dmvy
-
Публикации
1419 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем dmvy
-
-
В 08.04.2019 в 10:13, ryaskin сказал:
Господа знатоки, научите правильно готовить екстрим, пожалуйста. Поставили X670-48x в качестве L3 и комутаторы за ним завалило броадкастом. При разборе полетов выяснили, что екстрим, при опросе недоступных в данный момент хостов, не отдает Destination Unreachable. На каждый хост, что отсутствует в арп таблице, постоянно отправляет arp request. В общем, скан боты заставили зафлудить екстрим арпами все, что находится за ним.
В гайдах по базовой настройке ничего по этому поводу не нашел.
enable icmp port-unreachables
enable icmp unreachablesЧто то не исправляют ситуацию.
Primary ver: 16.2.4.5
Спам ботам глубоко наплевать на ваши icmp. Единственное решение - сегментировать сеть. Это снизит количество arp-запросов на абонентов. В идеале контролировать сессии до экстрима и не пускать трафик до не авторизованных абонентов.
Для экстрима это не большая нагрузка - он ее переживет. Можете снизить Max ARP pending entries, но тогда могут пострадать и активные абоненты.
-
возможно у вас трафик стал маршрутизироваться на lsp-next-hop тем самым к пакету добавляется l2+ заголовок (mpls-метка). В сетях с mpls или qinq туннелированием включение jumbo обязательно. т.е. на физическом интерфейсе ставить максимально возможный на парке оборудования, а на l3 интерфейсах во общем не обязательно менять - они работают уже над l2/l2+ заголовками. на cisco кажется есть mtu и ip mtu для случаев когда ip поднимается на голом физическом интерфейсе
-
15 часов назад, Andrei сказал:
Йэх... Уже перешили программатором Phyton ChipProg-48 с крокодилом прошивкой из указанного топика на 4pda - прошивает без ошибок, делаешь сравнение прошитого с буфером - все ОК. Но роутер не грузится.
Прошивать пробовали и без выпаивания флэша, и с выпаиванием.
USB Uart тоже есть. Но где консоль на плате роутера? Я не нашел. Была бы консолька, я бы посмотрел процесс загрузки - что там и как идет не так. Но увы.UART есть. на плате J521 (возле диодов D70 и D71). 4 - GND, питание с USB/UART не подавайте на него. Через него утечку памяти нашли.
-
Оказалось сам дурак. в конфиг на серверной части попала строчка client-to-client. но почему поверх него переставал ip-ip ходить загадка
-
это вообще работает на mikrotik? у меня пока получается только сделать роутинг, только если внутри openvpn сделать ipip-туннель и через него гонять. в Openvpn пинг есть и маршруты прописаны, но mikrotik упорно не кладет туда пакеты.
в firewall сделал ACCEPT на forward input output. в nat только одно правило на src-nat на WAN порт. mangle пуст. версия последняя стабильная 6.43.4, аппарат hAP.
сейчас что-то и ipip туннель сломался. пинги в нем не идут. ингода свзяность лечилась ребутом mirkotik. хост система где ovpn linux. диагностирую по tcpdump.
нравится мышкой кликать, но сейчас меня mikrotik бесит!..
-
а зачем MVR? обычным vlan кидайте.
-
3 часа назад, dmvy сказал:
мы через поставщика софт запрашивали. сделал тикет. последний раз к нему 5 лет назад обращался...
https://owncloud.dmvy.ru/index.php/s/JmC55Gc2qQv0my6
pass: nag-forum
OS6850_644743R01.zip
2 часа назад, Telesis сказал:Зыбал написать искал для OS6250-P24 6.6.4.177.R01, если есть у кого новей поделитесь.
могу попробовать запросить, нужен серийник. но могут послать, раз мы такое не покупали
-
В 05.07.2018 в 14:02, Mechanic сказал:
здесь одни мануалы сейчас, а софта на 0s6850-u24x где качнуть можно ?
мы через поставщика софт запрашивали. сделал тикет. последний раз к нему 5 лет назад обращался...
-
В 03.07.2018 в 23:08, Mechanic сказал:
подскажите, как на alcatel перевести порт в trunk, те только принимать тегиррованные,не могу найти
vlan defaul no port-default 1/1-24
и добавлять vlan vlan-name102 8021q 1/6
-
можно делать это и на ветке 16.х.х, но в ней сделали переработку ACL с внедрением virtual slices, что позволяет быстрее производить операции модификации ACL, но нужно читать и впитывать мануал, как и именно работают ACL.
-
22 часа назад, ThreeDHead сказал:
BD-8810 15.5.2.9 patch1-5
Отзеркаливается две 10ки на СОРМ, хочу убрать оттуда трафик от GGC. Но "Only VLAN and VLAN/port “filters” are currently implemented as filters."
В какой версии софта появился (появился ли вообще) нужный мне функционал? Типа ACL для зеркалирования.
с 15.3 активно используем acl mirror на x670
-
12 часов назад, killonik сказал:
@Valaskor, спасибо. Читал райп, но вы прям как для людей расписали.
Только, всё равно, надо экономить. Райп же бесплатно не расширит ранее купленный блок)
если есть статус LIR, то бесплатно еще /32 выпишет. не нужно экономить!!! пусть горят в аду, кто балансирует трафик префиксами, а не community и те, кто пилит ipv6 и анонсирует отдельные блоки, которые должны агрегированным префиксом улетать.
-
проблемы действительно были. критичные решены. версии ПО до 6.13.020 включительно были ужас. 044-047-048 можно использовать.
-
9 часов назад, vurd сказал:
В каком кейсе? L2 only, без интеллектуальных фич и мультикаста? Тупо развернуть 24 влана на каждый порт и всё?
multicast, mvr, dot1v, dhcp local relay, pppoe circuit ins.
-
поставили уже 4500 штук DGS-1210-xx/ME/A. Желания менять на что-то из данного ценового диапазона не возникает. нормальное бюджетное решение. используем на кольцах по 2-3 коммутатора. В старых прошивках были зависания по управлению и при перепрошивке, но сейчас все в порядке.
-
рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV
-
3 часа назад, Butch3r сказал:
Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза
действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно
-
Workarounds:
–For a layer 3 interface (SVI), enter shut then no shut.
–To enable IP unnumbered to use static routes, enter the ip dhcp route static command.
-
возможно на вторую карту нужен свой диапазон ip?
-
можно включить полный дебаг.
conf log filter "DefaultFilter" add events all severity debug-verbose
en log debug-mode
-
Смотри загрузку CPU, логи
# sh cpu-monitoring
CPU Utilization Statistics - Monitored every 5 seconds
-----------------------------------------------------------------------Process 5 10 30 1 5 30 1 Max Total
secs secs secs min mins mins hour User/System
util util util util util util util util CPU Usage
(%) (%) (%) (%) (%) (%) (%) (%) (secs)
-----------------------------------------------------------------------System 8.4 7.7 7.1 5.8 6.1 6.3 6.3 70.4 10827.95 2340506.30
aaa 0.0 0.0 0.0 0.0 0.0 0.0 0.0 3.2 267.34 374.22
acl 0.0 0.0 0.0 0.1 0.1 0.0 0.1 1.6 6144.41 10907.20
bfd 0.0 0.0 0.0 0.1 0.1 0.0 0.0 1.3 4893.31 6675.42
bgp 0.0 0.0 0.0 0.1 0.1 0.1 0.1 14.1 12422.82 16647.27
brm 0.0 0.0 0.0 0.0 0.0 0.0 0.0 1.1 9.09 9.56
ces 0.0 0.0 0.0 0.0 0.0 0.0 0.0 1.2 17.38 15.16
cfgmgr 0.0 0.0 1.0 1.2 1.2 1.1 1.1 11.3 92888.90 49490.01
cli 5.8 2.9 0.9 0.0 0.0 0.0 0.0 49.3 1236.36 245.43
devmgr 0.0 0.0 0.0 0.0 0.0 0.0 0.0 8.5 1662.38 761.09
dirser 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.8 46.55 47.78
dosprotect 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.5 16.43 15.28
dot1ag 0.0 0.0 0.0 0.0 0.0 0.0 0.0 1.3 130.30 208.24 -
я бы обратил на это из документации:
Supports an effective line rate of twelve 10-Gigabit Ethernet ports. If all sixteen 10-Gigabit Ethernet ports are used, the line card is oversubscribed in the ratio of 4:3.
По графикам явно видно больше 10Г (20Г half) на LT. Но уровень поход на 15Г (30Г half) как на переподписку.
Type: Logical-tunnel, Link-level type: Logical-tunnel, MTU: Unlimited, Speed: 100000mbps
100Г - это чисто информационна составляющая. Для SNMP к примеру. поставите 1Мбит - порт все равно будет качать гигабиты
-
https://www.safaribooksonline.com/library/view/juniper-mx-series/9781449358143/ch01s04.html
судя по схеме PIC имеет полосу 40G до фабрики. И если не ошибаюсь, то на плату полоса не 160Г как на все порты было бы, а 120Г. итого 30Г на 4 порта?.. вполне вероятно это ваше ограничение. конвертируйте еще PIC и ECMP балансировку.
-
Проблемы с Alcatel OS6850-U24X
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Жалоба на ответ
https://owncloud.dmvy.ru/index.php/s/fEzDqsTsNrRZ4YO