puxpux

А как разрешить только igmp join с клиентских VLAN? А то включил ip pim sparse-mode в офисном vlan'е и свич тут же увидел 2 группы: #sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 224.0.1.40 Vlan397 1d00h 00:02:40 192.168.99.2 224.0.1.60 Vlan98 14:49:34 00:02:43 10.0.0.59 239.255.255.250 Vlan98 00:43:27 00:02:36 10.0.0.252 #

Переключил рандеву поинт на лупбек. А по поводу multicast все оказалось донельзя глупо: я пытался получить поток с management ethernet. Немного оправдывает то, что я далеко и PBI ни разу в глаза не видел, но все равно обидно :-) Появится тех. персонал на площадке, попрошу включить в свич второй порт, а пока уберу pim с управляющего VLAN :-)

Ок, с этим разобрались, огромное спасибо! Теперь, когда я делаю join с Vlan397 в группу 238.1.1.1, то Catalyst это отрабатывает: #sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 238.1.1.1 Vlan397 00:00:05 00:02:54 192.168.99.1 224.0.1.40 Vlan398 2d18h 00:02:04 XX.XX.XX.XX Но rtp потока с PBI я не вижу (на PBI настроено 6 каналов в группах 238.1.1.1-238.1.1.6) Чего-то еще не хватает...

Никак не могу настроить multicast routing на Catalyst 6500. Чего-то не хватает, но чего, я увы пока понять не могу. Catalyst 6500 с SUP2 (IOS 12.2(18) ADVIPSERVICESK9_WAN-M). В Fa3/48 включен PBI 4000-42S, порт access'ом в vlan 398 (везде по тексту XX.XX.XX.XX - это один и тот же IP): ip pim rp-address XX.XX.XX.XX interface Vlan398 ip address XX.XX.XX.XX 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip pim sparse-mode ip igmp snooping mrouter interface FastEthernet3/48 Вижу только одну multicast группу (PIM) # sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 224.0.1.40 Vlan398 2d01h 00:02:39 XX.XX.XX.XX # Пытаюсь присоединится к группе 238.1.1.1 с vlan 397: # sh run int vlan 397 interface Vlan397 ip address 192.168.99.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp # sh ip igmp int vlan 397 Vlan397 is up, line protocol is up Internet address is 192.168.99.2/30 IGMP is disabled on interface Multicast routing is disabled on interface Multicast TTL threshold is 0 No multicast groups joined by this system IGMP snooping is globally enabled IGMP snooping is enabled on this interface IGMP snooping fast-leave (for v2) is disabled and querier is disabled IGMP snooping explicit-tracking is enabled IGMP snooping last member query response interval is 1000 ms IGMP snooping report-suppression is enabled Смущает "IGMP is disabled on interface" и "Multicast routing is disabled on interface" В то же время на int vlan 398, где включен pim эти параметры "enabled": #sh ip igmp int vlan 398 Vlan398 is up, line protocol is up Internet address is XX.XX.XX.XX/30 IGMP is enabled on interface Current IGMP host version is 2 Current IGMP router version is 2 IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Last member query count is 2 Last member query response interval is 1000 ms Inbound IGMP access group is not set IGMP activity: 1 joins, 0 leaves Multicast routing is enabled on interface Multicast TTL threshold is 0 Multicast designated router (DR) is XX.XX.XX.XX (this system) IGMP querying router is XX.XX.XX.XX (this system) Multicast groups joined by this system (number of users): 224.0.1.40(1) IGMP snooping is globally enabled IGMP snooping is enabled on this interface IGMP snooping fast-leave (for v2) is disabled and querier is disabled IGMP snooping explicit-tracking is enabled IGMP snooping last member query response interval is 1000 ms IGMP snooping report-suppression is enabled # Что нужно сделать для того, чтобы заработал роутинг multicast? PIM включать и на клиентских интерфейсах (как-то не то)? Снимите с ручника, пожалуйста :-) Подскажите что делать.

У вас на линке между бордером и провайдером будет только 1 (одна) пара MAC-адресов: 1) MAC вашего бордера 2) MAC роутера провайдера Соотвественно балансировкой по MAC вы ничего не добьетесь. Как вариант, выкинуть Dlink и включить аплинк от провайдера напрямую в бордер (через конвертеры). Тогда можно будет делать балансировку с вашей стороны по SRC IP. Провайдеру со своей стороны тоже нужно выставить алгоритм балансировки по IP (лучше по паре SRC_IP-DST_IP, а еще лучше SRC_IP:SRC_PORT - DST_IP:DST_PORT)

Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании. В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0. Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси. Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

Большое спасибо!

есть J4859B, кстати чем они от J4859C отличаются? А может кто-то поделится прошивкой под старый HP? Нужно воткнуть обычный китайский WDM SFP, а железо не принимает :-(

Интересует 2 аплинку, фуллвью ... суммарная нагрузка порядка 200 Мбит 256 Мб памяти, медленный проц... Плюс непредсказуемое поведение quagga на этом железе (пишут то под intel). Я понимаю, место в кладовке занимает, но лучше что-то побыстрее купить

Только сделав декомпозицию. Нельзя совмещать border и access. А у вас еще и агрегация на этой же железке. Ни одна железка не решит проблему с кривыми дизайном сети, сколько бы вы за нее не заплатили.

Можно ограничить, но через ж. Если L3 не на этой железке (наверное маловероятно, но бывает): int gi1/1 switchport switchport mode trunk switchport allowed vlan add 3000 mls qos vlan-based int f3/13 service-policy input 1M switchport switchport mode access switchport access vlan 3000 int vlan 3000 mls qos bridged service-policy input 1M no shut То есть у нас есть один аплинк в режиме trunk, на нем разрешен vlan 3000 и включен mls qos vlan based. На Vlan-интерфейсе прицеплен полиси и включен mls qos bridged Если же L3 этого интерфейса на этой же железке, то ограничить скорость тоже можно, но еще через большую ж.: class-map match-all fa3-13 match access-group name fa3-13 policy-map BACKBONE class fa3-13 police 1000000 100000 100000 conform-action set-dscp-transmit 16 exceed-action drop int gi1/1 description Backbone switchport switchport mode trunk switchport trunk allowed vlan 10 mls qos vlan-based int vlan 10 description Backbone-L3 ip addess xx.bb.xv.xx 255.255.255.240 service policy input BACKBONE int fa3/13 no switchport ip address 10.1.1.1 255.255.255.0 service-policy input 1M При редактировании policy BACKBONE ее нужно сначала убрать с int vlan 10, отредактировать и "прицепить" обратно. И смотрите логи, каталист может молча не принять команду, ругнувшись на что-то в лог

Флэшка похоже неотформатирована под 7500. Попробуй с помощью dnld через xmodem загрузить

Скорее всего биллинг. Мне столько и не надо, рост до 1 Гбит вроде пока. Вы быстро упретесь в недостаток слотов расширения. Если есть возможность, купите лучше подержаный M10 (без i) с E-FEB. Память на FEB расширяется с пом. модулей памяти для Catalyst MSFC2 (модуль в 512Мб видится как 256Мб, модуль в 256Мб - как 128Мб). Еще стоит купить CF на 1Гб (только нужно брать не Hi Speed) для Routing Engine, чтобы можно было поставить Junos > 9.2. За цену M7i можно купить 2 подержанных M10 с набивкой. Обязательно берите с E-FEB (Enhanced FEB) И как быть? Подскажите, пожалуйста. Или счетчики на интерфейсах или (если помегабайтная оплата) - radius экканутинг (ISG)

Две коробки лучше одной. И для jflow $120 000 + к цене mx за MS-DPC. А как бы зачем вам jflow? Для диагностики не хватает sampled flow? Для DDOS detection его хватает вполне. А, наверное биллинг... и на бордере... Ню-ню. PS. Я посмотрю как вы пробилите пару потоков в 10Гбит. Биллинг на netflow - это тупик, не нужно себя в него загонять. PPS. 2 коробки лучше только по надежности. По всем остальным критериям хуже. Требование по надежности частично нивилируются покупкой сервиса не железку, что само по себе полезно, потому что никто не поставит работать 2-ю железку в холостую, наверняка навесят сервисов, в результате через некоторое время утилизация что одной, что другой будет стремиться к 100% и выход из строя одной из двух железок будет практически таким же болезненным, как и выход из строя единственной. Если на скоростях в 1Гбит можно будет подменить одну их железок PC-роутером, то на 10Гбит - уже сильно сложно. Впрочем, так как тут шла речь про скорость в 1Гбит, то в резерв можно поставить PC-роутер, какое-то время продержится. А когда дело дойдет до 10Гбит, можно будет разжится и резервным MX.

Вы за ведром картошки на танке ехать предлагаете? Смотря куда за картошкой ехать :-) Так.. смотрим. Бэндл MX240 с 2-мя блоками питания, RE, 1 SCB и DPCE-R-20GE-2XGE - $113,750 Бэндл M7i с RE-400-768 и 5Гб интерфейсами (похоже на то что предложили) 35,000$. Так как их предполагалось 2, то множим цену на 2, получается 70,000$. Я предлагаю вместо 2-х железок без возможности роста купить одну, но сильно-сильно мощнее. PS. Цены в GPL взятые из открытых источников. К продаже железок никакого отношения не имею. PPS: я считаю цену в 35,000 убитых енотов за M7i просто грабительской. Не стоит он столько, ну совсем. Ему крассная цена новому в этой набивке- 15,000 максимум