Перейти к содержимому
Калькуляторы

leveler

VIP
 Просмотреть профиль  Активность

  • Публикации

    1982

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем leveler

  1. Опубликовано · Жалоба на ответ

    Всем привет!

    Имею неприяютную ситуацию.

    Есть Vyatta как инстанс в Амазоне. С помощью него делаю IPSec VPN-туннель и статические маршруты, указывающие на сетки на той стороне. Периодически один или оба маршрута становятся inactive. При этому туннель в апе, и IP адрес туннеля с той стороны пингуется.

    Вот как это выглядит:

    vyatta@VyattaAMI:~$ show ip route
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
      O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
      > - selected route, * - FIB route, p - stale info

Gateway of last resort is 10.127.10.129 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 10.127.10.129, eth0
C    *> 10.127.10.128/27 is directly connected, eth0
S       10.127.61.128/25 [1/0] via 169.254.255.5 inactive
S       10.127.61.128/25 [100/0] via 169.254.255.1 inactive (recursive via 10.127.10.129 )
C    *> 127.0.0.0/8 is directly connected, lo

    A вот куски конфига:

    vyatta@VyattaAMI# show interfaces
ethernet eth0 {
    address 10.127.10.133/27
    duplex auto
    hw-id 02:2a:86:48:02:7d
    smp_affinity auto
    speed auto
}
loopback lo {
}
vti vti0 {
    address 169.254.255.6/30
    description "VPC tunnel 1"
    mtu 1436
}
vti vti1 {
    address 169.254.255.2/30
    description "VPC tunnel 2"
    mtu 1436
}
[edit]

    vyatta@VyattaAMI# sh proto
static {
    route 0.0.0.0/0 {
        next-hop 10.127.10.129 {
        }
    }
    route 10.127.61.128/25 {
        next-hop 169.254.255.1 {
            distance 100
        }
        next-hop 169.254.255.5 {
        }
    }
}
[edit]

    vyatta@VyattaAMI# sh vpn
ipsec {
    esp-group AWS {
        compression disable
        lifetime 3600
        mode tunnel
        pfs enable
        proposal 1 {
            encryption aes128
            hash sha1
        }
    }
    ike-group AWS {
        dead-peer-detection {
            action restart
            interval 15
            timeout 30
        }
        lifetime 28800
        proposal 1 {
            dh-group 2
            encryption aes128
            hash sha1
        }
    }
    ipsec-interfaces {
        interface eth0
    }
    site-to-site {
        peer <Public-IP-1> {
            authentication {
                mode pre-shared-secret
                pre-shared-secret <супер-секретный-пароль>
            }
            connection-type initiate
            description "VPC tunnel 1"
            ike-group AWS
            local-address 10.127.10.133
            vti {
                bind vti0
                esp-group AWS
            }
        }
        peer <Public-IP-2> {
            authentication {
                mode pre-shared-secret
                pre-shared-secret <супер-секретный-пароль>
            }
            connection-type initiate
            description "VPC tunnel 2"
            ike-group AWS
            local-address 10.127.10.133
            vti {
                bind vti1
                esp-group AWS
            }
        }
    }
}
[edit]

  2. Опубликовано · Жалоба на ответ

    Вопрос порешал.

    Дефолтный маршрут, что я прописывал, не работал. Пришлось создать инстанс в этой же подсети и зайти на vyatta через него. Удалил и заново создал маршрут по-умолчанию. Маршритизация заработала. VPN уже настроился по инструкции.

  3. Опубликовано · Жалоба на ответ

    Всем привет!

    Кто-нибудь настраивал vyatta в AWS?

    Столкнулся с проблемой, что не могу вручную прописать IP адрес на eth0 интерфейсе вместо использования dhcp. Если делаешь 'delete int eth eth0 dhcp', 'set int eth eth0 addr 172.20.0.10/24', а потом 'commit', то связь отваливается навсегда. Да, маршрут по-умолчанию ('set protocol static route 0.0.0.0/0 next-hop 172.20.0.1') выставлен.

     

    Сам инстанс у меня в VPC. Я хотел настроить с помощью него туннель между двумя VPC. Во втором VPC у меня VGW.

  5. Опубликовано · Жалоба на ответ

    Up!

    Пробовал другие слоты. Пробовал без VLAN (IP-адрес на интерфейсе без каких-либо сабинтерфейсов). Пробовал перезагружать железку.

    Шины пинал, зеркала протирал, дверью хлопал...

     

    Хз, что делать дальше. (

  7. Опубликовано · Жалоба на ответ 

    ASR1002#sh ip route 10.255.11.1
Routing entry for 10.255.11.0/30
 Known via "connected", distance 0, metric 0 (connected, via interface)
 Routing Descriptor Blocks:
 * directly connected, via TenGigabitEthernet0/2/0.910
     Route metric is 0, traffic share count is 1

    Конфиг D-Link'а сейчас пока показать не могу. Но я не думаю, что там проблема, ибо исходящий пакетов вообще нет.

  8. Опубликовано · Жалоба на ответ

    Да:

    ASR1002#ping 10.255.11.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.255.11.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    Так же 10.255.11.2 пингуется с других устройств в сети (ICMP-пакеты на ASR попадают через другой интерфейс).

  9. Опубликовано · Жалоба на ответ 

    ASR1002#sh int te0/2/0.910
TenGigabitEthernet0/2/0.910 is up, line protocol is up
 Hardware is SPA-1X10GE-WL-V2, address is c471.fe9b.1520 (bia c471.fe9b.1520)
 Description: Test Interface for Vlan910 | 2013-06-25 | Taras Kotov
 Internet address is 10.255.11.2/30
 MTU 9216 bytes, BW 10000000 Kbit/sec, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation 802.1Q Virtual LAN, Vlan ID  910.
 ARP type: ARPA, ARP Timeout 04:00:00
 Keepalive not supported
 Last clearing of "show interface" counters never

  10. Опубликовано · Жалоба на ответ

    День добрый!

    Есть модуль SPA-1X10GE-WL-V2 в ASR1002.

    sh ver
Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISE-M), Version 15.2(4)S2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 18:17 by mcpre

IOS XE Version: 03.07.02.S

Cisco IOS-XE software, Copyright (c) 2005-2012 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.


ROM: IOS-XE ROMMON

ASR1002 uptime is 20 weeks, 4 days, 13 hours, 17 minutes
Uptime for this control processor is 20 weeks, 4 days, 13 hours, 19 minutes
System returned to ROM by reload at 06:00:00 NOVST Fri Feb 1 2013
System restarted at 06:03:56 NOVST Fri Feb 1 2013
System image file is "bootflash:asr1000rp1-adventerprise.03.07.02.S.152-4.S2.bin"
Last reload reason: Critical software exception, check bootflash:crashinfo_RP_00_00_20120208-171700-NOVST


cisco ASR1002 (2RU) processor with 1694460K/6147K bytes of memory.
Processor board ID XXXXXXXXXXX
9 Gigabit Ethernet interfaces
1 Ten Gigabit Ethernet interface
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
7798783K bytes of eUSB flash at bootflash:.

Configuration register is 0x2102

    sh platform
Chassis type: ASR1002

Slot      Type                State                 Insert time (ago)
--------- ------------------- --------------------- -----------------
0         ASR1002-SIP10       ok                    20w4d
0/0      4XGE-BUILT-IN       ok                    20w4d
0/1      SPA-5X1GE-V2        ok                    20w4d
0/2      SPA-1X10GE-WL-V2    ok                    4w5d
R0        ASR1002-RP1         ok, active            20w4d
F0        ASR1000-ESP5        ok, active            20w4d
P0        ASR1002-PWR-AC      ok                    20w4d
P1        ASR1002-PWR-AC      ok                    20w4d

Slot      CPLD Version        Firmware Version
--------- ------------------- ---------------------------------------
0         07120202            12.2(33r)XNC
R0        08011017            12.2(33r)XNC
F0        07091401            12.2(33r)XNC

    Цыска подключена к Длинку. Всё в апе:

    ASR1002#sh int te0/2/0
TenGigabitEthernet0/2/0 is up, line protocol is up
 Hardware is SPA-1X10GE-WL-V2, address is c471.fe9b.1520 (bia c471.fe9b.1520)
 MTU 9216 bytes, BW 10000000 Kbit/sec, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation 802.1Q Virtual LAN, Vlan ID  1., loopback not set
 Keepalive not supported
 Full Duplex, 10000Mbps, link type is force-up, media type is 10GBase-LR
 output flow-control is on, input flow-control is on
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input never, output 00:03:02, output hang never
 Last clearing of "show interface" counters never
 Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 21000 bits/sec, 32 packets/sec
 5 minute output rate 0 bits/sec, 0 packets/sec
    2014491509 packets input, 2558729516632 bytes, 0 no buffer
    Received 16919382 broadcasts (0 IP multicasts)
    0 runts, 0 giants, 0 throttles
    1 input errors, 1 CRC, 0 frame, 0 overrun, 0 ignored
    0 watchdog, 1919054791 multicast, 0 pause input
    0 packets output, 0 bytes, 0 underruns
    0 output errors, 0 collisions, 23 interface resets
    0 unknown protocol drops
    0 babbles, 0 late collision, 0 deferred
    0 lost carrier, 0 no carrier, 0 pause output
    0 output buffer failures, 0 output buffers swapped out

    Плата в режиме LAN:

    ASR1002#sh controllers wanphy 0/2/0
TenGigabitEthernet0/2/0
Mode of Operation: LAN Mode

    Вот конфиг интерфейсов:

    ASR1002#sh ru int te0/2/0
Building configuration...

Current configuration : 66 bytes
!
interface TenGigabitEthernet0/2/0
mtu 9216
no ip address
end

ASR1002#sh ru int te0/2/0.910
Building configuration...

Current configuration : 177 bytes
!
interface TenGigabitEthernet0/2/0.910
description Test Interface for Vlan910 | 2013-06-25 | Taras Kotov
encapsulation dot1Q 910
ip address 10.255.11.2 255.255.255.252
end

    Но пакетики даже до 10.255.11.1 не ходят. Если внимательно приглядеться на вывод команды show int te0/2/0, то можно увидеть, что исходящих пакетов нет вообще.

     

    Подскажите пожалуйста, куда копать? В чём может быть трабла?

  14. Опубликовано · Жалоба на ответ

    Там такая тема, что железки они делают под себя. Заказывают у неких китайских/тайваньских контор, в котором описывают требования к коробке. Merchant Silicon сейчас позволяет любым "Рога и Копыта" сделать за месяц свой коммутатор в наше время. А управляет этими железками централизованный софт.

    Плюс Гугл знает профиль своего трафика, который не критичен к задержкам, и может какое-то время подождать. Такой подход и позволяет утилизировать аплинки.

    Такой же подход и к серверам. Яндекс, кстати, что-то похожее делает. Но они не выдают своих секретов, редиски. )

  15. Опубликовано · Жалоба на ответ

    Михаил, пишется "Nicira". ;)

    Японцы уже во всю тестят SDN, кстати. Китайцы должны быть где-то рядом.

     

    А то, что люди отваливаются от мировых вендоров для создания своей собственной конторы, говорит лишь о бюрократизированности и неповоротливости больших компаний. Свою неповоротливость они компенсируют тем, что скупают вот такие вот стартапы. Иногда стартапы своих же бывших работников. Иначе можно отстать от поезда.

     

    И сдаётся мне, что скупка идёт не ради того чтобы задинамить. А чтобы не опоздать к разделу пирога.

     

    Кстати, Nicira, если мне не изменяет память, тесно работала с Google.

    Если кто не в курсе, у Гугла аплинки между их ДЦ утилизируются под 100%. BGP/OSPF/ISIS/MPLS/TE/что-то-там-ещё просто отдыхают.

  21. Опубликовано · Жалоба на ответ

    День добрый!

    Есть ли знакомые с линейкой маршрутизаторов MSR от HP люди? Меня интересует такой вопрос: как можно защитить маршрутизатор от несанкционированных VoIP-подключений?

    Сейчас без проблем принимается звонок по SIP с любого IP-адреса. Запрещать с помощью ACL на каждом L3 интерфейсе пакеты на UDP порт 5060 смотрится сомнительным вариантом. Хотя, при отсутствии других возможностей, хоть что-то.

     

    Буду признателен за любую помощь.

  22. Опубликовано · Жалоба на ответ

    Не понял, если честно, как может провайдер заработать на вафле. Город 600к населения. Есть местных 3-5 провайдеров и всякие федеральные. За мегабайты уже платить никто не хочет, Интернет в кафешках ради рекламы, дома люди сами ставят себе маршрутизатор с поддержкой беспроводки.

  24. Опубликовано · Жалоба на ответ

    Соболезную по поводу сделки.

     

    Читал тут, кстати, вашу статью "Коммуникации последнего метра" и не понял, если честно, как может провайдер заработать на вафле. Город 600к населения. Есть местных 3-5 провайдеров и всякие федеральные. За мегабайты уже платить никто не хочет, Интернет в кафешках ради рекламы, дома люди сами ставят себе маршрутизатор с поддержкой беспроводки.