Jump to content
Калькуляторы

ledge5

Пользователи
  • Content Count

    27
  • Joined

  • Last visited

About ledge5

  • Rank
    Абитуриент

Recent Profile Visitors

997 profile views
  1. с того, в который я 7митонник воткнул Ну на самом 7митоннике эта стата тоже видна
  2. как только сюда написал, трафик тут же и упал :) сделал график в cacti, посмотрим, что завтра будет, трафик судя по всему не постоянный
  3. Господа, помогите разобраться как определить что за тип трафика генерируется в таком количестве. Имеется сеть внутри датацентра на нексусах и каталистах Я взял новый 7-тонник, абсолютно пустой, подключил только одним 10гбитным портом порт-чаннелом к корневому свитчу и поднял только один (служебный) влан, в котором трафика нет , от силы мегабит изза всяких мониторинговых сервисов типа nagios, solarwinds и тд. А мне туда дуром прет 1,5 гигабита непонятного трафика Пробовал смотреть по debug ip - ничего крамольного не увидел кроме редких запросов по snmp от nagios и проч. Откуда там 1,5 гигабита ума не приложу как разобраться? Никаких левых бродкастов и мультикастов там тоже нет. вот статистика интерфейса: sh interface ethernet 7/2 Ethernet7/2 is up admin state is up, Dedicated Interface Belongs to Po203 Hardware: 10000 Ethernet, address: 588d.092a.bd21 (bia 588d.092a.bd21) MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, medium is broadcast Port mode is trunk full-duplex, 10 Gb/s, media type is 10G Beacon is turned off Auto-Negotiation is turned off Input flow-control is off, output flow-control is off Auto-mdix is turned off Rate mode is shared Switchport monitor is off EtherType is 0x8100 EEE (efficient-ethernet) : n/a Last link flapped 47week(s) 0day(s) Last clearing of "show interface" counters never 1 interface resets Load-Interval #1: 30 seconds 30 seconds input rate 411440 bits/sec, 274 packets/sec 30 seconds output rate 32 bits/sec, 0 packets/sec input rate 411.44 Kbps, 274 pps; output rate 32 bps, 0 pps Load-Interval #2: 5 minute (300 seconds) 300 seconds input rate 518456896 bits/sec, 392109 packets/sec 300 seconds output rate 248 bits/sec, 0 packets/sec input rate 518.46 Mbps, 392.11 Kpps; output rate 248 bps, 0 pps RX 61090394002 unicast packets 786080060 multicast packets 1076931002 broadca st packets 62953405064 input packets 11054425864888 bytes 0 jumbo packets 0 storm suppression packets 0 runts 0 giants 0 CRC/FCS 0 no buffer 0 input error 0 short frame 0 overrun 0 underrun 0 ignored 0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop 0 input with dribble 689370 input discard 0 Rx pause TX 19927366 unicast packets 1424129 multicast packets 3 broadcast packets 21351498 output packets 4502242438 bytes 0 jumbo packets 0 output error 0 collision 0 deferred 0 late collision 0 lost carrier 0 no carrier 0 babble 0 output discard 0 Tx pause sh port-channel sum Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met -------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel -------------------------------------------------------------------------------- 203 Po203(SU) Eth LACP Eth7/2(P) interface port-channel203 switchport switchport mode trunk switchport trunk allowed vlan 7,9,24,31,95,100,521-522 spanning-tree port-priority 192 spanning-tree cost 200000000 logging event port link-status logging event port trunk-status ------------------------------------------------------------------------------- Interface Secondary VLAN(Type) Status Reason ------------------------------------------------------------------------------- Vlan1 -- down Administratively down Vlan9 -- up -- Vlan265 -- down VLAN is down Software BIOS: version 3.22.0 kickstart: version 6.2(14) system: version 6.2(14) BIOS compile time: 02/20/10 kickstart image file is: bootflash:///n7000-s1-kickstart.6.2.14.bin kickstart compile time: 7/27/2015 9:00:00 [08/27/2015 22:41:26] system image file is: bootflash:///n7000-s1-dk9.6.2.14.bin system compile time: 7/27/2015 9:00:00 [08/28/2015 00:31:27] Hardware cisco Nexus7000 C7010 (10 Slot) Chassis ("Supervisor Module-1X") Intel® Xeon® CPU with 8260692 kB of memory. Где покопаться, чтобы определить что это за трафик?
  4. спасибо всем за развернутые ответы, но проблемка решилась самым банальным образом :) на брокейд свитчах на интерфейсах, куда подцеплена ESX мы вырубили stp :) напрочь :) int ethe 12/19 no spanning-tree int ethe 12/21 no spanning-tree int ethe 12/23 no spanning-tree int ethe 12/24 no spanning-tree
  5. имеется большая сетка в датацентре, построенная на каталистах, brocade fastiron'ах и blade-свичах, и еще парочки cisco 6500 :) всё как полагается раскинуто по вланам. поднят spanning-tree. с недавнего времени стали мы внедрять VMware ESX повсеместно и столкнулись неожиданно со следующей проблемой: все физические машины с VMware ESX мы цепляем к свитчам четырьмя или двумя сетевухами и настраиваем эти порты в качестве trunk, внутри ESX висит виртуальный vSwitch, который поддерживает вланы и прочие свойства любого физического свитча, кто в теме, тот поймет :) так собственно проблема вот в чем: если вдруг перезагрузить любую из таких машин по питанию, то всю сеть начинает колбасить как минимум в течение получаса, прыгают порты, резко уменьшается входящий трафик и тд. как я понимаю это происходит из-за того, что перегружаемая vmware, будучи запихнута в транк посылает по всей сети state up/down сообщения из-за чего всю сеть начинает колбасить некоторое время. но это только догадка, что там на самом деле происходит - непонятно. кто-нибудь сталкивался с подобным? может знает в чем причина такого поведения и как с этим бороться, может какую опцию включить дополнительную на портах куда вмварь засунута в качестве транка или еще чего:) хелп в общем :)
  6. да, всё отлично сработало с route-map AS333-VIA-NEIGHBOR2 permit 20 спасибо :) правда почему-то на NEIGHBOR2 ушли не все сети из AS333, а только 601 из 756 но и это в принципе неплохо :)
  7. ясно спасибо. попробую вариант route-map AS333-VIA-NEIGHBOR2 permit 20 просто с одной строчкой. что-то не догадался сразу до такой ерунды %)
  8. привет имеется бгп роутер со своей AS и 3 апстрима. маршруты между всеми 3мя апстримами распределяются as-is. т.е. никаких фильтраций для оптимизаций траффика нету. на текущий момент картина примерно такая: 50% трафика уходит на NEIGHBOR1 30% - на NEIGHBOR2 20% - на NEIGHBOR3 возникла задача пускать траффик до определенной AS через NEIGHBOR2 (по умолчанию он идет через NEIGHBOR1) нарисовал акссесс-лист с localprf: router bgp 55555 neighbor NEIGHBOR2_IP_ADDRESS route-map AS333-VIA-NEIGHBOR2 in ! ip as-path access-list 101 permit _333_ ip as-path access-list 101 deny .* ! route-map AS333-VIA-NEIGHBOR2 permit 10 match as-path 101 set local-preference 500 сделал clear ip bgp * soft in и смотрю: трафик через NEIGHBOR2 упал с 30% до 5%. стал смотреть что там в show ip bgp и обнаружил, что через NEIGHBOR2 трафик вообще перестал ходить до всех сетей, кроме AS333 которую я в акссес-лист добавил. Мне же нужно, чтобы все маршруты оставались как и прежде, которые висели на NEIGHBOR2 + AS333 зароучивалась принудительно. что я сделал не так и как в данной ситуации более красиво сделать? set ip next-hop не предлагать, т.к. в случае падения какого-либо neighbor'a нужно чтобы трафик продолжал идти через альтернативного. Disclaimer: Все указанные в посте AS NUMBERS фейковые. Любые совпадения с реально существующими – случайны.
  9. хмм, попробую, а в чем разница? nevermind :) Protocol Range IP 1 to 99 Extended IP 100 to 199
  10. хмм, попробую, а в чем разница?
  11. ни у кого никаких мыслей нету? :)
  12. cisco 7000 Cisco Internetwork Operating System Software IOS (tm) s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by cisco Systems, Inc. Compiled Tue 03-Mar-09 23:43 by kellythw Image text-base: 0x40101040, data-base: 0x42AB7AB0 ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1) BOOTLDR: s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2) sw1.1924.la3 uptime is 37 weeks, 1 day, 8 hours, 33 minutes Time since sw1.1924.la3 switched to active is 37 weeks, 1 day, 8 hours, 33 minutes System returned to ROM by power cycle at 21:44:39 UTC Mon Jun 15 2009 (SP by power on) System restarted at 04:34:59 UTC Tue Jun 16 2009 System image file is "sup-bootflash:s72033-ipservices_wan-mz.122-18.SXF16.bin" cisco WS-C6513 (R7000) processor (revision 1.0) with 458720K/65536K bytes of memory. Processor board ID SAL09274ZZ3 SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache Last reset from s/w reset SuperLAT software (copyright 1990 by Meridian Technology Corp). X.25 software, Version 3.0.0. Bridging software. TN3270 Emulation software. 22 Virtual Ethernet/IEEE 802.3 interfaces 192 FastEthernet/IEEE 802.3 interfaces 26 Gigabit Ethernet/IEEE 802.3 interfaces 4 Ten Gigabit Ethernet/IEEE 802.3 interfaces 1917K bytes of non-volatile configuration memory. 8192K bytes of packet buffer memory. 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 есть два влана vlan9 - внешний vlan15 - внутренний извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24) возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу. помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM serverfarm TESTHOST nat server no nat client real 10.40.115.30 health probe GENERIC-HTTP inservice real 10.40.115.31 health probe GENERIC-HTTP inservice и поднят HSRP interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15 interface Vlan105 ip nat outside ip address 153.17.17.113 255.255.255.248 standby 132 ip 153.17.17.115 standby 132 priority 120 standby 132 preempt interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 ip nat inside ip policy route-map nat15 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt route-map nat15 permit 10 match ip address 190 set interface vlan105 исключил локальные сетки из роут-мапа: access-list 190 deny ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255 access-list 190 deny ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255 access-list 190 deny ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255 access-list 190 permit ip 10.40.115.0 0.0.0.255 any создал аксесс лист для ната access-list 191 permit ip 10.40.115.0 0.0.0.255 any и, собственно, сам нат: ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248 ip nat inside source list 191 pool localsrvrs overload в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются. в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик. причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так: remote_server # tcpdump -ni eth0 host 153.17.17.115 TCP 153.17.17.115.23654 -> remote_server.80 SYN TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK TCP 153.17.17.115.23654 -> remote_server.80 RST такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его. пробовал в роутмапе вместо "set interface vlan105" ставить: set ip next-hop 153.17.17.115 set ip default next-hop 153.17.17.115 пробовал ip nat inside source route-map nat15 interface vlan405 overload и ip nat inside source route-map nat15 pool localsrvrs overload картина ровным счетом никак не меняется. что я сделал не так?
  13. о, спасибо. Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : 250 WebVPN Peers : 2 Advanced Endpoint Assessment : Disabled вопрос исчерпан :)
  14. господа, помогите разобраться где затык? поднял SSL VPN(svc) на ASA и столкнулся с проблемой: 2 клиента прицепляются - третий не может, пишет: login failed. на радиусе ограничений по количеству соединений нету. в debug webvpn svc 255 тишина. нашел вот такой интересный параметр: asa01(config)# vpn-sessiondb max-webvpn-session-limit ? configure mode commands/options: <1-2> Number of WebVPN sessions может как-то это связано? хотя я max-webvpn-session-limit вообще не выставлял. да и webvpn не использую, только svc. : Saved : ASA Version 8.0(2) ! hostname asa01 domain-name ok.com enable password 0PfjfjdfttOkQaz encrypted names dns-guard ! interface Ethernet0/0 nameif eth0 security-level 0 ip address xx.xx.xx.xx 255.255.255.240 ! interface Ethernet0/1 nameif eth1 security-level 100 ip address 10.40.10.29 255.255.255.240 ! interface Ethernet0/2 nameif eth2 security-level 0 no ip address ! interface Ethernet0/3 nameif eth3 security-level 0 no ip address ! [...] dynamic-access-policy-record DfltAccessPolicy aaa-server radius protocol radius max-failed-attempts 5 aaa-server radius (eth1) host 10.40.10.34 timeout 5 key obama2009 authentication-port 1745 accounting-port 1913 aaa authentication ssh console LOCAL [...] crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map eth3_dyn_map 20 set transform-set ESP-3DES-SHA crypto dynamic-map eth0_dyn_map 20 set transform-set ESP-3DES-SHA crypto map eth3_map 65535 ipsec-isakmp dynamic eth3_dyn_map crypto map eth3_map interface eth3 crypto map eth0_map 65535 ipsec-isakmp dynamic eth0_dyn_map crypto map eth0_map interface eth0 crypto ca trustpoint localtrust enrollment self fqdn ok.com subject-name CN=ok.com keypair sslvpnkeypair crl configure crypto ca certificate chain localtrust certificate 31 308201e0 30820149 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 36311630 14060355 0403130d 70697830 322e6663 322e636f 6d311c30 1a06092a 864886f7 0d010902 160d7069 7830322e 6663322e 636f6d30 1e170d30 39303432 37313830 3932315a 170d3139 30343235 31383039 32315a30 36311630 14060355 0403130d 70697830 322e6663 322e636f 6d311c30 1a06092a 864886f7 0d010902 160d7069 7830322e 6663322e 636f6d30 819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 9dfb033f 4437e7dc d78335b5 3ae6479c 6388b0e5 282ce035 6d9858eb befb8c32 e82c468b 0ae4009d 51641642 32e2dbe6 f55bd3b3 49efd61f 86575bce fb90d475 5f807e63 8b3209a5 e7563ca8 e1fd7db8 d84f7ed2 ba38af41 0481aa9d 8c62c99a eb848e2a c6e7d6ea bdce670d f3f3de40 3eebd072 34a4c4a6 baa436c2 f4409141 02030100 01300d06 092a8648 86f70d01 01040500 03818100 385f0e62 2ec27431 990b22dc 61ea5889 99111ea3 23ca4aaf 685a9d41 311b20c4 3246b4eb d197030e b6a1214d 4ae124b2 f57846e8 dd1c4ac5 141cdde4 58c78377 7f45a774 ca273092 d1add5d9 d9330105 e3135ac0 d226aae7 92e2546c 2600256b 0179c28a 01ac4b74 f22a847a 384687cb 9aec75ea 3eab1484 11696090 42fef179 quit crypto isakmp identity hostname crypto isakmp enable eth0 crypto isakmp enable eth3 crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 no crypto isakmp nat-traversal crypto isakmp disconnect-notify vpn-sessiondb max-session-limit 40 telnet timeout 5 ssh 10.40.10.34 255.255.255.255 eth1 ssh timeout 10 ssh version 2 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic [...] ssl trust-point localtrust eth0 webvpn enable eth0 svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1 svc enable tunnel-group-list enable group-policy generic internal group-policy generic attributes dns-server value 10.40.12.196 10.40.12.196 vpn-simultaneous-logins 5 vpn-idle-timeout none vpn-tunnel-protocol IPSec svc group-lock value generic pfs enable split-tunnel-policy tunnelspecified split-tunnel-network-list value generic_splitTunnelAcl default-domain value ok.com user-authentication enable client-firewall none client-access-rule none group-policy admins internal group-policy admins attributes dns-server value 10.40.12.196 10.40.12.196 vpn-simultaneous-logins 5 vpn-idle-timeout none vpn-tunnel-protocol IPSec svc group-lock value admins pfs enable split-tunnel-policy tunnelspecified split-tunnel-network-list value admins_splitTunnelAcl default-domain value ok.com user-authentication enable client-firewall none client-access-rule none group-policy customers internal group-policy customers attributes dns-server value 10.40.12.196 10.40.12.196 vpn-simultaneous-logins 5 vpn-idle-timeout none vpn-tunnel-protocol IPSec svc group-lock value customers pfs enable split-tunnel-policy tunnelspecified split-tunnel-network-list value customers_splitTunnelAcl default-domain value ok.com user-authentication enable client-firewall none client-access-rule none username inc password QImcgwgwdgA/T encrypted privilege 15 tunnel-group admins type remote-access tunnel-group admins general-attributes address-pool admins authentication-server-group radius authorization-server-group radius accounting-server-group radius default-group-policy admins tunnel-group admins webvpn-attributes group-alias admins enable tunnel-group admins ipsec-attributes pre-shared-key * peer-id-validate nocheck tunnel-group generic type remote-access tunnel-group generic general-attributes address-pool generic authentication-server-group radius authorization-server-group radius accounting-server-group radius default-group-policy generic tunnel-group generic webvpn-attributes group-alias generic enable tunnel-group generic ipsec-attributes pre-shared-key * peer-id-validate nocheck tunnel-group customers type remote-access tunnel-group customers general-attributes address-pool customers authentication-server-group radius authorization-server-group radius accounting-server-group radius default-group-policy customers tunnel-group customers webvpn-attributes group-alias customers enable tunnel-group customers ipsec-attributes pre-shared-key * peer-id-validate nocheck tunnel-group enable type remote-access prompt hostname context Cryptochecksum:337f90052f158f1d85fa6d0e0bf93fcc : end
  15. господа! помогите решить проблемку :) есть роутер с тремя интерфейсами: 1 - в интурнет(адсл) 2 - первая серая сеть 3 - вторая серая сеть из первой серой сети народ напрямую через нат ходит в интурнет. (192,168,0,0/24) для второй серой подсети поднят локальный пппое сервер (mpd) с отдельными адресами (10,10,0,0/24) так как канал 512кб, возникла необходимость всех пошейпить. раньше был ipfw и всё крутилось на dummynet. где просто все клиентские адреса тупо запихивались в 2 очереди с разным весом. и внутри приоритетов еще существовал WF2Q+, который динамически шейпил канал между всеми участниками, если вы понимаете о чем я :) так вот теперь возникла необходимость построить такую же схему, но на ALTQ. как я понял для динамического шейпинга, аналогичного WFQ в DUMMYNET'e, мне больше всех походит HFSC. да только одного не могу я понять. для того чтобы задействовать altq, нужно байндить его на конкретный интерфейс, чтобы задать необходимую ширину полосы. у меня получается таких интерфейсов несколько штук: ng0-ng9 и rl2. и нужно как-то одну полосу между всеми этими интерфейсами глобально разруливать. т.е. на все 3 интерфейса распределять 512к. подобное реализуемо в pf/altq? или придется обратно на dummynet перелазить? :) вот нашел топик по теме с проблемой такой же как у меня. но очевидного решения там не нашел. http://lists.freebsd.org/pipermail/freebsd...ber/001564.html