Jump to content
Калькуляторы

dmvy

VIP
  • Content Count

    1417
  • Joined

  • Last visited

Everything posted by dmvy


  1. Вы не сможете соединить 2 VRF физической петлей. Только через L3-железку... Причина в том, что оба VRF имеют один mac-адрес. Настраивайте на Linux Traffic Control L3 и тогда при помощи PBR и flow-Redirect можете заворачивать трафик с автоматическим резервированием. Т.е. шейпер доступен по arp или icmp - трафик идет на него. Стал недоступен - трафик идет по таблице маршрутизации.
  2. а что у вас за модульная коробка? точно ли Вам нужен distributed-mode? попробуйте помимо redirect-port добавить действие cpu-deny, т.к. трафик с mac-dst этой коробки и может еще обрабатываться в CPU. Если вернуться к порту "В", то у вас возможно постоянное перестроение fdb-таблицы, т.к. пакет с mac-src с начала приходит в порт А, а затем через кольцо в порт В. Еще, у вас на порту В нет vlan, хотя из Б вы отправили его с тэгом и хотите терминировать на L3... Все ради того, чтобы пропустить через L2-DPI? Уже писал почему нельзя просто так взять и соединить два порта с разными VRF патч-кордом. Что у Вас с PBR не так? Как настраиваете? есть ли ARP для next-hop?
  3. на qinq можно по подробнее? или ссылку.
  4. это режим добавления opt82. в функции dhcp_relay нужно добавлять, т.к. она помимо добавления opt82 поднимает пакет на L3 и передает до сервера уже через mgmt интерфейс. что именно не работает? и еще. вы выстраиваете дерево STP. продумайте, где какие приоритеты. 8192 кажется сильно занижен. обычно такой ставят на центральном узле. config stp priority 8192 instance_id 0
  5. cisco 3550G-12 с 6000 абонентами легко делал proxy arp. 3750 и подавно должен справиться. проблема не в этом.
  6. считаю нужно отойти от схемы: "выделю ip-адрес из подсети для тарифа 5мбит". выделяйте конкренто сети на каждую цыску и выдавайте белые адреса, но с маской /24+- А на шейпер нужно динамически подавать команды по ограничению скорости для каждого ip или раз в 5 минут перечитывать конфиг.
  7. тоже хотелось бы получить софт для SR7 свежий...
  8. Можно через NAT, но как вы настроите порт в клиенте? Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение.
  9. включить расширенный дебаг для STP и смотреть конкретно этот процесс. -> swlog appid stp level debug3 -> show log swlog appid stp Displaying file contents for '/flash/swlog2.log' FILEID: fileName[/flash/swlog2.log], endPtr[63873], configSize[64000], mode[2] Time Stamp Application Level Log Message ------------------------+--------------+-------+-------------------------------- WED MAR 06 06:57:18 2013 STP info Topology changed on VLAN/STP id 66 WED MAR 06 06:57:24 2013 STP info Topology changed on VLAN/STP id 602 WED MAR 06 08:38:25 2013 STP info Topology changed on VLAN/STP id 662 WED MAR 06 08:45:35 2013 STP info Topology changed on VLAN/STP id 662 WED MAR 06 08:51:07 2013 STP info Topology changed on VLAN/STP id 204 WED MAR 06 08:52:06 2013 STP info Topology changed on VLAN/STP id 603 WED MAR 06 08:52:07 2013 STP info Topology changed on VLAN/STP id 604 WED MAR 06 08:52:17 2013 STP info Topology changed on VLAN/STP id 1224 WED MAR 06 10:03:37 2013 STP info Topology changed on VLAN/STP id 204 WED MAR 06 10:03:37 2013 STP info Topology changed on VLAN/STP id 604 WED MAR 06 10:03:37 2013 STP info Topology changed on VLAN/STP id 1224 WED MAR 06 10:03:45 2013 STP info Topology changed on VLAN/STP id 662 WED MAR 06 10:03:46 2013 STP info Topology changed on VLAN/STP id 603 Displaying file contents for '/flash/swlog1.log' FILEID: fileName[/flash/swlog1.log], endPtr[15938], configSize[64000], mode[1] Time Stamp Application Level Log Message ------------------------+--------------+-------+-------------------------------- TUE APR 15 11:28:29 2014 STP info Topology changed on VLAN/STP id 210 TUE APR 15 13:54:20 2014 STP info Topology changed on VLAN/STP id 580 TUE APR 15 13:55:30 2014 STP info Topology changed on VLAN/STP id 210
  10. Вы же их изолировали друг от друга на 2 уровне. А т.к. адреса из одной подсети, то они и не думают обращаться через asr. Proxy arp вам поможет в этом.
  11. Mlag для l2-трафика. Pim - это l3. У вас в mlag трафик уходит с балансиолвкой по ip. Половина на один экстрим, половина на второй. Один принимает, другой нет. Ещё схему бы, как vlan работают и терминируются.
  12. уберите из radius-пакетов тайминги. У нас такой проблемы не наблюдается 2/3 vlan-id 43:406 clips 131550 xx.2xx.104.142 ec:43:f6:d0:82:cf 1200 716 Thu Aug 7 10:08:26 2014 Proxy ipoe SEOS-12.1.1.2-Release
  13. нужно понять. что предлагаема конструкция заменят в цисковом конфиге next-hop x.x.x.x т.е. делаете route-instance (внтури по одному default static-route) на каждый next-hop. и потом алгоритм как в цыске, но вместо next-hop x.x.x.x пишите route-instance forward_to_x.x.x.x так вы получите PBR в классическом виде. на следующем роутере пакет будет маршрутизироваться в зависимости уже локальных настроек, какому VRF принадлежит интерфейс или если никакому, то маршрутизация в соттветсвии с таблицей inet.0
  14. 48x10G

    Поддержка виртуальных машин - это одна из основных фишек. Функционал называется xnv. В интернете есть демо и примеры.
  15. Странная ситуация. Как настаивали тайминги? У нас сессия заканчивается с окончанием аренды адреса.
  16. extreme x460 и x670 хороши. на них все ядро. вот пример на одном из x460 System UpTime: 160 days 9 hours 23 minutes 2 seconds pe1-zav40.1 # sh iproute summary =================ROUTE SUMMARY================= Mask distribution: 1 default routes 1 routes at length 17 33 routes at length 23 626 routes at length 24 588 routes at length 25 227 routes at length 26 52 routes at length 27 146 routes at length 28 40 routes at length 29 117 routes at length 30 5 routes at length 31 1073 routes at length 32 Route origin distribution: 984 IBGP 4 OSPFExt2 1623 OSPFExt1 106 OSPFIntra 34 MPLS 2 Static 156 Direct Total number of routes = 2909 Total number of compressed routes = 0 pe1-zav40.3 # sh iparp 0.0.0.0 VR Destination Mac Age Static VLAN VID Port Dynamic Entries : 5315 Static Entries : 0 Pending Entries : 320 а вот один 3420 DGS-3420-26SC:admin#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 Total Entries: 1628 DGS-3420-26SC:admin#sh sw Command: show switch Device Type : DGS-3420-26SC Gigabit Ethernet Switch Boot PROM Version : Build 1.00.006 Firmware Version : Build 1.70.B005 Hardware Version : A1 System Uptime : 205 days, 8 hours, 3 minutes, 32 seconds
  17. да. я на самом деле интерфейсы никуда не добавлял. создавал таблицы ipv4 и там добавлял static route. а при помощи acl говорил по какой таблице маршрутизировать пакет.
  18. ACL выглядит так: destination-address 172.16.0.0 permit destination-address 10.0.0.0 permit destination-address 192.168.0.0 permit source-address 10.0.0.15 route-instance ... permit В это route-instance будут попадать пакеты только, попавшие под ACL. на остальной трафик это не будет влиять. Основную таблицу не трогаем. один интерфейс могут использовать разные route-instance.
  19. очень дешево и очень сердито dlink dgs-3612 б/у. но не более 1000 клиентов на девайс.
  20. создать route-instance, где будет один статичный маршрут с next-hop создать acl, где указать условия и действие по маршрутизации пакета через созданный route-instance навесить acl на нужный интерфейс, откуда должны прилететь пакеты, которые нужно завернуть как надо.
  21. Junos так-то вообще няшка. Куча функционала работы с конфигом, патчи, разные форматы конфига (set, xml), расширенные wildcard операции, dynamic-db, auto-complete. Всего пожалуй и не перечислишь, мелочь, детальки из которых складывается картина. Ну и junos един, а XR пока что удел избранных железяк. Няшка то оно няшка... Но вот особенность части его функционала просто убивают. Например нет IPSEC в транспортном режиме... Или next-hop, которым может быть только routing instance. Для меня это было вообще шоком. Простейшая вещь которую умеет даже каждый уважающий себя l3 коммутатор, не умеет большой SRX. Чудо. Функция PBR есть и работает. А то что только через rote instance - это лишь особенности конфигурирования. В некоторых случаях такой подход даже лучше и позволяет делать более крутые вещи, чем простой PBR.
  22. Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;) На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;) петля не работает. в первую очередь из-за невозможности сойтись протоколам динамической маршрутизации. пробовал 1.5-2 года назад. сомневаюсь, что что-то изменилось.
  23. По возможности пользуйтесь Policy Base Routing. Мы более 1000 маршрутов сжали в 270 и они хорошо поместились в alc, а когда вешаешь на порты, а не на кланы, то используется та же памать в TCAM. Сейчас только через другую L3 железку. Слышал, что в feature request есть route leaking.
  24. Для автоматизации только первоисточник. for as in AS47542 AS47541 AS28709; do whois -T route -i origin $as|grep route|grep -Po "\d+\.\d+\.\d+\.\d+\/\d+"; done; 95.142.192.0/20 95.142.200.0/21 185.32.248.0/22 87.240.128.0/18 93.186.224.0/21 93.186.232.0/21 95.142.192.0/21 95.213.0.0/18 185.32.248.0/24 185.32.249.0/24 185.32.250.0/24 185.32.251.0/24 95.142.201.0/24 95.142.201.0/26 95.142.201.128/26 95.142.201.192/26 95.142.201.64/26 95.142.202.0/24 95.142.202.128/26 95.142.202.192/26 95.142.202.64/26 95.142.203.0/24 95.142.204.0/24 95.142.206.0/24
  25. Если переезжать к L3 тут еще те же 3627 подойдут вроде как. 3620 есть один, как раз между облачком и BRAS ) Dlink кстати сказал что все можно завести на STP. Если между 3400 и 3627 линк L2 то на циске влючить STP и тд. Не используйте L3 на D-Link для абонентов. В качестве исключения для MGMT других коммутаторов - не более. Шишки по этому вопросу до Вас уже набили многие.