно поставить доп.пакет multicast-<номер_версии>-mipsbe.npk на микротик согласно вашей версии прошивки и: routing igmp-proxy set query-interval=1m query-response-interval=10s quick-leave=no routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 comment="Upstream" disabled=no interface=<имя wan порта или wan бриджа> threshold=1 upstream=yes routing igmp-proxy interface add alternative-subnets="" comment="Downstream" disabled=no interface=<имя бриджа для лок.сети> threshold=1 upstream=no interface wireless set wlan1 multicast-helper=full последняя строчка для того чтобы iptv работало через wi-fi

Иван, здравствуйте! Ваш совет не помог. При: ip igmp proxy source-ip x.x.x.x ip igmp snooping source ip в igmp пакетах не меняется. Однако, начинает меняться при: igmpsnoop proxy или mvr proxy Но igmpsnoop proxy и mvr proxy включают querier на орионе, что нам не подходит. Как выключить querier не нашел. Есть ли другой способ решить проблему? Или хотя бы выключить querier на орион?

Доброго времени суток! Имеем Orion A28F #sh version Network Operating System Copyright (c) 2006-2015 Orion Networks International, Inc. Product name: Alpha-A28F NOS Version: NOS_4.15.1312_20170901(Compiled Sep 1 2017, 16:20:36) Bootstrap Version: Bootstrap_3.1.7.Alpha-A28F.0.20160922 Hardware Version: D.03 CPLD Version: 1.0 System MacAddress is :F8F0.8271.3BA5 Serial number: 140207000333S16A23S0055G Alpha-A28F with 64M bytes DRAM 16M bytes Flash Memory Switch uptime is 0 days, 0 hours, 8 minutes Проблема с mvr/igmp. 621 влан клиента (сабскрайбер), 4040 мультикаст влан. порт 1 - клиент, порт 25 - аплинк. Аутентификация работает. Свитч в качестве querier не используем. В качестве querier используем svi 4040 на ядре. Не работает подключение к новым группам на A28F. Судя по дампу: от клиента улетает igmp join (source ip = 10.141.53.10/24) для мультикас группы, например, 238.1.2.88:1234. Но querier 10.10.10.1/24 (svi 4040 на ядре) не шлет в ответ general query, и поток не проключается. Оно и понятно, 10.141.53.10/24 и 10.10.10.1/24 в разных подсетях. Вопрос: как настроить Орион чтобы менялся ip репортера для igmp join? В сети работают Dlink, у них это настраивается так: config igmp_snooping multicast_vlan iptv-vlan state enable replace_source_ip 10.10.10.2 Если перед орионом поставить настроенный dlink и включить с него iptv, то эта группа начинает вещаться на A28F (мультикаст льется во все source порты dlink и попадает на орион). create vlan 621,3517,4040 active mvr enable mvr vlan 4040 mvr vlan 4040 group any radius x.x.x.x radius backup y.y.y.y radius-encrypt-key **** radius accounting-server x.x.x.x radius backup accounting-server y.y.y.y radius nas-ip-address /*switch_ip*/ ! ip igmp snooping authentication-radius ip igmp snooping authentication-radius port-list 1-24 ! interface port 1 switchport access vlan 621 switchport access egress-allowed vlan 4040 mvr type receiver ! interface port 25 switchport trunk native vlan tagged switchport trunk allowed vlan 621,3517,4040 switchport mode trunk ip dhcp snooping trust mvr type source п.с. на 1-й страницы это темы кто-то писал о mvr proxy source-ip 192.168.50.4, однако, у нас на А28F нет такого. Возможно там про другой свитч.

catalist, спасибо! Насчет "suri!, possiburu" не уверен, что понял.

Всем доброго времени суток! Насколько мне известно на шасси 7606 1-4 слоты для линейных карт, 5-6 для супервазеров. Коллега где-то слышал, что можно линейную карту вставить в слот супервайзера и она будет работать. Я не нашел документального подтверждения этого для 7606 и WS-X6748-SFP. Боюсь спалить бэкплейн и карту, а то и всю 7600. Ребят, подскажите, пожалуйста, можно ли линейную карту вставить в слот для супервайзера? И будет ли работать? 1-4 слоты забиты линейными картами, супервайзер стоит в 5. Свободный 6-й слот Шасси: Cisco Systems Cisco 7600 6-slot Chassis System Супервайзер: RSP720-3C-GE Линейная карта: WS-X6748-SFP