leveler

Всем привет! Имею неприяютную ситуацию. Есть Vyatta как инстанс в Амазоне. С помощью него делаю IPSec VPN-туннель и статические маршруты, указывающие на сетки на той стороне. Периодически один или оба маршрута становятся inactive. При этому туннель в апе, и IP адрес туннеля с той стороны пингуется. Вот как это выглядит: vyatta@VyattaAMI:~$ show ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area > - selected route, * - FIB route, p - stale info Gateway of last resort is 10.127.10.129 to network 0.0.0.0 S *> 0.0.0.0/0 [1/0] via 10.127.10.129, eth0 C *> 10.127.10.128/27 is directly connected, eth0 S 10.127.61.128/25 [1/0] via 169.254.255.5 inactive S 10.127.61.128/25 [100/0] via 169.254.255.1 inactive (recursive via 10.127.10.129 ) C *> 127.0.0.0/8 is directly connected, lo A вот куски конфига: vyatta@VyattaAMI# show interfaces ethernet eth0 { address 10.127.10.133/27 duplex auto hw-id 02:2a:86:48:02:7d smp_affinity auto speed auto } loopback lo { } vti vti0 { address 169.254.255.6/30 description "VPC tunnel 1" mtu 1436 } vti vti1 { address 169.254.255.2/30 description "VPC tunnel 2" mtu 1436 } [edit] vyatta@VyattaAMI# sh proto static { route 0.0.0.0/0 { next-hop 10.127.10.129 { } } route 10.127.61.128/25 { next-hop 169.254.255.1 { distance 100 } next-hop 169.254.255.5 { } } } [edit] vyatta@VyattaAMI# sh vpn ipsec { esp-group AWS { compression disable lifetime 3600 mode tunnel pfs enable proposal 1 { encryption aes128 hash sha1 } } ike-group AWS { dead-peer-detection { action restart interval 15 timeout 30 } lifetime 28800 proposal 1 { dh-group 2 encryption aes128 hash sha1 } } ipsec-interfaces { interface eth0 } site-to-site { peer <Public-IP-1> { authentication { mode pre-shared-secret pre-shared-secret <супер-секретный-пароль> } connection-type initiate description "VPC tunnel 1" ike-group AWS local-address 10.127.10.133 vti { bind vti0 esp-group AWS } } peer <Public-IP-2> { authentication { mode pre-shared-secret pre-shared-secret <супер-секретный-пароль> } connection-type initiate description "VPC tunnel 2" ike-group AWS local-address 10.127.10.133 vti { bind vti1 esp-group AWS } } } } [edit]

Вопрос порешал. Дефолтный маршрут, что я прописывал, не работал. Пришлось создать инстанс в этой же подсети и зайти на vyatta через него. Удалил и заново создал маршрут по-умолчанию. Маршритизация заработала. VPN уже настроился по инструкции.

Всем привет! Кто-нибудь настраивал vyatta в AWS? Столкнулся с проблемой, что не могу вручную прописать IP адрес на eth0 интерфейсе вместо использования dhcp. Если делаешь 'delete int eth eth0 dhcp', 'set int eth eth0 addr 172.20.0.10/24', а потом 'commit', то связь отваливается навсегда. Да, маршрут по-умолчанию ('set protocol static route 0.0.0.0/0 next-hop 172.20.0.1') выставлен. Сам инстанс у меня в VPC. Я хотел настроить с помощью него туннель между двумя VPC. Во втором VPC у меня VGW.

Других в наличии нет. ( Но спасибо за наводку. Если получится, попробуем другой.

Up! Пробовал другие слоты. Пробовал без VLAN (IP-адрес на интерфейсе без каких-либо сабинтерфейсов). Пробовал перезагружать железку. Шины пинал, зеркала протирал, дверью хлопал... Хз, что делать дальше. (

Up! Ещё актуально.

ASR1002#sh ip route 10.255.11.1 Routing entry for 10.255.11.0/30 Known via "connected", distance 0, metric 0 (connected, via interface) Routing Descriptor Blocks: * directly connected, via TenGigabitEthernet0/2/0.910 Route metric is 0, traffic share count is 1 Конфиг D-Link'а сейчас пока показать не могу. Но я не думаю, что там проблема, ибо исходящий пакетов вообще нет.

Да: ASR1002#ping 10.255.11.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.255.11.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms Так же 10.255.11.2 пингуется с других устройств в сети (ICMP-пакеты на ASR попадают через другой интерфейс).

ASR1002#sh int te0/2/0.910 TenGigabitEthernet0/2/0.910 is up, line protocol is up Hardware is SPA-1X10GE-WL-V2, address is c471.fe9b.1520 (bia c471.fe9b.1520) Description: Test Interface for Vlan910 | 2013-06-25 | Taras Kotov Internet address is 10.255.11.2/30 MTU 9216 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation 802.1Q Virtual LAN, Vlan ID 910. ARP type: ARPA, ARP Timeout 04:00:00 Keepalive not supported Last clearing of "show interface" counters never

День добрый! Есть модуль SPA-1X10GE-WL-V2 в ASR1002. sh ver Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISE-M), Version 15.2(4)S2, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2012 by Cisco Systems, Inc. Compiled Tue 11-Dec-12 18:17 by mcpre IOS XE Version: 03.07.02.S Cisco IOS-XE software, Copyright (c) 2005-2012 by cisco Systems, Inc. All rights reserved. Certain components of Cisco IOS-XE software are licensed under the GNU General Public License ("GPL") Version 2.0. The software code licensed under GPL Version 2.0 is free software that comes with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such GPL code under the terms of GPL Version 2.0. For more details, see the documentation or "License Notice" file accompanying the IOS-XE software, or the applicable URL provided on the flyer accompanying the IOS-XE software. ROM: IOS-XE ROMMON ASR1002 uptime is 20 weeks, 4 days, 13 hours, 17 minutes Uptime for this control processor is 20 weeks, 4 days, 13 hours, 19 minutes System returned to ROM by reload at 06:00:00 NOVST Fri Feb 1 2013 System restarted at 06:03:56 NOVST Fri Feb 1 2013 System image file is "bootflash:asr1000rp1-adventerprise.03.07.02.S.152-4.S2.bin" Last reload reason: Critical software exception, check bootflash:crashinfo_RP_00_00_20120208-171700-NOVST cisco ASR1002 (2RU) processor with 1694460K/6147K bytes of memory. Processor board ID XXXXXXXXXXX 9 Gigabit Ethernet interfaces 1 Ten Gigabit Ethernet interface 32768K bytes of non-volatile configuration memory. 4194304K bytes of physical memory. 7798783K bytes of eUSB flash at bootflash:. Configuration register is 0x2102 sh platform Chassis type: ASR1002 Slot Type State Insert time (ago) --------- ------------------- --------------------- ----------------- 0 ASR1002-SIP10 ok 20w4d 0/0 4XGE-BUILT-IN ok 20w4d 0/1 SPA-5X1GE-V2 ok 20w4d 0/2 SPA-1X10GE-WL-V2 ok 4w5d R0 ASR1002-RP1 ok, active 20w4d F0 ASR1000-ESP5 ok, active 20w4d P0 ASR1002-PWR-AC ok 20w4d P1 ASR1002-PWR-AC ok 20w4d Slot CPLD Version Firmware Version --------- ------------------- --------------------------------------- 0 07120202 12.2(33r)XNC R0 08011017 12.2(33r)XNC F0 07091401 12.2(33r)XNC Цыска подключена к Длинку. Всё в апе: ASR1002#sh int te0/2/0 TenGigabitEthernet0/2/0 is up, line protocol is up Hardware is SPA-1X10GE-WL-V2, address is c471.fe9b.1520 (bia c471.fe9b.1520) MTU 9216 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set Keepalive not supported Full Duplex, 10000Mbps, link type is force-up, media type is 10GBase-LR output flow-control is on, input flow-control is on ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:03:02, output hang never Last clearing of "show interface" counters never Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 21000 bits/sec, 32 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2014491509 packets input, 2558729516632 bytes, 0 no buffer Received 16919382 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 1 input errors, 1 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 1919054791 multicast, 0 pause input 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 23 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out Плата в режиме LAN: ASR1002#sh controllers wanphy 0/2/0 TenGigabitEthernet0/2/0 Mode of Operation: LAN Mode Вот конфиг интерфейсов: ASR1002#sh ru int te0/2/0 Building configuration... Current configuration : 66 bytes ! interface TenGigabitEthernet0/2/0 mtu 9216 no ip address end ASR1002#sh ru int te0/2/0.910 Building configuration... Current configuration : 177 bytes ! interface TenGigabitEthernet0/2/0.910 description Test Interface for Vlan910 | 2013-06-25 | Taras Kotov encapsulation dot1Q 910 ip address 10.255.11.2 255.255.255.252 end Но пакетики даже до 10.255.11.1 не ходят. Если внимательно приглядеться на вывод команды show int te0/2/0, то можно увидеть, что исходящих пакетов нет вообще. Подскажите пожалуйста, куда копать? В чём может быть трабла?

На заметку организаторам: http://techfieldday.com/appearance/

Берите Аваю.

Просмотрел доклад. Никаких секретов Яндекса там не раскрыто. Это вообще не сотрудник Яндекса. Доклад даёт базовые знания по SDN. А за ссылку спасибо. )

Там такая тема, что железки они делают под себя. Заказывают у неких китайских/тайваньских контор, в котором описывают требования к коробке. Merchant Silicon сейчас позволяет любым "Рога и Копыта" сделать за месяц свой коммутатор в наше время. А управляет этими железками централизованный софт. Плюс Гугл знает профиль своего трафика, который не критичен к задержкам, и может какое-то время подождать. Такой подход и позволяет утилизировать аплинки. Такой же подход и к серверам. Яндекс, кстати, что-то похожее делает. Но они не выдают своих секретов, редиски. )

Михаил, пишется "Nicira". ;) Японцы уже во всю тестят SDN, кстати. Китайцы должны быть где-то рядом. А то, что люди отваливаются от мировых вендоров для создания своей собственной конторы, говорит лишь о бюрократизированности и неповоротливости больших компаний. Свою неповоротливость они компенсируют тем, что скупают вот такие вот стартапы. Иногда стартапы своих же бывших работников. Иначе можно отстать от поезда. И сдаётся мне, что скупка идёт не ради того чтобы задинамить. А чтобы не опоздать к разделу пирога. Кстати, Nicira, если мне не изменяет память, тесно работала с Google. Если кто не в курсе, у Гугла аплинки между их ДЦ утилизируются под 100%. BGP/OSPF/ISIS/MPLS/TE/что-то-там-ещё просто отдыхают.

А что там с рекомендацией на букву Y, которая по DPI?

Ну вот мы для одной шахты сделали работу. До сих пор не платят. И не только нам. И в очереди мы не первые. Но только денег всё нет и нет. Так что бывает. )

Неужели никто не юзал сетевое оборудование HP?

Не любят конкурентов. )

Авторизации никакой нет. MSR выступают в качестве PSTN-to-VoIP GW для прогона звонков между АТС по IP-сети. При чём, количество MSR больше двух.

День добрый! Есть ли знакомые с линейкой маршрутизаторов MSR от HP люди? Меня интересует такой вопрос: как можно защитить маршрутизатор от несанкционированных VoIP-подключений? Сейчас без проблем принимается звонок по SIP с любого IP-адреса. Запрещать с помощью ACL на каждом L3 интерфейсе пакеты на UDP порт 5060 смотрится сомнительным вариантом. Хотя, при отсутствии других возможностей, хоть что-то. Буду признателен за любую помощь.

Не понял, если честно, как может провайдер заработать на вафле. Город 600к населения. Есть местных 3-5 провайдеров и всякие федеральные. За мегабайты уже платить никто не хочет, Интернет в кафешках ради рекламы, дома люди сами ставят себе маршрутизатор с поддержкой беспроводки.

В электронную книжечку? Посмотреть весь список цитат можно? )

Соболезную по поводу сделки. Читал тут, кстати, вашу статью "Коммуникации последнего метра" и не понял, если честно, как может провайдер заработать на вафле. Город 600к населения. Есть местных 3-5 провайдеров и всякие федеральные. За мегабайты уже платить никто не хочет, Интернет в кафешках ради рекламы, дома люди сами ставят себе маршрутизатор с поддержкой беспроводки.

Михаил, почитайте ещё вот тут про сделку: http://www.staticnat.com/WP/2012/11/19/all-good-things-come-to-and-end-cisco-aquires-meraki/