puxpux

А как разрешить только igmp join с клиентских VLAN? А то включил ip pim sparse-mode в офисном vlan'е и свич тут же увидел 2 группы: #sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 224.0.1.40 Vlan397 1d00h 00:02:40 192.168.99.2 224.0.1.60 Vlan98 14:49:34 00:02:43 10.0.0.59 239.255.255.250 Vlan98 00:43:27 00:02:36 10.0.0.252 #

Переключил рандеву поинт на лупбек. А по поводу multicast все оказалось донельзя глупо: я пытался получить поток с management ethernet. Немного оправдывает то, что я далеко и PBI ни разу в глаза не видел, но все равно обидно :-) Появится тех. персонал на площадке, попрошу включить в свич второй порт, а пока уберу pim с управляющего VLAN :-)

Ок, с этим разобрались, огромное спасибо! Теперь, когда я делаю join с Vlan397 в группу 238.1.1.1, то Catalyst это отрабатывает: #sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 238.1.1.1 Vlan397 00:00:05 00:02:54 192.168.99.1 224.0.1.40 Vlan398 2d18h 00:02:04 XX.XX.XX.XX Но rtp потока с PBI я не вижу (на PBI настроено 6 каналов в группах 238.1.1.1-238.1.1.6) Чего-то еще не хватает...

Никак не могу настроить multicast routing на Catalyst 6500. Чего-то не хватает, но чего, я увы пока понять не могу. Catalyst 6500 с SUP2 (IOS 12.2(18) ADVIPSERVICESK9_WAN-M). В Fa3/48 включен PBI 4000-42S, порт access'ом в vlan 398 (везде по тексту XX.XX.XX.XX - это один и тот же IP): ip pim rp-address XX.XX.XX.XX interface Vlan398 ip address XX.XX.XX.XX 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip pim sparse-mode ip igmp snooping mrouter interface FastEthernet3/48 Вижу только одну multicast группу (PIM) # sh ip igmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 224.0.1.40 Vlan398 2d01h 00:02:39 XX.XX.XX.XX # Пытаюсь присоединится к группе 238.1.1.1 с vlan 397: # sh run int vlan 397 interface Vlan397 ip address 192.168.99.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp # sh ip igmp int vlan 397 Vlan397 is up, line protocol is up Internet address is 192.168.99.2/30 IGMP is disabled on interface Multicast routing is disabled on interface Multicast TTL threshold is 0 No multicast groups joined by this system IGMP snooping is globally enabled IGMP snooping is enabled on this interface IGMP snooping fast-leave (for v2) is disabled and querier is disabled IGMP snooping explicit-tracking is enabled IGMP snooping last member query response interval is 1000 ms IGMP snooping report-suppression is enabled Смущает "IGMP is disabled on interface" и "Multicast routing is disabled on interface" В то же время на int vlan 398, где включен pim эти параметры "enabled": #sh ip igmp int vlan 398 Vlan398 is up, line protocol is up Internet address is XX.XX.XX.XX/30 IGMP is enabled on interface Current IGMP host version is 2 Current IGMP router version is 2 IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Last member query count is 2 Last member query response interval is 1000 ms Inbound IGMP access group is not set IGMP activity: 1 joins, 0 leaves Multicast routing is enabled on interface Multicast TTL threshold is 0 Multicast designated router (DR) is XX.XX.XX.XX (this system) IGMP querying router is XX.XX.XX.XX (this system) Multicast groups joined by this system (number of users): 224.0.1.40(1) IGMP snooping is globally enabled IGMP snooping is enabled on this interface IGMP snooping fast-leave (for v2) is disabled and querier is disabled IGMP snooping explicit-tracking is enabled IGMP snooping last member query response interval is 1000 ms IGMP snooping report-suppression is enabled # Что нужно сделать для того, чтобы заработал роутинг multicast? PIM включать и на клиентских интерфейсах (как-то не то)? Снимите с ручника, пожалуйста :-) Подскажите что делать.

У вас на линке между бордером и провайдером будет только 1 (одна) пара MAC-адресов: 1) MAC вашего бордера 2) MAC роутера провайдера Соотвественно балансировкой по MAC вы ничего не добьетесь. Как вариант, выкинуть Dlink и включить аплинк от провайдера напрямую в бордер (через конвертеры). Тогда можно будет делать балансировку с вашей стороны по SRC IP. Провайдеру со своей стороны тоже нужно выставить алгоритм балансировки по IP (лучше по паре SRC_IP-DST_IP, а еще лучше SRC_IP:SRC_PORT - DST_IP:DST_PORT)

Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании. В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0. Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси. Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

Большое спасибо!

есть J4859B, кстати чем они от J4859C отличаются? А может кто-то поделится прошивкой под старый HP? Нужно воткнуть обычный китайский WDM SFP, а железо не принимает :-(

Интересует 2 аплинку, фуллвью ... суммарная нагрузка порядка 200 Мбит 256 Мб памяти, медленный проц... Плюс непредсказуемое поведение quagga на этом железе (пишут то под intel). Я понимаю, место в кладовке занимает, но лучше что-то побыстрее купить

Только сделав декомпозицию. Нельзя совмещать border и access. А у вас еще и агрегация на этой же железке. Ни одна железка не решит проблему с кривыми дизайном сети, сколько бы вы за нее не заплатили.

Можно ограничить, но через ж. Если L3 не на этой железке (наверное маловероятно, но бывает): int gi1/1 switchport switchport mode trunk switchport allowed vlan add 3000 mls qos vlan-based int f3/13 service-policy input 1M switchport switchport mode access switchport access vlan 3000 int vlan 3000 mls qos bridged service-policy input 1M no shut То есть у нас есть один аплинк в режиме trunk, на нем разрешен vlan 3000 и включен mls qos vlan based. На Vlan-интерфейсе прицеплен полиси и включен mls qos bridged Если же L3 этого интерфейса на этой же железке, то ограничить скорость тоже можно, но еще через большую ж.: class-map match-all fa3-13 match access-group name fa3-13 policy-map BACKBONE class fa3-13 police 1000000 100000 100000 conform-action set-dscp-transmit 16 exceed-action drop int gi1/1 description Backbone switchport switchport mode trunk switchport trunk allowed vlan 10 mls qos vlan-based int vlan 10 description Backbone-L3 ip addess xx.bb.xv.xx 255.255.255.240 service policy input BACKBONE int fa3/13 no switchport ip address 10.1.1.1 255.255.255.0 service-policy input 1M При редактировании policy BACKBONE ее нужно сначала убрать с int vlan 10, отредактировать и "прицепить" обратно. И смотрите логи, каталист может молча не принять команду, ругнувшись на что-то в лог

Флэшка похоже неотформатирована под 7500. Попробуй с помощью dnld через xmodem загрузить

Скорее всего биллинг. Мне столько и не надо, рост до 1 Гбит вроде пока. Вы быстро упретесь в недостаток слотов расширения. Если есть возможность, купите лучше подержаный M10 (без i) с E-FEB. Память на FEB расширяется с пом. модулей памяти для Catalyst MSFC2 (модуль в 512Мб видится как 256Мб, модуль в 256Мб - как 128Мб). Еще стоит купить CF на 1Гб (только нужно брать не Hi Speed) для Routing Engine, чтобы можно было поставить Junos > 9.2. За цену M7i можно купить 2 подержанных M10 с набивкой. Обязательно берите с E-FEB (Enhanced FEB) И как быть? Подскажите, пожалуйста. Или счетчики на интерфейсах или (если помегабайтная оплата) - radius экканутинг (ISG)

Две коробки лучше одной. И для jflow $120 000 + к цене mx за MS-DPC. А как бы зачем вам jflow? Для диагностики не хватает sampled flow? Для DDOS detection его хватает вполне. А, наверное биллинг... и на бордере... Ню-ню. PS. Я посмотрю как вы пробилите пару потоков в 10Гбит. Биллинг на netflow - это тупик, не нужно себя в него загонять. PPS. 2 коробки лучше только по надежности. По всем остальным критериям хуже. Требование по надежности частично нивилируются покупкой сервиса не железку, что само по себе полезно, потому что никто не поставит работать 2-ю железку в холостую, наверняка навесят сервисов, в результате через некоторое время утилизация что одной, что другой будет стремиться к 100% и выход из строя одной из двух железок будет практически таким же болезненным, как и выход из строя единственной. Если на скоростях в 1Гбит можно будет подменить одну их железок PC-роутером, то на 10Гбит - уже сильно сложно. Впрочем, так как тут шла речь про скорость в 1Гбит, то в резерв можно поставить PC-роутер, какое-то время продержится. А когда дело дойдет до 10Гбит, можно будет разжится и резервным MX.

Вы за ведром картошки на танке ехать предлагаете? Смотря куда за картошкой ехать :-) Так.. смотрим. Бэндл MX240 с 2-мя блоками питания, RE, 1 SCB и DPCE-R-20GE-2XGE - $113,750 Бэндл M7i с RE-400-768 и 5Гб интерфейсами (похоже на то что предложили) 35,000$. Так как их предполагалось 2, то множим цену на 2, получается 70,000$. Я предлагаю вместо 2-х железок без возможности роста купить одну, но сильно-сильно мощнее. PS. Цены в GPL взятые из открытых источников. К продаже железок никакого отношения не имею. PPS: я считаю цену в 35,000 убитых енотов за M7i просто грабительской. Не стоит он столько, ну совсем. Ему крассная цена новому в этой набивке- 15,000 максимум

Почему смысла нет? А что другое надо брать из джунипера новое, если рассматривать только его? Если всякие STM не нужны, то MX240 или MX480. Когда припрет время расширятся (а у M7i возможности расширения практически нет) будете локти кусать. Кстати, на M (а тем более на MX) можно поднять logical router'ы, посмотрите в эту сторону. Возможно не нужно будет покупать вторую железку сразу, а отложить покупку на потом.

встречал несколько раз, что 700 Метров памяти - маловато для fv больше чем один. Нужен другой Routing Engine(?) - который дороже (RE850). Да и переподписка 4:1 для маршрутизатора - очень уж глаза режет..... .. Может у нас какое-то неправильное full view, но на 768 мб у нас 4 full view, не считая кучи небольших пиров (~1000 префиксов с каждого) Память свободная еще есть, swap не заюзан (да, не забывайте что еще и swap есть :-) ) Juniper M7i железка приятная, но новую покупать смысла конечно же нет. Я вообще не понимаю Juniper'овских цен за M7i/M10i, железки откровенно устарели, учитывая скорость на слот. Если же речь идет за б.у со стоимостью до 10к у.е., то брать стоит.

И тут пришел Sonne, во всем быстро разобрался и всех разогнал. По твоему нам прогнозы на цену ботвы тут строить? Или ты считаешь, что тема еще недостаточно глубоко ушла в офтоп, чтобы нам не пообсуждать достоинства платформ для 10G?

А можно ссылочку, где это написано? Не знаю, нам на конференции Juniper day рассказывали

Про MX говорилось в том смысле, что Juniper свои JUNOS строит из единого дерева исходников. Плюс в основе EX все тот же Q-chip, который используется в PIC'ах MX'а. А внедрение фич в EX всегда запаздывает по времени, относительно M/MX и других роутеров. PS. 65 и 76 циски ни разу не MX, несмотря на схожее позиционирование. Да Catalyst выигрывает по стоимости и плотности "тупых" портов, да у него есть ES* платы, реализующие BRAS, но блин, покажите мне 76-ю циску, нормально пропускающую через себя DDoS 10 и более гигабит. Плюс из-за архитектуры 6500 эти ее "срезания" микробурстов (всегда (!!) есть какая-то доля процента потерь, если есть резкие скачки трафика). Вобщем на терминацию клиентов годится, на агрегацию в большинстве случаев (на обычном паттерне трафика) - тоже. Но на border или backbone крупного оператора - лучше не нужно. Juniper совсем не зря своих денег стоит. Но свичи у них не получились, на мой взгляд.

switchport native vlan ?

Ой, django + component architecture из trac.core :-)

Что, конфиг не принимает?Вообще-то PFC тут ни при делах, как я понимаю - трафик должен идти через MSFC. Я ж и говорю: извращенцы. Но вообще service-policy на этой платформе исполняется PFC. service-policy input конфиг не принимает.

Уже ж советовали ;-) 1. Выноси NAT на отдельную железяку, не мучай MSFC 2. Потом, полисер нормально начинает работать на скоростях от 1Мбит/с. У него гранулярность 64Кбит/с и на меньших скоростях это очень заметно (скорость "прыгает"). 3. PFC2 (как и PFC1) умеет только service-policy output. Что вы будете делать с клиентским исходяшим трафиком? 4. SUP32 умеет service-policy input 5. Закажите себе регистрацию AS и PI блока и выкиньте вы этот NAT (кстати, это дешевле чем SUP32). Столько проблем сразу уйдет, не поверите :-)

Судя по http://github.com/mcr/tcpdump/blob/049b181...7/print-pppoe.c и моим ковыряниям сорцах pppoe, если что-то и может передаваться, то только в vendor specific атрибутах. Штатного метода не предусмотрено