Vano™

BGP нет ,только OSPF , локалка без выхода в инет Если не сложно можно чуть подробнее ? Железка отсюда с нага , в первые же дни была смена XOS слитая с торента, т.к на то время никакой информации по Extreme не было , в руках было только пару pdf и метод научного тыка :) часть методов в начале данной темы :)

т.е это известная проблема просто нужно обновить ПО ? сейчас ExtremeXOS version 12.5.1.6 надеюсь никаких танцев с бубном не придётся делать при обновлении - просто загрузить , выбрать , ребутнутся ? конфиг и лицензия надеюсь останется. теперь бы вспомнить откуда обновлялся , точнее где теперь слить новую XOS ?

спрошу в своей теме. Итак прошло почти 3 года как молотилка трафика работает и просто работает.... но появилось одно НО в логах да и в syslog постоянно стало отсылатся вот такое 01/27/2014 11:16:02.83 <Erro:HAL.Card.Error> Unable to set card r. 01/27/2014 11:15:29.27 <Erro:HAL.Sys.Error> Unable to update chassis odometer. 01/27/2014 11:14:07.44 <Noti:DM.Notice> Setting hwclock time to system time, and broadcasting time 01/27/2014 10:52:34.47 <Noti:DM.Notice> Previous message repeated 2 additional times in the last 646 second(s) 01/27/2014 10:45:43.36 <Erro:HAL.Card.Error> Unable to set card r. 01/27/2014 10:45:09.80 <Erro:HAL.Sys.Error> Unable to update chassis odometer. 01/27/2014 10:41:47.97 <Noti:DM.Notice> Setting hwclock time to system time, and broadcasting time что за 2 ошибки в hal которые появляются каждые 650 сек? посмотрел odometer , как выяснилось это счетчик наработки дней , когда начал смотреть было 1023 , подумал может там 10битный счетчик и дальше значения не идут вот и пишет ошибку что изменить не может, но на следующий день стало 1024 , счетчик тикает. на всякий случай сделал reboot, не помогло в логах продолжает проявляться те же ошибки , а перезагрузка скинула один из счетчиков. # sh odometers Service First Recorded Field Replaceable Units Days Start Date --------------------------------------------------------------- Switch : X480-48x(10G4X) 0 Jan-01-1970 VIM2-10G4X-1 : 1027 Mar-22-2011 что за ошибка кто объяснит и как избавится ?

да всё большое спасибо , получил ответ по email и нашёл всё что вроде необходимо было, а заодно и на другие вещи смотрю заказанные с SNR вдруг до чего докопаются , например до SFP от SNR =) увидел еще summitX12.5.3.9 - я так понимаю обновление XOS (щас стоит ExtremeXOS version 12.5.1.6 ) архив под паролем , можно ли пароль в ЛС и стоит ли обновлятся ? (лицензия не слетит ?)

вот спасибо , а то писал в support@nag.ru так никто и неответил на email , в декларации написан x480-24x ,а на x480-48x нет или они под общей декларацией ? а где письмо , чет ненашёл :(

давненько не заглядывал в тему , т.к появились другие задачи и небыло дело до правил и прочего , как и до самого комутатора, удивительно но я на него не заходил долгое время , он просто работает и всё - вобщем пока доволен . а проблема немного в другом в рабочий проект включен данный коммутатор , проект не может пройти экспертизу т.к отсутсвует сертификация-декларация , а где её взять ? и существует ли она ? поделитесь декларацией на Extreme Summit X480-48x у кого имеется или скажите источник где найти :( , а то мне уже проектировщики предлагают вернуть в проект dlink 3627G , а как потом пройти здачу узла даже не представляю .

до 1500 маков и 50 интерфейсах живёт нормально и работает быстро. если превышать данные значения начинаются всевозможные глюки . дла агрегации сети использовать можно, например на каждую 1000 абонентов по коммутатору.

Как у всех всё красиво и замечательно , но столкнулся с некоторыми ньюансами в выборе рисовалок графиков под Win . Использую PRTG v6, почти всё нравится точные и детальные графики по загузки портов и даже можно трафик посчитать - посмотреть. непонравилось это неумение работать с 64битными счетчиками изначально , заставить можно указав явный OID . PRTG v8 научилась сразу различать 64 битные счетчики , также детально подробно рисует . появились также и снятие даных например по sFlow , но его никак не могу подружитьс железкой в зависимости от разной выборки показывает ложную нагрузку на каналы , либо сильно маленькую или сильно большую в 10 раз превышающую реальную (если сравнивать с SNMP гафиками), а также невозможность свободного доступа до графиков бе логина и пароля. Также использую MRTG в некоторых случаях , очень не нравится то что время опроса нельзя поставить менее 5 минут , что даёт неверные графики при больших загрузках (показывает заведомо меньшую нагрузку, т.к трафик неленейный). Еще минус что на каждый график стоится отдельные запросы SNMP и если требуется указать в разных графиках один и тотже порт делается одно и тоже несколько раз. :( , понравилось возможность сумирования. Поэтому задача ищется решения которое могло бы снимать даные каждые 15-30 сек (как PRTG) и уже по ним рисовать графики с возможностью сумирования каналов (например для отображения LACP каналов или для общей нагрузки), что PRTG не умеет . Или забить на все существующие решения и начинать собственный проект для этих целей. и кто еще может собирать статистику для sFlow под Win системы ?

Продолжим тему того что получилось и того что до сих пор не решено. вот первый недостаток , коммутатор L3 ядро а значит политики по правилам должны висеть на всех портах итог имеем несколько политик (например 2) , для удобства одна для редиректа друга для маркировки QOS # sh access-list Vlan Name Port Policy Name Dir Rules Dyn Rules =================================================================== * * redirect ingress 3 0 пытаемся также повесить вторую политику и в итоге получаем # conf access-list server_qos any ERROR: Wildcard ACL is already configured! ага , если политика на порт уже повешана значит всё нечего нельзя , и где гибкость ? копаем дальше политику пришлось повешать на разный vlan , но это не выход из положения . получается что выход толко один создать политику для каждого порта отдельно и там продублировать все правила , а не кощунство ли это расхд правил для выхода из ситуации ? если посмотреть на первое сообщение то видно что в том-же dlink'e есть профиль и в нём правила , так вот каждое правило можно повесить на любой порт или группу портов что несомненно удобнее и гибче . По этому по правилам так и остался вопрос нерешенным , например порядок их обработки , хоят в политике они возможно и обрабатываются по порядку , но создавать многотысячный файл для каждого порта ? . Если я например захочу фильтровать каждого пользователя правилом в центре , но я незнаю где у меня пользователь и за каким портом , то получаем минимум 3500 правил для каждого порта в итоге получим 168 000 , т.е идею создавать политику для каждого порта не имеет смысла. Еще один неприятный недостаток нашёл при попытки отмаркировать QOS . имеем старое правило на dlink'e create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id 1 ip tcp src_port 80 port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit где мы находим источник с TCP:80 и сразу помещаем в priority 6 и перемаркировавыем dscp в 59 . при попытке сделать подобное на extreme не увенчалось успехом т.к оказалось нельзя использовать одновременно priority и dscp из-за чего приходится создавать 2 правила например: entry rtsp { if match all { protocol TCP ; source-port 554 ; } then { permit ; replace-dot1p-value 6 ; } } entry rtsp_dscp { if match all { protocol TCP ; source-port 554 ; } then { qosprofile qp6 ; replace-dscp ; } и опять таки нельзя явно указать dscp вручную , а только через qosprofile которых всего может быть 8 . мне явно нужн разделёная конкретика для технологического трафика , для игр , для потокового видео , и других приложений требующих определенных условий с QOS на перегруженых каналах . т.к имеется перегруженый канал в 1gbit , перегрузили его p2p трафиком , но среди прочего есть и игры и потоковые приложения , и VPN от провайдеров которые должны быть с высоким приоритетом . А значит трафик нужно отмаркировать до попадания его в L3 обработку, тоже самое и с обратной стороны , трафик должен быть отмаркирован и после для L2 уровня чтобы он дошёл до адресата бес потерь , даже если и там каналы перегружены. Вот отсюда возвращаемся к началу данной темы , каким образом можно вешать много политик и правил на все порты как это было на dlink'e . Мне уже подсказывали что при помощи динамических правил как-то можно сделать подобное где будут порядок обработки, но я так и не розабрался как , нету наглядных примеров , а метод научного тыка к желаемым результатам не всегда приводит и отнимает много времени.... Ну да ладно , что это я только о плохом . Результаты использования Extreme x480 потихоньку радуют другими вещами , т.е чего всёже получилось добится и что работает в отличии от того же dlink'a , непомню упоминал или нет , но он стоит в виде L3 ядра сети , где то этого было 2 dlink'a 3627G которые при привышении более 1000-1500 пользователей на комутатор начинал не справлятся с нагрузкой , а также были и некоторые несправиления с трафиком превышающим более 800mbit на порту. Сейчас x480 Переваривает польностью более 3000 абонентов + маршрутизацию в сторону других сетей . И он очень успешно справляется с данной задачей и переваривает весь L3 трафик , пользователи перестали жаловаться на форуме с потерями в некоторых приложениях или с некоторыми задержками в играх. Это также доказывает 100% нагрузку одного из каналов с другой сеть которая уже несколько дней держится полностью нагруженной под 100% . C редиректом затронутой в этой теме пока не стал дальше разбиратся (небыло времени), работает пока обычной политикой при наличии default маршрута. Порадовала также удачное сумирование маршрутов в OSPF из кучи /24 подсетей в одну /16 , что не получалось на серверах и тех же dlink'ax . Поэтому прошу дальнейшей помощи с всевозможными примерами для решения данных задач , например с использованием тех же динамических правил.

ну может у вас проблема действительно в реализации сети . Например я использую 1Vlan на дом или пару домов , в которых от 20 до 120 абонентов , примерно по следующей схеме Extreme X480 (в прошлом Dlink3627) -(1-6х Vlan taget)-(Optic GE)--->Dlink3200-10(3526)---(Vlan untaget)--(UTP)->Dlink1024 ---> абонент т.е фактически свожу до 23 пользователей на 100мбит , на длинке есть ACL которые не только блокирует юзеров за не уплату , но и фильтрует лишний broadcast и другой трафик, который может хорошо засадить центральную железку. Просто подумывал о реализации блокировки на ядре , но с таким синтаксисом оно не получится , так-что останусь с блокировкой на другом конце оптики. и еще попробуйте посмотреть чем именно занят CPU sh cpu-monitoring занятно , но методом научного тыка потихоньку начинаю дальше изучать железку и привыкать к ней.

Чет я чуствую что зря на dlink грешил о нехватках мощей , получается подобные грабли у всех производителей . Хотя по виду вроде как Extreme отрабатывает L3 пошутрее . ну и так для статистики , сейчас ночь и больше половины абонентов спят .... #sh vlan Total number of VLAN(s) : 102 #sh iparp Dynamic Entries : 1101 Static Entries : 0 Pending Entries : 187 In Request : 5503089 In Response : 247434 Out Request : 20634292 Out Response : 2904144 Failed Requests : 3395636 Proxy Answered : 0 Rx Error : 0 Dup IP Addr : 0.0.0.0 Rejected Count : 231036 Rejected IP : 170.151.24.203 Rejected Port : 7 Rejected I/F : s042 Max ARP entries : 16000 Max ARP pending entries : 256 ARP address check: Enabled ARP refresh : Enabled Timeout : 10 minutes ARP Sender-Mac Learning : Request Core.6 # top Mem: 357448K used, 673504K free, 0K shrd, 59820K buff, 97200K cached CPU: 3.8% usr 7.6% sys 0.0% nic 88.4% idle 0.0% io 0.0% irq 0.0% sirq Load average: 3.37 3.36 3.28 7/226 1911 PID PPID USER STAT RSS %MEM CPU %CPU COMMAND 1911 1910 root R 632 0.0 1 11.5 top -d 3 1375 1 root R 26228 2.5 1 0.0 ./cliMaster 1624 1375 root S 26228 2.5 0 0.0 ./cliMaster 1907 1624 root S 26228 2.5 1 0.0 ./cliMaster 1625 1624 root S 26228 2.5 1 0.0 ./cliMaster 1626 1624 root S 26228 2.5 0 0.0 ./cliMaster 1371 1 root S < 10672 1.0 1 0.0 ./hal Acl пока нет (кроме 2х для редиректа) , multicast не гоняю , использую только L3 маршрутизацию + OSPF + DHCP(bootp)Relay . вот стаёт интересно насколько прыгнит CPU когда начну использовать много ACL и мониторить загрузку по SNMP всех портов с переодичностю 30-15 сек. Кстати а можно ли какнить мониторить счетчики созданые в ACL по snmp ?

stelsik посмотрите в каком режиме у вас configure forwarding external-table Судя из документации в режимах l2-and-l3-and-acl и acl-only используется некая внешняя память TCAM из-за этого и можно очень много правил создавать , но я чет не нашел упоминания что не будут работать redirect и прочие вещи , а я так надеялся на 60тыс правил со всеми возможностями. надо будет еще попробывать методом научного тыка изучить flow-redirect , вдруг и оно заработает . Жаль что нет ни документации ни форумов на родном языке , т.к с англиским не совсем дружу , поверхностно да и большентсво с переводчиком =) , возможно отсюда и все мои непонятки , т.к сложно изучать документацию более чем на 3000 стр. в англоязычном варианте , да и где всё раскидано и нет дельных примеров (с примерами наверное была бы документация стр. так на пару десятков тысяч :) ) ps ниодна из железок кроме тупых мылниц из коробки без доработки напильником не работает . (или мне вечно не везёт , или я желаю невозможного )

Возможно , но при построении LACP всегда выбирал с запасом поэтому и не видел затыков , дам где по 2 порта использовался зугрузка была до 1600mbit , там где нет LACP один порт просто смотрю загрузку так там сейчас средняя 932mbit вход и 816mbit выход (это по графикам) при этом это еще и через L3 отрабатывает . На Dlink'e было как-то обсуждение о том что Dlink в дествительности плохо переваривает трафик более 800mbit на порт в L3 он попросту начинает терять пакеты или их задерживать . Думаю всё познаётся только вживую , но что-бы проверить вживую нужно его чем-то нагрузить , самый оптимальный вариант вставлять в живую и действующию сеть , возмите на тест попробуйте. Боитесь подобных камней , то может и стоит продолжать поиски других вендоров , но в виде L2 я бы сильно не заморачивался, т.к всё остальное просто дороже , а проблемы могут быть аналогичные.

Да ту на SNR он заказан , ждём когда привезут , на тет соответсвенно тоже тутже взят. Пока мне нравится как он молотит L3 , но я не задействовал большую часть функционала , так потихоньку пока только L3 маршрутизация , OSPF , DHCP(Bootp) Relay, LACP . Потихоньку хочу перенести ACL и прочие мелочи , ну и опробывать разный функционал . Есть еще пару вопросов которые иногда мучают для эстетики и для общего понимания . например порядок IPIF который например можно снать по SNMP имеет свой определённый ID на Dlink'e его можно было просто сменить вместе с MAC интерфейса create ipif 021 172.22.21.254/24 021 state enable config ipif_mac_mapping ipif 022 mac_offset 22 на extreme все интерфейсы с одним маком , а порядок в том виде в каком создавались интерфейсы . ладно например пока работает через ACL forwarding пакетов , а для чего тогда у него есть flow-redirect и как им пользоватся . Helios я так понимаю у вас имеется x480 и вы с ним работаете , может сможете помочь например в ICQ , т.к мелких вопросов много, а опыта с extreme вобще нет , да и на форумах про них нечего нету , хот на курсы лететь куданить :)

А я бы всеже остановился на DGS-3627G - да есть у него глюки , самому приходится перекочевывать на Extreme X480 , но они все связаны с L3 и разными вещами которые пытаются воткнуть в железку . В качестве L2 он очень много прожрёт и не поперхнётся ... Сейчас сняв с него почти весь L3 функционал , он работает как межоператорский , зацеплен через LACP с Extreme по 4-м портам , балансировка ровная , прожовывает порядка 4 Гбит загрузка на CPU 1-4% . (и то походу из-за L3) Поэтому в качестве L2 думаю идеальное решение по соотношению цена/качество , в догонку 3 10Г модуля , CX4 или XFP (смотрим магазинчик нага и находим очень много XFP)m при этом он не огрызается на производителя и в последних прошивках потдерживает DDM. Решать вам, если вы уже точно знаете что будете использовать и не будете использовать глюки этих железок.

Не думал , что кто-то ответит за пару минут , но уже написал чуть выше , частично что-то решилось , буду копать дальше . 100.1 конечно доступен (он не может быть не доступен ему противопаказанно DHCP+DNS). сейчас заметил еще странность , если удалить default gatway то получаю [172.22.22.254] сообщает: Заданная сеть недоступна. т.е пакетик в правило даже не попадает если нет маршрутов далше . прошивка Created by ExtremeXOS version 12.4.1.7 т.к свитч сейчас на тесте , думаю не стоит пытатся менять пока собственный не получим (в ожидании ) и как-то теперь боязно оплатить много килобаксов и получить ненадёжную железку . да и многие вещи досих пор под вопросом , думаю я эту тему долго буду потдерживать если кто-то будем помогать решать вопросы , т.к надежды на что-то другое нету :(

вобщем всеравно не хочет работать , я уже так пробывал , но решил попробывать еще раз ... итак мой комп - 172.22.22.22 нахожусь за 19 портом extreme в taget vlan 22 комп с NAT и выходом в интернет - 172.22.100.1 172.22.100.254 - старый добрый dlink 3627 на extreme Core.15 # sh ipconfig Use Redirects : Disabled IpOption LSRR : Enabled IpOption SSRR : Enabled IpOption RR : Enabled IpOption TS : Enabled IpOption RA : Enabled Route Sharing : Disabled Originated Packets : Don't require ipforwarding IP Fwding into LSP : Disabled Max Shared Gateways : Current: 4 Configured: 4 IRDP: Advertisement Address: 255.255.255.255 Maximum Interval: 600 Minimum Interval: 450 Lifetime: 1800 Preference: 0 VLAN IP Address Flags nSIA Default 172.22.1.250 /24 EUf---MPuRX-------- 0 .......... s022 172.22.22.254 /24 EUf---MPuRX-------- 0 ......... s100 172.22.100.250 /24 EUf---MPuRX-------- 0 Flags: (A) Address Mask Reply Enabled (B) BOOTP Enabled (b) Broadcast Forwarding Enabled, (E) Interface Enabled (f) Forwarding Enabled (g) Ignore IP Broadcast Enabled (h) Directed Broadcast Forwarding by Hardware Enabled (I) IRDP Advertisement Enabled, (M) Send Parameter Problem Enabled (m) Multicast forwarding Enabled, (n) Multinetted VLAN (nSIA ) Number of Secondary IP Addresses (P) Send Port Unreachables Enabled, (R) Send Redirects Enabled (r) Unicast Reverse Path Enabled on at least one port of the VLAN (T) Time Stamp Reply Enabled, (U) Interface Up (u) Send Unreachables Enabled, (X) Send Time Exceeded Enabled (v) VRRP Enabled часть удалил ..... даже решил добавить def route Core.11 # sh iproute origin static Ori Destination Gateway Mtr Flags VLAN Duration #s Default Route 172.22.100.254 1 UG---S-um--f s100 0d:0h:6m:53s Core.12 # sh policy "redirect" Policies at Policy Server: Policy: redirect entry test_redirect { if match any { destination-address 64.12.0.0/16; } then { redirect 172.22.100.1; permit; } } Number of clients bound to policy: 1 Client: acl bound once Core.13 # sh access-list Vlan Name Port Policy Name Dir Rules Dyn Rules =================================================================== [quot] 1 redirect ingress 1 0 [/quot] 2 redirect ingress 1 0 [quot] 3 redirect ingress 1 0 [/quot] 4 redirect ingress 1 0 [quot] 5 redirect ingress 1 0 [/quot] 6 redirect ingress 1 0 [quot] 7 redirect ingress 1 0 [/quot] 8 redirect ingress 1 0 [quot] 9 redirect ingress 1 0 [/quot] 10 redirect ingress 1 0 [quot] 11 redirect ingress 1 0 [/quot] 12 redirect ingress 1 0 [quot] 13 redirect ingress 1 0 [/quot] 14 redirect ingress 1 0 [quot] 15 redirect ingress 1 0 [/quot] 16 redirect ingress 1 0 [quot] 17 redirect ingress 1 0 [/quot] 18 redirect ingress 1 0 [quot] 19 redirect ingress 1 0 [/quot] 20 redirect ingress 1 0 ну и соотвественно на своём домашнем делаю traceroute admin>tracert login.icq.com Трассировка маршрута к login.icq.com [64.12.202.116] с максимальным числом прыжков 30: 1 <1 мс 1 ms <1 мс segment22.kayerkan.lan [172.22.22.254] 2 core-1.kayerkan.lan [172.22.100.254] сообщает: Заданная сеть недоступна. Трассировка завершена. Если default route не добавлять то сам extreme сразу отвечает что заданая сеть недоступна , вот и скажите что я делаю не так ? почему маршрут не летит на 100.1 а потдаётся обычным законам маршрутизации ? может я что-то забыл включить ? или может коммутатор должен работать в каком-то особеном режиме ? .............................. вспомнил про режими и решил сменить стояло configure forwarding external-tables l2-and-l3-and-acl решил изменить и поменял на configure forwarding external-tables l2-and-l3 грузанул коммутатор , и странным образом маршрут побежал по правилу , это совсем странно .... отсюда возникают вопросы , какие ограничения и в каих режимах у ACL т.к имеются acl-only Program the external lookup table for access-lists only. l2-and-l3 Program the external lookup table for layer-2 MAC FDB and layer-3 routes (default). l2-and-l3-and-acl Program the external lookup table for layer-2 MAC FDB, layer-3 routes, and access-lists. l2-only Program the external lookup table for layer-2 MAC FDB only. l3-only Program the external lookup table for layer-3 routes only. none Do not use the external lookup table. выбирал l2-and-l3-and-acl из предположения что во вред и уменьшению таблиц под IP я смогу больше использовать ACL, но получилось всё наобород :(

Немного предыстории: Всё время в последние годы работал с железками от Dlink (3627,3526,3200), в последнее время DGS3627 перестал справлятся со своей задачей , и было решенно найти замену для ядра сети. Замена нашлась под наши нужды в виде Extreme Summit X480-48x. (Сейчас на тесте , в ожидании когда придёт наш.) Изначально было совсем трудно , т.к совсем всё по друому, часть функционало удалось перенести , как и всю сеть на extreme, но некоторые вещи досих пор в тупике. А именно не могу перенести ACL правила для приоретизации и PBR как оно было в Dlink'e. Имеем правила ACL в Dlink'e для перемаркировки приорететов вида : create access_profile profile_id 1 ip icmp config access_profile profile_id 1 add access_id 1 ip icmp port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id 1 ip tcp src_port 80 port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 2 add access_id 2 ip tcp src_port 3389 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit .......................... config access_profile profile_id 2 add access_id 6 ip tcp src_port 554 port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 3 ip tcp dst_port_mask 0xFFFF config access_profile profile_id 3 add access_id 1 ip tcp dst_port 80 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 3 add access_id 2 ip tcp dst_port 3389 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135 port 1-27 deny config access_profile profile_id 3 add access_id 4 ip tcp dst_port 137 port 1-27 deny config access_profile profile_id 3 add access_id 5 ip tcp dst_port 138 port 1-27 deny config access_profile profile_id 3 add access_id 6 ip tcp dst_port 139 port 1-27 deny config access_profile profile_id 3 add access_id 7 ip tcp dst_port 445 port 1-27 deny create access_profile profile_id 4 ip source_ip_mask 255.255.255.255 config access_profile profile_id 4 add access_id 1 ip source_ip 172.22.100.1 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 4 add access_id 2 ip source_ip 172.22.100.11 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 4 add access_id 3 ip source_ip 172.22.104.100 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 5 ip destination_ip_mask 255.255.255.255 config access_profile profile_id 5 add access_id 1 ip destination_ip 172.22.100.1 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 5 add access_id 2 ip destination_ip 172.22.100.11 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 5 add access_id 3 ip destination_ip 172.22.104.100 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 6 ip source_ip_mask 255.255.255.0 config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.1.0 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.100.0 port 1-24 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 7 ip destination_ip_mask 255.255.255.0 config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.1.0 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.100.0 port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 14 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 config access_profile profile_id 14 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-10 permit priority 1 replace_priority replace_dscp 16 rx_rate no_limit PCF правило для torrent create access_profile profile_id 9 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 config access_profile profile_id 9 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0x0 port 1-27 deny config access_profile profile_id 9 add access_id 2 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000 port 1-27 deny И правила для PBR (ICQ в инет ) create access_profile profile_id 10 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 tcp dst_port_mask 0xFFFF config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 64.12.0.0 tcp dst_port 5190 port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 205.188.0.0 tcp dst_port 5190 port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit create access_profile profile_id 11 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 create policy_route name ICQ config policy_route name ICQ acl profile_id 10 access_id 1 nexthop 172.22.100.1 state enable create policy_route name ICQ205 config policy_route name ICQ205 acl profile_id 10 access_id 2 nexthop 172.22.100.1 state enable Если с первой частью еще ка-то можно разобратся , то у меня сейчас стоит проблема именно с пробросом определённого трафика на определённых next-hop, и оно не хочет работать :( т.е на extreme создаю ACL entry icq_redirect { if { destination-address 64.12.0.0/16; protocol tcp; destination-port 5190; } then { permit; redirect 172.22.100.1; count ACL_test; } } но ему походу всёравно , на 172.22.100.1 нечего не поподает , хотя счётчик ACL_test растёт . сразу скажу, что сеть локальная и маршрута по умолчанию нет , т.е пакеты должны пересылатся если поподают под маску ( на Dlink'e именно так и работало) . Маршрут не могу создать т.к железка работает по OSPF с другими железками где этот маршрут может подменится и вобще неразбериха получается. Поэтому прошу помощи разобратся в настройках Extreme и привести работу в должный вид . Еще до сих пор не понятно в каком порядке обрабатываются правила , т.е если на dlinke обработка была по порядку профили с правилами и номерами по порядку , то как в extreme ? ведь тут нет номеров и как такового порядка . Это например нужно для запрета определённого трафика и разрешения его в начале. Также удручает что нельзя просто внести правило для обработки без внесения в файлы (т.е нельзя просто дать комманду config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135 port 1-27 deny ), знаю что существует XML скриптинг , но как он работает неизвестно. Может где есть ресурсы или форумы по обсуждению ExtremeXOS желательно на русс. , или подобные темы начинать развивать тут.

Присоеденяюсь к поздравлению . С Днём Рождения !!!

А что вы думаете об Extreme Summit X480-24x (48х) требование переварить большой L3трафик . Необходимость клиентов до 5к , порядка 200 IPIF , 250 vlan , OSPF , DHCPRelay , ACL (4k). Необходимость в 24 или более SFP Gigabit и 3 или более 10G. т.к в последнее время пара Dlink 3627 начинает уже не справляться из-за возросшего PPS , хочется L3 перенести на что-то другое. также смотрел на Extreme Summit X650-24x (но думаю лишнее , он вроде как для других целей), были взгляды и на Cisco Catalyst WS-C3750G-16TD но у него всего 1х 10G . У каких железек еще есть 3х10G с высокой производительностью L3 ?

Интересуют некоторые особености и нововедения , как происходит цено образование на сайте ? за последнее время увидил дважды смену магазина , причем первая пришлась когда расматривал разные веще и приценивался , в новой версии магазина половина описаний пропали ( например фотографии и прочие инструкции ) . Также интересно как получается , что "Быстрый коннектор типа SC 0.9mm" стоил вчера 217р. , а сегодня сменив опять версию магазина уже стоит 334.80 ?

У длинков почти всё что имеют взяди разъём RPS ( DGS-36XX имеются ) , ну или доработка напильником для появления подобного. Для детальностей воспользоватся поиском на их форуме .... Да я полагаю почти любую железку можно доработать для питания от доп. блока питания или бесперебойника.

У вас Cisco включено в первый порт Dlink'a ?из sh vlan 100 не видно что 1 порт присутсвует вобще в Vlan 100 dlink: conf vlan 100 add tag 1 conf vlan 100 add untag 2 config vlan 100 advertisement enable при команде sh vlan порты должны быть в Member Ports , а в Current Untagged Ports должен присутсвовать порт смотрящий в сторону cisco

спасибо за ссылку тоже прочитал , по поводу других моделей тоже интересно но цены просто пугающие ... из аналогов и то что может оказатся производительнее : Cisco : WS-C3560E-12SD-S - $16 000 ME-4924-10GE ME4924 - $43 500 Juniper: EX2500-24F-BF - $18 000 Extreme: Summit X450a-24x - $9 450 Посидев подумав , лучше останусь на Dlinke и хоть на каждые 500 - 1000 человек буду ставить по DGS-3627 чтобы сильно не упиратся в производительность и соеденять их между собой по 10G без стекирования. смотря на ME-4924-10GE аж слюньки потекли , но где же брать столько денег ? + лецензии всякие. Конкуренты строят агрегацию на Cisco 3750 , но у них денег достаточно.... В итоге тема сводится к тому на сколько боьшая сеть и хотелки + каковы наличности в распоряжении ...

Хм помотрел бегло хар-ки , вроде по функционалу тоже всё есть , но не оговоренно сколько и чего . Какова таблица MAC ? Размерность таблицы маршрутизации ? Производительность PPS ? Присутсвие ACL , а в каком количестве или пока памяти хватает и как сказывается ACL на производительности ? соглашусь с T_Igor , это почти кот в мешке информации мало и железка мало изучена для широких масс , поэтому уж лучше иногда глючный Dlink который дешевле и с боле менее нормально потдержкой, чем отыскать потом глюк на alcatel и незнать что с ним делать. Хотя выбор dgs-3627 или dgs-3610-26 или alcatel-lucent os6850-u24x, застваляет задуматся .... , что еще существует и кто чего использует ?