Jump to content
Калькуляторы

dmvy

VIP
  • Content Count

    1417
  • Joined

  • Last visited

Posts posted by dmvy


  1. В 08.04.2019 в 10:13, ryaskin сказал:

    Господа знатоки, научите правильно готовить екстрим, пожалуйста. Поставили X670-48x в качестве L3 и комутаторы за ним завалило броадкастом. При разборе полетов выяснили, что екстрим, при опросе недоступных в данный момент хостов, не отдает Destination Unreachable. На каждый хост, что отсутствует в арп таблице, постоянно отправляет arp request. В общем, скан боты заставили зафлудить екстрим арпами все, что находится за ним.

    В гайдах по базовой настройке ничего по этому поводу не нашел.

     

    enable icmp port-unreachables
    enable icmp unreachables

    Что то не исправляют ситуацию.

    Primary ver:      16.2.4.5

     

    Спам ботам глубоко наплевать на ваши icmp. Единственное решение - сегментировать сеть. Это снизит количество arp-запросов на абонентов. В идеале контролировать сессии до экстрима и не пускать трафик до не авторизованных абонентов.

     

    Для экстрима это не большая нагрузка - он ее переживет. Можете снизить Max ARP pending entries, но тогда могут пострадать и активные абоненты.

  2. возможно у вас трафик стал маршрутизироваться на lsp-next-hop тем самым к пакету добавляется l2+ заголовок (mpls-метка). В сетях с mpls или qinq туннелированием включение jumbo обязательно. т.е. на физическом интерфейсе ставить максимально возможный на парке оборудования, а на l3 интерфейсах во общем не обязательно менять - они работают уже над l2/l2+ заголовками. на cisco кажется есть mtu и ip mtu для случаев когда ip поднимается на голом физическом интерфейсе

  3. 15 часов назад, Andrei сказал:

    Йэх... Уже перешили программатором Phyton ChipProg-48 с крокодилом прошивкой из указанного топика на 4pda - прошивает без ошибок, делаешь сравнение прошитого с буфером - все ОК. Но роутер не грузится.

    Прошивать пробовали и без выпаивания флэша, и с выпаиванием.
    USB Uart тоже есть. Но где консоль на плате роутера? Я не нашел. Была бы консолька, я бы посмотрел процесс загрузки - что там и как идет не так. Но увы.

    UART  есть. на плате J521 (возле диодов D70 и D71). 4 - GND, питание с USB/UART не подавайте на него. Через него утечку памяти нашли.

  4. это вообще работает на mikrotik? у меня пока получается только сделать роутинг, только если внутри openvpn сделать ipip-туннель и через него гонять. в Openvpn пинг есть и маршруты прописаны, но mikrotik упорно не кладет туда пакеты.

     

    в firewall сделал ACCEPT на forward input output. в nat только одно правило на src-nat на WAN порт. mangle пуст. версия последняя стабильная 6.43.4, аппарат hAP.

     

    сейчас что-то и ipip туннель сломался. пинги в нем не идут. ингода свзяность лечилась ребутом mirkotik. хост система где ovpn linux. диагностирую по tcpdump.

     

    нравится мышкой кликать, но сейчас меня mikrotik бесит!..

  5. 3 часа назад, dmvy сказал:

    мы через поставщика софт запрашивали. сделал тикет. последний раз к нему 5 лет назад обращался...

    https://owncloud.dmvy.ru/index.php/s/JmC55Gc2qQv0my6

    pass: nag-forum

    OS6850_644743R01.zip

     

    2 часа назад, Telesis сказал:

    Зыбал написать искал для OS6250-P24 6.6.4.177.R01, если есть у кого новей поделитесь.

     

    могу попробовать запросить, нужен серийник. но могут послать, раз мы такое не покупали

  6. можно делать это и на ветке 16.х.х, но в ней сделали переработку ACL с внедрением virtual slices, что позволяет быстрее производить операции модификации ACL, но нужно читать и впитывать мануал, как и именно работают ACL.

  7. 22 часа назад, ThreeDHead сказал:

    BD-8810 15.5.2.9 patch1-5

     

    Отзеркаливается две 10ки на СОРМ, хочу убрать оттуда трафик от GGC. Но "Only VLAN and VLAN/port “filters” are currently implemented as filters."

     

    В какой версии софта появился (появился ли вообще) нужный мне функционал? Типа ACL для зеркалирования.

    с 15.3 активно используем acl mirror на x670

  8. 12 часов назад, killonik сказал:

    @Valaskor, спасибо. Читал райп, но вы прям как для людей расписали.

    Только, всё равно, надо экономить. Райп же бесплатно не расширит ранее купленный блок)

    если есть статус LIR, то бесплатно еще /32 выпишет. не нужно экономить!!! пусть горят в аду, кто балансирует трафик префиксами, а не community и те, кто пилит ipv6 и анонсирует отдельные блоки, которые должны агрегированным префиксом улетать.

  9. поставили уже 4500 штук DGS-1210-xx/ME/A. Желания менять на что-то из данного ценового диапазона не возникает. нормальное бюджетное решение. используем на кольцах по 2-3 коммутатора. В старых прошивках были зависания по управлению и при перепрошивке, но сейчас все в порядке.

  10. рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV

  11. 3 часа назад, Butch3r сказал:

    Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

    действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно

  12. Смотри загрузку CPU, логи

     

    # sh cpu-monitoring

          CPU Utilization Statistics - Monitored every 5 seconds
    -----------------------------------------------------------------------

    Process      5   10   30   1    5    30   1    Max           Total
                secs secs secs min  mins mins hour            User/System
                util util util util util util util util       CPU Usage
                (%)  (%)  (%)  (%)   (%)  (%)  (%)  (%)         (secs)
    -----------------------------------------------------------------------

    System        8.4  7.7  7.1  5.8  6.1  6.3  6.3 70.4 10827.95   2340506.30
    aaa           0.0  0.0  0.0  0.0  0.0  0.0  0.0  3.2   267.34     374.22
    acl           0.0  0.0  0.0  0.1  0.1  0.0  0.1  1.6  6144.41   10907.20
    bfd           0.0  0.0  0.0  0.1  0.1  0.0  0.0  1.3  4893.31    6675.42
    bgp           0.0  0.0  0.0  0.1  0.1  0.1  0.1 14.1 12422.82   16647.27
    brm           0.0  0.0  0.0  0.0  0.0  0.0  0.0  1.1     9.09       9.56
    ces           0.0  0.0  0.0  0.0  0.0  0.0  0.0  1.2    17.38      15.16
    cfgmgr        0.0  0.0  1.0  1.2  1.2  1.1  1.1 11.3 92888.90   49490.01
    cli           5.8  2.9  0.9  0.0  0.0  0.0  0.0 49.3  1236.36     245.43
    devmgr        0.0  0.0  0.0  0.0  0.0  0.0  0.0  8.5  1662.38     761.09
    dirser        0.0  0.0  0.0  0.0  0.0  0.0  0.0  0.8    46.55      47.78
    dosprotect    0.0  0.0  0.0  0.0  0.0  0.0  0.0  0.5    16.43      15.28
    dot1ag        0.0  0.0  0.0  0.0  0.0  0.0  0.0  1.3   130.30     208.24

     

  13. я бы обратил на это из документации:

    Supports an effective line rate of twelve 10-Gigabit Ethernet ports. If all sixteen 10-Gigabit Ethernet ports are used, the line card is oversubscribed in the ratio of 4:3.

     

    По графикам явно видно больше 10Г (20Г half) на LT. Но уровень поход на 15Г (30Г half) как на переподписку.

     

    Type: Logical-tunnel, Link-level type: Logical-tunnel, MTU: Unlimited, Speed: 100000mbps

    100Г - это чисто информационна составляющая. Для SNMP к примеру. поставите 1Мбит - порт все равно будет качать гигабиты

  14. https://www.safaribooksonline.com/library/view/juniper-mx-series/9781449358143/ch01s04.html

    судя по схеме PIC имеет полосу 40G до фабрики. И если не ошибаюсь, то на плату полоса не 160Г как на все порты было бы, а 120Г. итого 30Г на 4 порта?.. вполне вероятно это ваше ограничение. конвертируйте еще PIC и ECMP балансировку.