Перейти к содержимому
Калькуляторы

ThreeDHead

VIP
  • Публикации

    1 726
  • Зарегистрирован

  • Посещение

7 подписчиков

О ThreeDHead

  • Звание
    Доцент

Контакты

  • ICQ
    39595950

Посетители профиля

3 287 просмотров профиля
  1. Камрады привет! BD-8810. Есть policy, в нем через flow-redirect маршрутизируется сеть 10/8. Также есть список ip-адресов (~512, разные, из сети 10/8), которых надо смаршрутизировать через иной flow-redirect. Эти ip-адреса иногда меняются/добавляются/удаляются. Каждый раз переписывать policy для этого - считаю дурным тоном. Более того, есть подозрение что такое количество не влезет в матрицу (слайсы или как оно там зовется). Может я не знаю какой-нибудь возможности устройства, подскажите что еще можно предпринять.
  2. При попытки добавления IPv6-адреса в next-hop во flow-redirect, выходит ошибка "ERROR: IPv6 flow-redirect cannot be configured on this system. Please use 8900 series or newer cards." Тут чуть более подробно написано что в системе не должно стоять ни одной карты ревизии < 8900. У меня одна такая плата стояла, раскидал с неё линки, но ошибка сохраняется и видимо из-за лайнкард которые установлены непосредственно в процессорные модули. От них тоже придется избавиться... # show slot Slots Type Configured State Ports Flags ------------------------------------------------------------------------------- Slot-1 8900-G48T-xl 8900-G48T-xl Operational 48 MB Slot-2 8900-G48X-xl 8900-G48X-xl Operational 48 MB Slot-3 8900-G48X-xl 8900-G48X-xl Operational 48 MB Slot-4 Empty 0 Slot-5 10G2Xc 10G2Xc Operational 2 MB Slot-6 10G2Xc 10G2Xc Operational 2 MB Slot-7 Empty 0 Slot-8 8900-10G8X-xl 8900-10G8X-xl Operational 8 MB Slot-9 8900-10G8X-xl 8900-10G8X-xl Operational 8 MB Slot-10 Empty 0 MSM-A 8900-MSM128 Operational 0 MSM-B 8900-MSM128 Operational 0
  3. Кто-нибудь пробовал IPv6 в flow-redirect использовать?
  4. Забыл добавить запись в fdb create vlan "skat1-in1" configure vlan skat1-in1 tag 80 configure vlan skat1-in1 add ports 8:1 tagged configure vlan skat1-in1 ipaddress 10.0.1.153 255.255.255.252 enable ipforwarding vlan skat1-in1 create fdbentry 90:e2:ba:87:15:c4 vlan "skat1-in1" port 8:1 configure iparp add 10.0.1.154 vr VR-Default 90:e2:ba:87:15:c4 create flow-redirect skat1-in1 configure flow-redirect skat1-in1 health-check arp configure flow-redirect skat1-in1 add nexthop 10.0.1.154 priority 1 Поднялся flow-redirect: Name : skat1-in1 VR Name : VR-Default Inactive Nexthops: Forward Health Check : ARP Nexthop Count : 1 Active IP Address : 10.0.1.154 Index State Priority IP Address Status Interval Miss ====================================================================== 0 Enabled 1 10.0.1.154 UP 2 2 ND: Neighbor Discovery
  5. Гм. Возникла сложность и с flow-redirect, думал что она решится с помощью Inactive Nexthops: Forward, однако это означает не то что пакет таки будет направлен по DOWN маршруту, а смаршрутизируется согласно основных правил маршрутизации. СКАТ не отвечает на ICMP, т.к. созданный P2P - фейк. Статическая ARP-запись для flow-redirect тоже пустой звук :( BD-8810.2 # sho flow-redirect "skat1-in1" Name : skat1-in1 VR Name : VR-Default Inactive Nexthops: Forward Health Check : ARP Nexthop Count : 1 Active IP Address : 0.0.0.0 Index State Priority IP Address Status Interval Miss ====================================================================== 0 Enabled 1 10.0.1.154 DOWN 2 2 ND: Neighbor Discovery Что можно придумать?
  6. Возвращаясь к теме выше по поводу петли из порта в порт на BD. [абонент]->[BD]->[in СКАТ out]->[BD]->[интернет] Хотим сделать такую реализацию: Во избежание петли между портами BD, СКАТ всем транзитным пакетам (in->out/out->in) будет делать SWAP MAC-адресам. Допустим: Трафик в направлении на СКАТ (in->out) 1-й линк между BD и СКАТ'ом (in) будет P2P 10.0.1.152/30, создаём статическую ARP-запись и FLOW-REDIRECT (он будет со статусом DOWN). [абонент]->[BD (00:04:96:83:b9:d5)]->[in (90:e2:ba:87:15:c4) СКАТ (90:e2:ba:87:15:c4) out]->[(00:04:96:83:b9:d5) BD]->[интернет] Т.е. трафик от BD к СКАТ'у на in-интерфейс (00:04:96:83:b9:d5)->(90:e2:ba:87:15:c4), выйдет со СКАТ'а (90:e2:ba:87:15:c4)->(00:04:96:83:b9:d5) MAC-адреса поменялись местами, петли на BD не будет. Конфигурация на BD (только in): create vlan "skat1-in1" configure vlan skat1-in1 tag 80 configure vlan skat1-in1 add ports 8:1 tagged configure vlan skat1-in1 ipaddress 10.0.1.153 255.255.255.252 enable ipforwarding vlan skat1-in1 configure iparp add 10.0.1.154 vr VR-Default 90:e2:ba:87:15:c4 create flow-redirect skat1-in1 configure flow-redirect skat1-in1 health-check arp configure flow-redirect skat1-in1 add nexthop 10.0.1.154 priority 1 Отсюда вопрос: что нужно запретить в этом влане, чтобы BD не заподозрил неладное, multicast/broadcast/bdpu или еще чего?
  7. Глупый вопрос наверное - как смотреть скорость утилизации порта в CLI? Неглубоко смотрел,так будет: show ports 5:1,6:1 utilization bandwidth
  8. Разработчики XOS были очень скупы и оставили на все порты один и тот-же MAC, короче он глобален вообще на всю коробку. И да VR друг с другом не соединить :(   Даже если можно было бы, то PBR в VRF не работает.
  9. BlackDiamond 8810 Топология доступа абонента в Интернет: [абонент]->[BD]->[СКАТ]->[CGN]->[BD]->[интернет] Между BD и CGN L3-P2P, между CGN и BD тоже L3-P2P, при этом СКАТ L2-Bridge (короче прозрачный). Нужно избавиться от CGN и NAT'ить средствами СКАТ'а. Топология должна выглядеть так: [абонент]->[BD]->[СКАТ]->[BD]->[интернет] Убирая L2-Bridge, топология упростится до такой [абонент]->[BD]->[BD]->[интернет] Тут начинается самое интересное - как завернуть L3-трафик с BD в BD без использования внешнего роутера?
  10. Я такого никогда (ни на каких коммутаторах/роутерах) не встречал :( В том плане, что сущности отдаются, но счетчики по им всегда пустые.
  11. Жаль. Тогда надо использовать основную таблицу маршрутизации для трафика (допустим) из мира, а трафик из 10-й сети матчить и выбрасывать за пределы BD-8810 на внешний роутер, а потом как-то возвращать обратно.
  12. BD-8810 Есть ли возможность использовать несколько таблиц маршрутизации? Например как в линуксах "ip route add *** table 1" и после маркировка пакетов в iptables. Необходимо для пакетов от 10.0.0.0/8 использовать одну таблицу, а для остального (трафик с мира) другую таблицу маршрутизации. Причем в лоб прописать в ACL нельзя, т.к. в этих таблицах будут статические записи. Т.е. я вижу так - две таблицы маршрутизации, я в ACL отматчиваю пакеты и заставляю использовать одну или другую таблицу маршрутизации для пакетов.
  13. Последнее правило у меня присутствует везде, чтобы было явное действие, и там как правило помещаются счетчики, чтобы знать что из правил реально работает. Никаких енейблов не надо, рефреш после модификации нужен, после чека полиси. В любом случае, большое спасибо за помощь!
  14. # sho policy to_sorm Policies at Policy Server: Policy: to_sorm entry 01_src_GGC { if match all { source-address X.Y.Z.0/26 ; } then { deny ; } } entry 02_dst_GGC { if match all { destination-address X.Y.Z.0/26 ; } then { deny ; } } entry 03_mirror { if match all { source-address 0.0.0.0/0 ; } then { permit ; } } Number of clients bound to policy: 1 Client: acl bound once configure access-list to_sorm ports 7:3 egress configure access-list to_sorm ports 7:4 egress Вроде объем трафика уменьшился, посчитать пока не могу, счетчики в правила вставлял, но они не отображаются при show access-list counters port 7:3-4