Kami

я это уже понял. осталось понять, чем бюджетно заменить 7606-ю :)

бордер - это два fv, как минимум. а DXS сейчас - это наш главный L2 агрегатор, с него линк на 7606 и как там дальше устроено у "оператора 2" я уверенно утверждать не могу. точно известно, что полисинг "белых" сетей выполняется на freebras-ах (FreeBSD) 5 штук, а полисинг и NAT-инг "серых" сетей выполяняется на asr1004. где происходит дальнейшее объединение трафика и его маршрутизация магистралам - не известно. нам будет переданы freebras-ы и asr1004. asr1006 докуплен, едет, и его предварительная роль - бордер.

понятно, что 1006 - отличный брас, но тут, как всегда, технические моменты проигрывают политическим. суть такая: обсуждаемая схема сети обслуживается двумя операторами. первый (мы) - организует доступ и агрегацию, т.е. L2, а второй - полисинг, маршрутизацию и прочие дела - L3. по политическим мотивам происходит передача функций второго оператора нам. при этом, часть оборудования так же передается, а часть - не передается. вот и возникла эта странная задача - как и чем заменить 7606, которая была у оператора 2, но которую нам не отдадут. опять же, оба оператора заинтересоваы в максимально быстром и безболезненном процессе передачи, и уже потом, можно было бы адаптировать переданну.ю схему под свои возможности и пожелания.

Да, L3-терминация абонентских VLAN-ов. Ничем 7606 не плох, но его у нас скоро не будет. Поэтому и ищется замена. На подходе ASR-1006, но его место - бордер, а вот на место 7606 пока не понятно что ставить.

Спасибо, значит, мои сомнения были не напрасны :) А какую железку посоветуете на замену Cisco7606 в роли маршрутизатора ? Желательно, из расчета на небольшой бюджет...

Добрый день, коллеги возник вопрос, может ли устройство DXS-3600-16S работать в качестве роутера достаточно крупной сети ? Т.е. имеется сеть примерно из 30 сетей размером /23 и 100 сетей размера /24, каждая сеть в отдельном VALN-е. В сети около 30К пользователей, суммарный трафик в ЧНН - около 15 Gb/s. Сейчас функцию роутера для этих сетей выполняет Cisco 7606, а DXS-3600 - просто их агрегатор на L2. Но так как по разным причинам 7606 ищется замена, встал вопрос - можно ли перенести ее функции на DXS ? Хочу на DXS-3600-16S эти сети терминировать и далее "заворачивать" на дальнейшую обработку. Судя по официальному описанию: Производительность • Коммутационная матрица: 480 Гбит/с • Макс. скорость передачи пакетов: 357,14 Mpps • Размер буфера пакетов: 9 Мб • Таблица MAC-адресов: 128 K Маршрутизация уровня 3 • Поддержка до 16K записей маршрутов по IPv4/IPv6 - Макс. 16K IPv4 записей Вроде как DXS-3600-16S с этой ролью справиться может, но есть некоторые сомнения, посоветуйте, плз, стоит ли двигаться в данном направлении или искать другое железо на данную функцию ? Спасибо

В общем, проблема решена. Все получилось, все работает, причем, в первоначальной конфигурации. Проблема оказалась в том, что VPN-сервер для теста был собран на виртуальной машине (VMware-ESXi v5.1.0). После того, как точно такая же конфигурация была собрана на физиеском сервере - все заработало влет. Предположительно, причина в несколько некорректной работе виртуального свитча платформы, который тегировал 802.1q пакеты. Всем спасибо и мои извинения за лишнее беспокойство. :)

Предлагаете сделать так (предварительно удалив старый br0): - на линуксовом серевер vconfig add eth2 2111 brctl addbr br2111 brctl addif br2111 tap0 brctl addif br2111 eth2.2111 - на TP-Link-е: vconfig add eth1 2111 brctl addbr br2111 brctl addif br2111 tap0 brctl addif br2111 eth1.2111 Или в tap0 тоже создавать отдельный саб-интерфейс ? vconfig add eth2 2111 vconfig add tap0 2111 brctl addbr br2111 brctl addif br2111 tap0.2111 brctl addif br2111 eth2.2111

Добрый день, коллеги, взываю о помощи, ибо три дня поисков ответа самостятельно, результата не дали. Ситуация такая, абонент попросил помочь объединить две территориально разнесенных сети на L2 уровне. Дешево. В качестве туннеля был выбран OpenVPN с tap. И собран следующий стенд: сеть1 - управляемы свитч DES-3200-28 с несколькими серверами в разных VLAN-ах для иммитации сети 1 абонента. - на порт 27 подключен Linux сервер ETH2, на порт тагом подается 3 VLAN ID: 911,978,2111 - на порту ETH0 этого роутера - рабочий выход в Интерент. - на сервере поднят OpenVPN с конфигом: local х.х.х.х proto udp dev tap0 tun-mtu 1500 cipher none ping 10 интерфейс tap0 объединен в бридж с Eth2 brctl addbr br0 brctl addif eth2 brctl addif tap0 ip link set tap0 up ip link set br0 up сеть2 - роутер TP-Link 1043ND V2 с прошивкой OpenWRT WAN-порт с рабочим выходом в Интернет - к порту LAN4 роутера подключен свитч DES-3200-10, порт 9. с VLAN-ами 911,978,2111 тагом - к порт 1 свитча (VLAN 2111 акцессом), подключен ноутбук, с настройками "получить все автоматически". - на роутере поднят OpenVPN с конфигом: remote х.х.х.х nobind proto udp dev tap tun-mtu 1500 cipher none ping 10 daemon интерфейс tap0 объединен в бридж с Eth1 (свитч на 4 LAN-порта) brctl addbr br0 brctl addif eth1 brctl addif tap0 ip link set tap0 up ip link set br0 up - свитч роутера сконфигурирован на пропуск тегированного трафика: config switch_vlan option device 'switch0' option vlan '3' option vid '911' option ports '0t 1t' config switch_vlan option device 'switch0' option vlan '4' option vid '978' option ports '0t 1t' config switch_vlan option device 'switch0' option vlan '5' option ports '0t 1t 4' option vid '2111' - все поднялось, на аплинковом порту свитча DES-3200-10 видим МАС-и из сети 1: 911 ITB-MGMT FC-75-16-C1-DD-E0 9 Dynamic 911 ITB-MGMT FC-75-16-C1-DF-C0 9 Dynamic 978 ITB-VOIP1 00-1B-21-39-12-7F 9 Dynamic 978 ITB-VOIP1 00-D0-01-88-94-0A 9 Dynamic 978 ITB-VOIP1 10-BF-48-77-F2-D4 9 Dynamic 2111 ITB-TEACH 00-13-D4-DD-14-B8 9 Dynamic 2111 ITB-TEACH 00-17-31-7C-5A-AC 9 Dynamic 2111 ITB-TEACH 00-18-F3-A2-51-08 9 Dynamic 2111 ITB-TEACH 00-1A-92-29-01-0B 9 Dynamic 2111 ITB-TEACH 00-1B-11-AF-E5-83 9 Dynamic - и наоборот, на порту 27 DES-3200-28 МАС-и из сети 2: 911 ITB-MGMT 00-1E-58-A9-4A-15 27 Dynamic 2111 ITB-TECH B8-88-E3-30-69-92 27 Dynamic 00-1E-58-A9-4A-15 - МАС - свитча 3200-10 B8-88-E3-30-69-92 - МАС - ноутбука - более того, ноутбук получил IP адрес от DHCP сервера, который находится в сети 1: 13:41:56.481414 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from b8:88:e3:30:69:92, length 300 13:41:56.481661 00:26:18:18:55:51 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 10.7.17.129.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 13:41:56.483954 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 350: 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from b8:88:e3:30:69:92, length 308 13:41:56.514104 00:26:18:18:55:51 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 10.7.17.129.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 13:42:03.005952 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 10.7.17.169.68 > 255.255.255.255.67: BOOTP/DHCP, Request from b8:88:e3:30:69:92, length 300 13:42:03.006138 00:26:18:18:55:51 > b8:88:e3:30:69:92, ethertype IPv4 (0x0800), length 342: 10.7.17.129.67 > 10.7.17.169.68: BOOTP/DHCP, Reply, length 300 13:42:06.015872 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 10.7.17.169.68 > 255.255.255.255.67: BOOTP/DHCP, Request from b8:88:e3:30:69:92, length 300 13:42:06.016000 00:26:18:18:55:51 > b8:88:e3:30:69:92, ethertype IPv4 (0x0800), length 342: 10.7.17.129.67 > 10.7.17.169.68: BOOTP/DHCP, Reply, length 300 - но, и это самое обидное, трафик между ноутбуком в сети 2 и любым хостом в VLAN-е 2111, не идет. Даже с сервером, которые выдал ему IP адрес. - наблюдение за трафиком на любом участке (роутер TP-Link), сервер OpenVPN, сервер DHCP, ноутбук - показывает наличие свободнопроходящего в обе стороны ARP-трафика: TP-Link: tcpdump -i eth1 -n -nn -e | grep '69:92' 13:48:24.778563 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 2111, p 0, ethertype ARP, Request who-has 10.7.17.129 tell 10.7.17.169, length 46 13:48:25.776921 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 2111, p 0, ethertype ARP, Request who-has 10.7.17.129 tell 10.7.17.169, length 46 13:49:29.789821 b8:88:e3:30:69:92 > 54:04:a6:93:cb:d7, ethertype 802.1Q (0x8100), length 64: vlan 2111, p 0, ethertype ARP, Reply 10.7.17.169 is-at b8:88:e3:30:69:92, length 46 tcpdump -i tap0 -n -nn -e | grep '69:92' 13:50:54.786717 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 2111, p 0, ethertype ARP, Request who-has 10.7.17.129 tell 10.7.17.169, length 46 13:50:54.958522 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 96: vlan 2111, p 0, ethertype IPv4, 10.7.17.169.137 > 10.7.17.191.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST DHCP-Server: tcpdump -i eth3 -n -nn -e | grep '69:92' 13:52:57.775613 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.7.17.129 tell 10.7.17.169, length 46 13:52:57.775618 00:26:18:18:55:51 > b8:88:e3:30:69:92, ethertype ARP (0x0806), length 42: Reply 10.7.17.129 is-at 00:26:18:18:55:51, length 28 13:53:00.115821 b8:88:e3:30:69:92 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.7.17.129 tell 10.7.17.169, length 46 13:53:00.115828 00:26:18:18:55:51 > b8:88:e3:30:69:92, ethertype ARP (0x0806), length 42: Reply 10.7.17.129 is-at 00:26:18:18:55:51, length 28 Т.е. ситуация слега бредовая - бродкастовые пакеты летают в обе стороны, а юникастовые - кем-то убиваются. Файрволлы с обеих сторон туннеля опущены: # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Форвардинг пакетов включен: sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 Куда еще копать ? Спасибо.

Спасибо. А БП у Вас какой был до апгрейда ? Меняли на WS-CAC-2500W или что-то другое ставили ?

Спасибо, очень важное замечание, принял к сведению. Замена БП на WS-CAC-2500W и установка блока вентиляторов WS-C6K-9SLOT-FAN2 позволит успешно завершить апргрейд или это только начало ? :)

Ну да, 6704 стоит под 100 тыр, плюс конвертеры интерфейсов XENPAK в SFP+... Вариант с L2 свитчами 10G портами хорош, тем более, что магистральные кольца построены на DGS-3620-28SC. Просто, как-то издавна сомнительно отношусь к агрегированным портам :)

почему дорого ? б\у WS-SUP720-3B стоит 30 тыр. вроде вполне приемлемо.

Приветствую коллеги. Столкнулся со следующей проблемой. Имеем в ядре не очень крупной сети Cisco 6509, выполняющую роль L3 роутера. Состав железа следующий: #sh mod Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-S2U-MSFC2 SAL08363M7N 3 16 SFM-capable 16 port 10/100/1000mb RJ45 WS-X6516-GE-TX SAL0810VX6Q 5 0 Switching Fabric Module-128 (Active) WS-C6500-SFM SAD04420P3J Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 1 0006.d65e.d3e8 to 0006.d65e.d3e9 5.2 7.1(1) 12.1(26)E9 Ok 3 000f.8f22.3c84 to 000f.8f22.3c93 2.6 6.3(1) 8.5(0.9)TFW3 Ok 5 0000.0000.0000 to 0000.0000.0000 1.0 6.1(3) 8.5(0.9)TFW3 Ok Mod Sub-Module Model Serial Hw Status --- --------------------------- --------------- --------------- ------- ------- 1 Policy Feature Card 2 WS-F6K-PFC2 SAL08373W65 3.3 Ok 1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAL08404JM3 2.9 Ok 3 Distributed Forwarding Card WS-F6K-DFC SAL0651A6W5 2.5 Ok Все работает, со всем справляется, но назрела необходимость расширить магистрали до 10G. Решено доустановить в нее модуль WS-X6704-10GE, но после изучения совместимости модулей, пришли к выводу, что надо менять как минимум супервизор. Поиски по магазину привели к WS-SUP720-3B. По идее, замена существующего WS-X6K-S2U-MSFC2 на WS-SUP720-3B полностью должен устроить. Он не хуже чем стоящий сейчас WS-X6K-S2U-MSFC2 и будет совместим со стоящими WS-X6516-GE-TX, WS-C6500-SFM и новой WS-X6704-10GE. правильно понимаю ? Меня просто смущает, что стоящие сейчас модули MSFC2, а предполагамый супервизор - MSFC3. Спасибо. ЗЫ Может, есть смысл рассмотреть вариант - вообще отказаться от апгрейда этой Cisco и заменить на что-то более современное, хоть на DLink DXS-3600-16S, там и портов 10G больше, а кроме OSPF мне ничего больше на этом роутере и не надо.

Коллеги, добрый день. Позвольте реанимировать тему. Вниметально прочел весь тред, но решения для своей задачи не увидел. Задача такая: имеется большая разветвленная сеть провайдера, имеется "важный" клиент, имеющий во множетсве участков сети свои подключения. Клиенти спользует VIDs скажем 10 и 20 для доступа к разным типам своего оборудования. Провайдер, в свою очередь имеет много последних миль (ПМ) от разных партнеров, в разных точках обмена. Один из партнеров, построил несколько ПМ для того самого "важного" абонента, и отдает их провайдеру в ОДНОЙ точке обмена трафика, РАЗНЫМИ VIDs. К примеру, 401,402,403 и так до 410. Задача: объединить все эти ПМ в VLAN "важного" абонента. Причем VIDs 401,403,405..409 надо обединить в VLAN ID 10, а VIDs 402,404,406...410 в VLAN ID 20. В текущий момент эта задача решается путем организции петель на портах свитча в точке обмена, где два порта с акццесс 401 и 10, к примеру, соединены пачкордом. Это работает, но красивость решения - хромает. Попробовали решить это при помощи vlan_translation на 3200, но уперлись вограничение - на одном порту в один SVID влан можно транслировать только один CVID влан. Скажем, порт 17 свитча 3200 (ревизия С1 Build 4.35.B011) - это порт куда подается тагом ПМ VIDs 401-410 от парнтера. Т.е. команды: enable qinq config qinq ports 17 role uni missdrop disable outer_tpid 0x8100 create vlan_translation ports 17 replace cvid 401 svid 10 create vlan_translation ports 17 replace cvid 403 svid 10 Приведут к ошибке: You cannot map more than one C-VLAN to the same S-VLAN on the same port. Fail! Причем с одной трансляцией на порт - все работает замечательно, скажем, create vlan_translation ports 17 replace cvid 401 svid 10 create vlan_translation ports 17 replace cvid 402 svid 20 работает. Вопрос: можно ли это победить ? Спасибо. ЗЫ Возможно, что надо вообще это решать другим способом и на другом оборудовании. Слышал, что на Cisco Catalyst начиная с 3560 можно строить vlan bridge, вроде - это как раз то самое, что мне и надо. Но рабочих примеров, увы, не увидел.