atdp03

Стояло на доступе несколько десятков 3200-26 rev A какой-то. Адски выгорали порты. Длинк в разговоре проговорился что там вообще не было грозозащиты.

ASR1002-X#conf t Enter configuration commands, one per line. End with CNTL/Z. ASR1002-X(config)#bba-group pppoe global ASR1002-X(config-bba-group)#sessions per-mac throttle ? <1-100000> Number of calls allowed per MAC per specific time duration ASR1002-X(config-bba-group)#sessions per-mac throttle 5 ? <1-3600> Time in seconds for allowing N calls per MAC ASR1002-X(config-bba-group)#sessions per-mac throttle 5 60 ? <0-3600> Time in seconds for blocking calls per MAC

Hawk128 Скажем так. Грохать всё для "попробовать на CentOS" точно нет смысла. Работает на убунте, пропусков нет. С поправкой на сообщения чуть выше. Зеркалится cisco nexus. Ядро дефолтное, из тюнинга - только nice -5 для процесса.

Методом антинаучного тыка, в прямом эфире на одной из обсуждавшихся тут железок: ASR1002-X#show subscriber session | cou Lterm Number of lines which match regexp = 15281 Там есть несколько сотен не QinQ абонентов, но математика в любом случае остаётся непознаваемой.

Не так страшно, кстати. При работе с nfqfilter, _суммарно_ на все отрезолвленные за полгода-год адреса списка, трафик на порту фильтра среднесуточно - 10-11 мегабит. В часы пик - 20-25 мегабит. Для ориентира, на прямом стыке с гуглом - несколько гигабит.

Сообщество, как обычно, оказалось право: Ребут в 12.2(33)SXH8 Без поднятых сессий: Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 457A9030 914681808 163577620 751104188 109408168 719502212 I/O 8000000 67108864 21642640 45466224 45460904 45460572 С одной сессией: Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 457A9030 914681808 613994980 300686828 109408168 300532912 I/O 8000000 67108864 21642640 45466224 45460904 45460572 С двумя: Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 457A9030 914681808 692245692 222436116 109408168 222183696 I/O 8000000 67108864 21642640 45466224 45460904 45460572

Проглядел, благодарю.

Ставлю с нуля. При первом запуске идёт море ругани такого вида: DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at ./zapret.pl line 797. DBD::mysql::st execute failed: Data too long for column 'decision_num' at row 1 at ./zapret.pl line 633. DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at ./zapret.pl line 723. DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at ./zapret.pl line 797. DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at ./zapret.pl line 678. DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at ./zapret.pl line 797. DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at ./zapret.pl line 723. DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at ./zapret.pl line 797. DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at ./zapret.pl line 678. DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at ./zapret.pl line 797. DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at ./zapret.pl line 678. Соответственно записи есть только в таблицах: zap2_ex_nets zap2_ips zap2_only_ips zap2_records zap2_settings Обставил дебагом, данные в инсертах есть. 2016-08-22 17:07:05 | DEBUG | main | Error inserting record id: 15 2016-08-22 17:07:05 | DEBUG | main | INSERT INTO zap2_urls(record_id, url) VALUES('15', 'http://shturmnovosti.info') Смысл понятен: `url` text NOT NULL, `url_fixed` text NOT NULL, Как бы это по-простому пофиксить, чтобы ничего не поломать? Убрать not null, или поправить insert?

Не видел упоминаний что на SUP720 можно расширить память выше штатного гига. Перед смертью там стабильно было в районе 10 мегабайт свободной памяти - тесно. Сейчас, так: Processor Pool Total: 885836224 Used: 858825880 Free: 27010344 I/O Pool Total: 67108864 Used: 21642136 Free: 45466728 PID TTY Allocated Freed Holding Getbufs Retbufs Process 561 0 722875892 296496520 550557936 0 0 BGP Router 0 0 160661036 11160 145144124 0 0 *Init* 379 0 121678424 789496 113235828 0 0 IP RIB Update 497 0 1071363016 898563040 54238548 0 0 OSPF-1 Router Попробуем откатиться на s72033-advipservicesk9-mz.122-33.SXH8.bin, но в общем принцип понятен, 2 FV нам мало.

TCAM там перераспределён, с ним проблем нет. Проблемы именно с памятью. Сегодня оно сказало так: .Aug 16 12:00:07: %FIB-2-FIBDOWN: CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" С месяц назад оно говорило так: Jul 17 14:44:53: %SYS-2-CFORKMEM: Process creation of BGP Open failed (no memory). -Process= "BGP Router", ipl= 0, pid= 561 -Traceback= 431D2E44z 431D2FECz 41C87018z 43182E8Cz 43182FC0z 41C89304z 41C9B248z %% Low on memory; try again later %% Low on memory; try again later %% Low on memory; try again later Jul 17 14:45:00: %SYS-2-MALLOCFAIL: Memory allocation of 20000 bytes failed from 0x431D4DDC, alignment 0 Pool: Processor Free: 11914092 Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "IP RIB Update", ipl= 0, pid= 379 -Traceback= 4319CDE0z 431AEF34z 431CDD24z 42873BD4z 429216A8z 4292906Cz 42D89108z 42D893F8z 42918F78z 42919218z 42919488z 43188678z 43188664z Jul 17 14:45:05: %IPRT-3-NOMEMORY: No memory available for NDB Variable Subnet Block Два full-view, толстый ospf, полсотни hsrp. Ранее пытались посадить туда третий full-view, закончилось это смертью всех трёх. =) 15.1(2)SY5

А подскажите плз, насколько имеет право на существование указанная железка, при потребности в 2-3 full-view? В данный момент с двумя FV она умирает по памяти раз в месяц, благо не основная. Из крутилок только отключены soft-reconfiguration. PS: 6504E.

Ну в-общем да, оно помогло. Перед включением крыжика: Slot-0-1>sh hw-module subslot 1 tcam region vlan TCAM name : VLAN1 Number of regions : 10 Cells in use : 8140 Free cells : 52 Masks in use : 8140 Free_mask : 52 Region CelUse FrCel Cel/Ent MxEnt EntUse MskUse FrMsk Vlan Port L2PT Region 0 30 1 30 0 0 30 Vlan Port Region 1 11 1 12 1 1 11 Vlan QinQ L2PT Region 0 0 1 0 0 0 0 Vlan QinQ Region 6848 0 1 0 6848 6848 0 Vlan QinQ Any L2PT Region 0 0 1 0 0 0 0 Vlan QinQ Any Region 0 0 1 0 0 0 0 Vlan Vlan L2PT Region 0 0 1 0 0 0 0 Vlan Vlan Filter Region 1289 23 1 0 1289 1289 23 Vlan Port Catch All Region 1 11 1 12 1 1 11 Vlan Catch-all Region 1 0 1 1 1 1 0 После: Slot-0-1>sh hw-module subslot 1 tcam region vlan TCAM name : VLAN1 Number of regions : 10 Cells in use : 3 Free cells : 8189 Masks in use : 3 Free_mask : 8189 Region CelUse FrCel Cel/Ent MxEnt EntUse MskUse FrMsk Vlan Port L2PT Region 0 30 1 30 0 0 30 Vlan Port Region 1 11 1 12 1 1 11 Vlan QinQ L2PT Region 0 1689 1 0 0 0 1689 Vlan QinQ Region 0 3424 1 0 0 0 3424 Vlan QinQ Any L2PT Region 0 1735 1 0 0 0 1735 Vlan QinQ Any Region 0 0 1 0 0 0 0 Vlan Vlan L2PT Region 0 322 1 0 0 0 322 Vlan Vlan Filter Region 0 668 1 0 0 0 668 Vlan Port Catch All Region 1 11 1 12 1 1 11 Vlan Catch-all Region 1 0 1 1 1 1 0 Все вланы которые работали на одной ASR, но не работали на второй, полностью утилизированной - заработали на ней без доп. телодвижений. Изменений в нагрузке QFP не заметил. Остался один вопрос - как _теперь_ мониторить число вланов, и приближение к сдвинутому порогу. Из забавного - отвалились snmp счётчики на вланах. Видимо они были завязаны на tcam. Счётчики на физических интерфейсах продолжили работать. И да - включение крыжика было абсолютно безболезненным.

Ага, это я видел. В принципе, у нас нагрузка на QFP мониторится, аномалии увижу. К тому же там сейчас копейки - 19% в пиках. Меня больше интересует умрут ли активные абонентские сессии в момент введения этой команды. Ибо пережить десяток-полтора тысяч реконнектов pppoe с одной железки я смогу, а вот с ipoe всё будет печальнее. Начну ночью с чисто pppoe железки, благо именно она упирается в потолок насмерть.

Ну, в-общем, 1 в 1 сделать не получилось, но нащупал интересное: Slot-0-2>sh hw-module subslot 2 tcam region vlan TCAM name : VLAN2 Number of regions : 10 Cells in use : 8140 Free cells : 52 Masks in use : 8140 Free_mask : 52 Region CelUse FrCel Cel/Ent MxEnt EntUse MskUse FrMsk Vlan Port L2PT Region 0 30 1 30 0 0 30 Vlan Port Region 1 11 1 12 1 1 11 Vlan QinQ L2PT Region 0 0 1 0 0 0 0 Vlan QinQ Region 6848 0 1 0 6848 6848 0 Vlan QinQ Any L2PT Region 0 0 1 0 0 0 0 Vlan QinQ Any Region 0 0 1 0 0 0 0 Vlan Vlan L2PT Region 0 0 1 0 0 0 0 Vlan Vlan Filter Region 1289 23 1 0 1289 1289 23 Vlan Port Catch All Region 1 11 1 12 1 1 11 Vlan Catch-all Region 1 0 1 1 1 1 0 А это - с железки на которой урезана часть внутренних диапазонов: Slot-0-2>sh hw-module subslot 2 tcam region vlan TCAM name : VLAN2 Number of regions : 10 Cells in use : 7822 Free cells : 370 Masks in use : 7822 Free_mask : 370 Region CelUse FrCel Cel/Ent MxEnt EntUse MskUse FrMsk Vlan Port L2PT Region 0 30 1 30 0 0 30 Vlan Port Region 1 11 1 12 1 1 11 Vlan QinQ L2PT Region 0 0 1 0 0 0 0 Vlan QinQ Region 6707 159 1 0 6707 6707 159 Vlan QinQ Any L2PT Region 0 159 1 0 0 0 159 Vlan QinQ Any Region 0 0 1 0 0 0 0 Vlan Vlan L2PT Region 0 0 1 0 0 0 0 Vlan Vlan Filter Region 1112 23 1 0 1112 1112 23 Vlan Port Catch All Region 1 11 1 12 1 1 11 Vlan Catch-all Region 1 0 1 1 1 1 0 Учитывая что комбинация "encap do xxx se xxx-xxx" убивает все сессии, даже если они в неизменяющемся диапазоне - насколько болезненно hw-module subslot ethernet vlan unlimited ?

Оно насколько опасно? =) В любом случае отложу до понедельника. Ну и show hw-module subslot 0 tcam тоже нет. Ни по нумерации, ни по tcam.

mikezzzz Это взаимосвязанные команды? Нет у меня такого: ASR1002-X(config)#ipc? ipc ASR1002-X(config)#ipc ? buffers Resize ipc buffer pool header-cache Resize IPC Permanent cache holdq Configure IPC holdq parameters zone Configure an IPC Zone ASR1002-X#sh hw-module subslot ? <0-0>/<0-3> Enter module slot/subslot number all Select all supported modules in the subslot level ASR1002-X#sh hw-module subslot 0/1 ? entity entity MIB details - not intended for production use fpd Show Field Programmable Devices (FPD) information oir Show oir summary sensors Environmental sensor summary subblock subblock details - not intended for production use tech-support Show subslot information for Tech-Support transceiver pluggable transceiver module

Перепроверился. Урезал внутренние диапазоны вланов в полусотне внешних, с 250-3000 до 250-1500. Упомянутый в предыдущем сообщении влан без проблем мигрировал. Понять бы во что оно упирается и, самое главное, где это смотреть.

Сделал logg buf debug. Эффект стабилен: Jan 22 15:24:19: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_TABLE_FULL: SIP0/1: Failed to add VLAN outer 672 inner 250-3000 to interface TenGigabitEthernet0/1/0Jan 22 15:24:19: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_TABLE_FULL: SIP0/2: Failed to add VLAN outer 672 inner 250-3000 to interface TenGigabitEthernet0/2/0Jan 22 15:24:19: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_TABLE_FULL: SIP0/3: Failed to add VLAN outer 672 inner 250-3000 to interface TenGigabitEthernet0/3/0Jan 22 15:25:37: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_ERROR: SIP0/2: Failed to delete VLAN outer 672 inner 250-3000 to/from interface TenGigabitEthernet0/2/0 (status = 2)Jan 22 15:25:37: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_ERROR: SIP0/3: Failed to delete VLAN outer 672 inner 250-3000 to/from interface TenGigabitEthernet0/3/0 (status = 2)Jan 22 15:25:37: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_ERROR: SIP0/1: Failed to delete VLAN outer 672 inner 250-3000 to/from interface TenGigabitEthernet0/1/0 (status = 2) Другой ругани нет. Одна железка asr1002x-universalk9.03.13.00.S.154-3.S-ext.SPA.bin, вторая asr1002x-universalk9.03.11.00.S.154-1.S-std.SPA.bin. На второй, кстати, даже такой ругани нет. Молча съедает команды, но не работает.

При loglevel warning - в логе стерильно. Кроме упомянутых строк, разумеется.

#show platform hardware qfp active tcam resource-manager usage QFP TCAM Usage Information 80 Bit Region Information -------------------------- Name : Leaf Region #0 Number of cells per entry : 1 Current 80 bit entries used : 0 Current used cell entries : 0 Current free cell entries : 0 160 Bit Region Information -------------------------- Name : Leaf Region #1 Number of cells per entry : 2 Current 160 bits entries used : 1273 Current used cell entries : 2546 Current free cell entries : 1550 320 Bit Region Information -------------------------- Name : Leaf Region #2 Number of cells per entry : 4 Current 320 bits entries used : 0 Current used cell entries : 0 Current free cell entries : 4096 Total TCAM Cell Usage Information ---------------------------------- Name : TCAM #0 on CPP #0 Total number of regions : 3 Total tcam used cell entries : 2546 Total tcam free cell entries : 521742 Threshold status : below critical limit Это hw-module subslot ethernet vlan unlimited? Собственно, увеличения SVLAN не происходит. Они уже все физически есть на железках, и работают без проблем, просто мигрируют из одиночного в QinQ. Опять же, с т.з. SVLAN ничего не меняется. Один SVLAN на дом. 50 CVLAN на свич. Плюс запас CVLAN, которого судя по всему слишком много. Вот и я не могу уложить в голове математику. Текущее наличное значение CVLAN явно на порядки выше формально заявленных значений (8100 на SPA, либо даже 4к*3 активных порта. Т.е. похоже в случае ambiguous qinq - да, считаются только SVLAN. Но тогда нам даже до порога 8100 сильно далеко. #sh vlans dot1q internal | cou .1Q Number of lines which match regexp = 1690

Мигрируем на qinq, с классической схемы влан на дом. ASR1002-X. Для унификации, делаем примерно так: interface Port-channel1.896 encapsulation dot1Q 896 second-dot1q 250-3000 На 560-м внешнем влане, оно поломалось: Ни создать: Jan 19 17:05:00: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_TABLE_FULL: SIP0/1: Failed to add VLAN outer 896 inner 250-3000 to interface TenGigabitEthernet0/1/0 Ни убить: Jan 19 17:03:39: %ASR1000_SPA_ETHER-3-TCAM_QINQ_VLAN_ERROR: SIP0/3: Failed to delete VLAN outer 896 inner 250-3000 to/from interface TenGigabitEthernet0/3/0 (status = 2) Посокращали на нескольких ранее мигрировавших внутренний диапазон до 250-1500, пересоздали пролемный интерфейс на ASR - заработало. Вопрос к залу: Это фатально, и судьба сокращать запас во внутреннем диапазоне, либо можно что-то покрутить?

UglyAdmin На какой оно выживает? У меня мрёт c7600rsp72043-advipservices-mz.152-4.s5.bin. snvoronkov,xcme Аналогично. Гугл говорит что там контровый сервак. Пионерия конкурентов мочит? =)

Регулярно прилетает в полочку аплинков с src udp/19. RSP720-3cxl изредка расстраивается до ребута. Пока пофильтровали на стоящем впереди L2. Попутно вопрос к сообществу: учитывая что RSP ребутится далеко не всегда, есть ли шанс увеличить выживаемость установкой избыточного модуля? С рассчётом на то чтобы прожить на нём время необходимое для ребута умершего?

Так, как указано выше. Как оно и работает сейчас, без QnQ. По теме - отбой, воткнул стенд напрямую в кошку, всё работает. Грабельки где-то по пути до стенда.

Вешать софтовый релей в схеме влан на юзера, на много десятков тысяч интерфейсов - нафиг-нафиг.